病毒防范与分析实训报告Word文档格式.doc

1、掌握以网络管理员或者是网络安全专业人员的身份，实现对常见病毒的分析和预防方法。要求掌握以下主要技能：1.掌握文件型病毒原理、发现方法、查杀技巧；2.掌握宏病毒的感染方式、工作原理和查杀方法；3.掌握脚本病毒的一般性工作原理、常见的感染方式；4.掌握邮件型病毒的传播方式、工作原理、查杀方法；5.掌握计算机蠕虫的定义、攻击原理，了解漏洞溢出原理养成良好的编程习惯；二、实习（实训）内容实训平台中软吉大网络信息安全教学实验系统项目一、文件型病毒PE病毒1.实验目的了解文件型病毒的原理，了解PE文件结构，了解文件型病毒的发现方法，了解病毒专杀工具的基本原理2.实验工具LaborDayVirus、Olly

2、DBG、PE Explorer、UltraEdit-32、VC+6.03.实验内容一验证利用OllyDBG修改病毒感染程序（1）进入实验平台，单击工具栏“实验目录”按钮，进入文件型病毒实验目录。新建文件夹“text”，将文件夹“hei”下的hei0.exe（未感染病毒的可执行程序）复制到text目录中。点击工具栏“LaborDayVirus”按钮，将目录中的LaborDayVirus.exe也复制到text目录中。将系统时间调整为5月1日，双击text目录下LaborDayVirus.exe感染hei0.exe文件，观察hei0.exe感染病毒前后的大小变化。我发现hei0.exe文件的大小由

3、感染之前的3KB变成了7KB，结果如图1-1、1-2所示： 图1-1：感染前hei0.exe的大小 图1-2：感染后hei0.exe的大小（2）单击工具栏“OllyDBG”按钮启动ollyDbg1.10，单击文件菜单中的“打开”项，选择要修复的hei0.exe。由于病毒修改了原程序的入口点，因此会有程序入口点超出代码范围的提示。如图1-3所示：图1-3：打开要修复的文件单击“确定”按钮继续，程序会停在病毒修改后的程序入口点（hei0.exe的入口点为0x00403200）上，在代码中找到最后一个jmp指令处（病毒感染完成后将跳转回原程序），按F2设置断点，按F9运行，程序会在刚设置的jmp断点

4、上中断，查看EAX寄存器的值（EAX=0x401000注意上面提到的断点，下面还会用到），按F7单步执行到下一条指令地址，点选鼠标右键，选择菜单中的“用ollyDump脱壳调试进程”，选中重建输入表方式1，方式2各脱壳一次，分别保存为1.exe、2.exe。测试两个程序不具有病毒的传染特性了，如图1-4、1-5、1-6所示：图1-4：用ollyDump脱壳调试进程图1-5：保存脱壳文件图1-6：双击运行脱壳文件二病毒感染机制分析（1）准备一个没有感染病毒的可执行程序和一个感染病毒的可执行程序,将其分别重命名为hei0.ex_，hei.ex_，并复制到一个新的目录下用于调试、对比。（2）进入实验

5、平台，点击工具栏中的“PE”按钮，使用PE Explorer分别打开hei.ex_和hei0.ex_文件，对比两个文件入口点（OEP-Address of Entry Point）和Image Base并分别记录。OEPImageBasehei0.ex_00001000h00400000hhei.ex_00005200h点击“View”菜单中的“Section Headers”进入Section Headers页面，比对Section Header的数据信息并记录到下面表格。Virtual SizeVirtual AddressSize of Raw DataPoint to Raw Data

6、hei0.ex_的.data00000027h00403000h00000200h00000800hhei.ex_的.data00000388h00404000h00002A00h由于一般文件型病毒只有代码段，数据和代码都存在一起。所以可以断定hei.ex_的.data段多出的数据即为病毒代码和数据。（3）进入实验平台，单击工具栏中“UE”按钮，打开Ultra Editor，选择“文件”菜单中的“比较文件”功能对hei0.ex_和hei.ex_进行二进制比对，可以发现在hei.ex_文件的0xa00处开始的数据块为存储于.data节的病毒代码。如图1-7所示：图1-7：比较文件注 该段数据在.

