中南大学病毒攻击与防治实验报告.docx
《中南大学病毒攻击与防治实验报告.docx》由会员分享,可在线阅读,更多相关《中南大学病毒攻击与防治实验报告.docx(17页珍藏版)》请在冰豆网上搜索。
中南大学病毒攻击与防治实验报告
中南大学
病毒攻击与防治
实验报告
学生代巍
指导教师汪洁
学院信息科学与工程学院
专业班级信安1201班
学号0909121615
完成时间2021年12月5日
PE型病毒实验
一、实验目标:
了解PE病毒的原理;
掌握PE病毒的分析及其修改正程;
能够根据病毒特征复原PE文件;
二、实验环境:
虚拟机:
WindowsXP,Host.exe准备被感染文件,PEditor.exe,cc.exe病毒感染文件
三、实验过程:
使用cc.exe自制无害感染PE病毒,感染host.exe文件,通过peditor查看感染前后PE文件的变化,并适当改值复原host.exe程序,到达对PE病毒原理及其修复的方法的掌握。
实验内容包括:
使用peditor查看了解pe文件结构;
pe病毒一般的编写原理;
感染host程序,并用peditor查看感染后的PE文件;
修复host感染程序;
启动虚拟机,并设置虚拟机的IP地址,以虚拟机为目标主机进行实验。
个别实验学生可以以2人一组的形式,互为攻击方和被攻击方来做实验。
四、实验结果
1.HOST程序分析
1〕翻开文件夹中PEditor.exe文件,然后依此点击PE文件工具览host.exe。
如下列图所示
点击节表,可查看如下列图:
2〕点击文件夹中的“host程序〞,运行如下列图
3〕关闭host程序,点击面板中的“添加新节〞,便是用cc.exe感染host程序,然后点击面板中的“host程序〞,查看感染后的运行结果。
2.感染过程
1〕点击面板中的“节表〞,然后进入节表查看器
里,“节添加器〞,如下列图:
3.感染前后比照及修改
1〕点击面板中PE文件工具浏览host.exe。
如下列图所示:
点击节表,可查看如下列图:
〔2〕几个关键值的比照,如下列图:
病毒查找及去除实验
一、实验目标:
1、掌握手动病毒查找的方法;
2、掌握常见病毒分析和查杀的第三方工具使用方法;
3、能够根据病毒特征去除病毒;
二、实验环境:
虚拟机:
WindowsXP/2003,Regshot注册表比照工具,Aport端口查看工具,ProcessExplorer
三、实验过程:
通过第三方软件,观察病毒的运行状态,对系统配置的修改,从而了解病毒的运行原理,到达手动清楚木马与病毒的目的。
实验内容包括:
1〕注册表查看和监控;
2〕文件型病毒代码查看;
3〕进程查看和管理;
4〕端口状态分析;
启动虚拟机,并设置虚拟机的IP地址,以虚拟机为目标主机进行攻防试验。
1.注册表分析;
〔1〕点击工具regshott,用户在页面右侧可以根据提示使用第三方工具,比照不同时间点的注册表信息。
如下列图所示
步骤一、利用工具对系统注册表进行拍照,首先单击快照1。
四、实验结果:
1.注册表分析;
〔1〕点击工具regshott,用户在页面右侧可以根据提示使用第三方工具,比照不同时间点的注册表信息。
如下列图所示
步骤一、利用工具对系统注册表进行拍照,首先单击快照1。
步骤二、运行桌面上的灰鸽子病毒,在灰鸽子客户端软件中生成效劳器端程序,在本机执行该效劳器程序即运行病毒样本,该病毒将把自身注册到注册表启动项,以到达随系统启动而自动运行的效果;
步骤三、利用工具再次对系统注册表进行拍照即单击快照2,并进行比拟,分析注册表的变化,找到病毒注册的关键位置。
步骤四、启动注册表编辑器,恢复被修改的注册表关键项,从而去除病毒。
2.进程状态分析
〔1〕点击工具箱中攻防工具检测工具processexp,如下列图所示,用户在页面右侧将会根据提示运行第三方工具查看当前活动进程状态。
从该图中可以明显的看到灰鸽子程序在运行的进程,进而可以终止该病毒程序运行
3.端口状态分析
〔1〕点击工具箱中攻防工具检测工具aport,用户在页面右侧可以根据提示使用第三方工具,查看本机端口开放状态。
如下列图所示,从该图中可以明显的看到灰鸽子程序在运行的进程,进而可以终止该病毒程序运行。
〔2〕学生用户根据端口开放状态找到非法进程,进行以下操作:
步骤一:
结束可疑进程;
步骤二:
定位可疑进程对应的文件;
步骤三;去除病毒文件。
木马攻击实验
一、实验目标:
掌握木马攻击的原理;
了解通过木马对被控制主机的攻击过程
了解典型的木马的破坏结果;
二、实验环境:
虚拟机:
WindowsXP,灰鸽子客户端软件
Client为攻击端,Server为被攻击端
三、实验过程:
木马,全称为:
特洛伊木马〔TrojanHorse〕。
特洛伊木马这一词最早出先在希腊神话传说中。
相传在3000年前,在一次希腊战争中。
麦尼劳斯〔人名〕派兵讨伐特洛伊〔王国〕,但久攻不下。