7、data节是因为hei0.ex_和hei.ex_的.data节都开始于各自文件偏移的Point to Raw Data处。这段数据是病毒代码是因为0xa00 - 0x800 + 0x403000 = 0x403200（感染病毒文件hei.ex_ OEP的虚地址（VA）。（4）使用Ultra Editor打开hei.ex_定位光标到hei.ex_的.data块的Point to Raw Data位置，并以16进制形式查找hei0.ex_的入口点（注意字节顺序），将查找到的数据的文件偏移记录00002A00h。如图1-8所示：图1-8：查找hei0.ex_的入口点（5）定位上面例子中hei.ex_

8、的jmp断点，在jmp指令上面会发现如下的汇编代码：计算宿主文件原入口地址，跳转执行宿主程序004047F3 6A 00 PUSH 0004047F5 FF95 34FEFFFF CALL DWORD PTR SS:EBP-1CC004047FB 8985 58FDFFFF MOV DWORD PTR SS:EBP-2A8,EAX00404801 8B4D FC MOV ECX,DWORD PTR SS:EBP-400404804 8B11 MOV EDX,DWORD PTR DS:ECX00404806 0395 58FDFFFF ADD EDX,DWORD PTR SS:EBP-2A8 ;

9、 hei.004000000040480C 8995 D4FDFFFF MOV DWORD PTR SS:EBP-22C,EDX00404812 8B85 D4FDFFFF MOV EAX,DWORD PTR SS:EBP-22C00404818 FFE0 JMP EAX;最后跳转到EAX执行源程序0040481A 8BE5 MOV ESP,EBP;灰色区域的代码可以用做查找原入口点的标记 ;因为其操作与立即数无关，不会因宿主程序改动而变化，其后的病毒数据存储原始入口点0040481C 0010 ADD BYTE PTR DS:EAX,DL0040481E 0000 ADD BYTE PTR

10、DS:EAX,AL00404820 0000 ADD BYTE PTR DS:00404822 0000 ADD BYTE PTR DS:0x40481c在病毒代码之后为被加载到内存的病毒数据的存储区，0x1000为hei0.exe OEP的RVA，0x1000在反汇编代码中的表示是0010。（6）进入实验平台，单击工具栏中的“实验目录”按钮，利用上面的方法分别对文件分析目录下的已感染和未感染文件进行调试，注意比对感染病毒文件和原文件特征，将各个病毒文件的最后一个跳转指令的目的地址记录到如下表。文件原文件的入口地址感染病毒文件的感染病毒文件的最后一个跳转目的地址mspaint.exe01054

11、DDD01054E1201054E18notepad.exe010145F30101461201014618wordpad.exe01004FF30100501201005018（7）通过以上的分析，就可以初步断定，该病毒的感染方式是： 计算宿主文件原入口地址跳转执行宿主程序，最后跳转到EAX执行源程序 。项目二、宏病毒-Word宏病毒理解Word宏病毒的感染方式，理解Word宏病毒的工作原理，掌握Word宏病毒的杀毒方法Microsoft Word 2003一病毒感染（1）主机A进入实验平台，点击工具栏中“实验目录”按钮，进入宏病毒实验目录。双击打开Sufferer1.doc、Suffere

12、r2.doc和Normal.dot模板（位于目录C:Documents and SettingsAdministratorApplication DataMicrosoftTemplates下），观察程序未感染病毒时的正常现象，关闭文件。填写表33-1-1。注 默认状态下Application Data文件夹是隐藏的。打开“资源管理器”，依次单击菜单栏“工具”“文件夹选项”菜单项，选择“查看”选项卡，选中“显示所有文件和文件夹”，单击“确定”按钮，显示隐藏文件。（2）主机A打开实验目录中的MothersDayVirus.doc，然后关闭文件。此时病毒已感染到Normal.dot模板上。（3）主

13、机A打开Sufferer1.doc，然后关闭文件，此时病毒感染到Sufferer1.doc上，观察关闭文档时的现象。填写下表。如图2-1所示：状 态文件大小Sufferer1.doc感染前11KBSufferer1.doc感染后77KBNormal.dot感染前32KBNormal.dot感染后97KB图2-1：感染后大小变化二病毒的传播注 在操作此步骤时不能打开其它word文档，否则实验不会成功。（1）主机B打开实验目录下的Sufferer1.doc和Sufferer2.doc，观察程序未感染病毒时的正常现象，然后关闭文件。（2）主机A将已感染病毒的Sufferer1.doc文件作为邮件附件发送给主机B。注 Outlook Express具体配置方法，可参考附录AOutlook Express配置方法。（3）主机B接收此邮件，并将附件保存在宏病毒实验目录下，替换原来的Sufferer1. doc，打开此附件（Sufferer1.doc），然后关闭。此时病毒感染到主机模板Normal.dot上。（4）主机B打开Suffe