他们想出了一个主意:
首先他们假装被打败,然后留下一个木马。
而木马里面却藏着最强悍的勇士。
最后等时间一到,木马里的勇士全部冲出来把敌人打败了。
这就是后来有名的木马计把预谋的功能隐藏在公开的功能里,掩饰真正的企图。
计算机木马程序一般具有以下几个特征:
1.主程序有两个,一个是效劳端,另一个是控制端。
效劳端需要在主机执行。
2.当控制端连接效劳端主机后,控制端会向效劳端主机发出命令。
而效劳端主机在接受命令后,会执行相应的任务。
一般木马程序都是隐蔽的进程,不易被用户发现。
启动虚拟机,并设置虚拟机的IP地址,以虚拟机为目标主机进行实验。
个别实验学生可以以2人一组的形式,互为攻击方和被攻击方来做实验。
四、实验结果:
1、链接拓扑图
2、木马制作
根据攻防实验制作灰鸽子木马,首先配置效劳程序。
3、木马种植
通过漏洞或溢出得到远程主机权限,上传并运行灰鸽子木马,本地对植入灰鸽子的主机进行连接,看是否能连接灰鸽子。
(如无法获得远程主机权限可将生成的效劳器程序拷贝到远程主机并运行)
4、木马分析
将木马制作实验中产生的效劳器端程序在网络上的另外一台主机上
启动icesword检查开放进程,进程中多出了IEXPLORE.exe进程,这个进程即为启动灰
鸽子木马的进程,起到了隐藏灰鸽子自身程序的目的。
首先,停止当前运行的IEXPLORE程序,并停止huigezi效劳,将windows目录下的huigezi.exe文件删除,重新启动计算机即可卸载灰鸽子程序。
Word宏病毒实验
一、实验目标:
了解word宏病毒的实现方法;
掌握防治word宏病毒的方法。
二、实验环境:
虚拟机:
WindowsXP,word宏病毒
三、实验过程:
动手实现word宏病毒的代码编写,熟悉word宏病毒的作用机制,然后对其进行查杀,掌握去除word宏病毒的方法。
实验内容包括:
1〕编写自己的宏病毒〔本实验使用例如1的代码〕;
2〕对doc1进行病毒殖入;
3〕实验效果;
4〕病毒去除;
四、实验结果:
点击启动试验台启动虚拟机,进入虚拟机后点击桌面病毒实验快捷方式进入病毒实验模块1
对doc1进行病毒殖入首先设置word平安性
进入project(Doc1)中的ThisDocument,将例如代码copy到此
关闭doc1文档,另外更改word中宏的平安级别,然后再点击面板中的启动doc1,具体的步骤如下列图所示
这时再翻开其它doc文件,便都会发生弹出对话框的效果:
HTML恶意代码实验
一、实验目标:
了解HTML恶意代码编写原理;
掌握HTML恶意代码运行机制;
能够对HTML恶意代码进行相应的防治。
二、实验环境:
虚拟机:
WindowsXP/2003,IE6.0或以上版本
三、实验过程:
利用实验面板中给出的代码,进行相关操作,实现恶意攻击,然后针对HTML恶意攻击,进行相应的防治。
实验内容包括:
1〕利用操作面板中代码,进行test.html再加工;
2〕恶意代码攻击现象;
3〕进行相应的防治;
四、实验结果:
点击面板中编辑test网页。
将b.vbs中代码添入,并保存退出
点击面板中的双击test网页,
选择“是〞
点击是,执行完成,运行结果如下列图:
查看注册表中项,HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Mai已改变,如下列图
如果将html放入iis中〔其中IIS在控制面板中的管理工具中〕,被其他主机或者本机访问时,其主机的IE需要进行设置,便可不出现步骤
(1)中的提示了,如下列图,将Internet和本地Intranet中的,自定义设置中的平安设置中所有的选项都启动
防治方法:
1、运行IE时,点击工具→Internet选项→平安→Internet区域的平安级别,把平安级别由中改为高。
具体方案是:
在IE窗口中点击工具→Internet选项,在弹出的对话框中选择平安标签,再点击自定义级别按钮,就会弹出平安设置对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择禁用。
2、一定要在计算机上安装防火墙,并要时刻翻开实时监控功能。
3、在注册表的KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下,增加名为DisableRegistryTools的DWORD值项,将其值改为1,即可禁止使用注册表编辑器命令regedit.exe。
因为特殊原因需要修改注册表,可应用如下解锁方法:
用记事本编辑一个recover.reg文件,其中的内容如下:
REGEDIT4HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableRegistryTools"=dword:
00000000双击运行recover.reg即可。