病毒防范与分析实训报告.docx

1、病毒防范与分析实训报告苏 州 市 职 业 大 学实习（实训）任务书 名 称： 病毒防范与分析实训 起讫时间： 2013年1月1日 2013年1月6日 院 系： 计算机工程系 班级： 10网络安全（CIW） 指导教师： 周莉、肖长水 系 主 任： 李金祥 实习（实训）目的和要求掌握以网络管理员或者是网络安全专业人员的身份，实现对常见病毒的分析和预防方法。要求掌握以下主要技能：1.掌握文件型病毒原理、发现方法、查杀技巧；2.掌握宏病毒的感染方式、工作原理和查杀方法；3.掌握脚本病毒的一般性工作原理、常见的感染方式；4.掌握邮件型病毒的传播方式、工作原理、查杀方法；5.掌握计算机蠕虫的定义、攻击原理

2、，了解漏洞溢出原理养成良好的编程习惯；二、实习（实训）内容实训平台中软吉大网络信息安全教学实验系统项目一、文件型病毒PE病毒1.实验目的了解文件型病毒的原理，了解PE文件结构，了解文件型病毒的发现方法，了解病毒专杀工具的基本原理2.实验工具LaborDayVirus、OllyDBG、PE Explorer、UltraEdit-32、VC+6.03.实验内容一验证利用OllyDBG修改病毒感染程序（1）进入实验平台，单击工具栏“实验目录”按钮，进入文件型病毒实验目录。新建文件夹“text”，将文件夹“hei”下的hei0.exe（未感染病毒的可执行程序）复制到text目录中。点击工具栏“Labo

3、rDayVirus”按钮，将目录中的LaborDayVirus.exe也复制到text目录中。将系统时间调整为5月1日，双击text目录下LaborDayVirus.exe感染hei0.exe文件，观察hei0.exe感染病毒前后的大小变化。我发现hei0.exe文件的大小由感染之前的3KB变成了7KB，结果如图1-1、1-2所示： 图1-1：感染前hei0.exe的大小 图1-2：感染后hei0.exe的大小（2）单击工具栏“OllyDBG”按钮启动ollyDbg1.10，单击文件菜单中的“打开”项，选择要修复的hei0.exe。由于病毒修改了原程序的入口点，因此会有程序入口点超出代码范围的

4、提示。如图1-3所示：图1-3：打开要修复的文件单击“确定”按钮继续，程序会停在病毒修改后的程序入口点（hei0.exe的入口点为0x00403200）上，在代码中找到最后一个jmp指令处（病毒感染完成后将跳转回原程序），按F2设置断点，按F9运行，程序会在刚设置的jmp断点上中断，查看EAX寄存器的值（EAX=0x401000注意上面提到的断点，下面还会用到），按F7单步执行到下一条指令地址，点选鼠标右键，选择菜单中的“用ollyDump脱壳调试进程”，选中重建输入表方式1，方式2各脱壳一次，分别保存为1.exe、2.exe。测试两个程序不具有病毒的传染特性了，如图1-4、1-5、1-6所示

5、：图1-4：用ollyDump脱壳调试进程图1-5：保存脱壳文件图1-6：双击运行脱壳文件二病毒感染机制分析（1）准备一个没有感染病毒的可执行程序和一个感染病毒的可执行程序,将其分别重命名为hei0.ex_，hei.ex_，并复制到一个新的目录下用于调试、对比。（2）进入实验平台，点击工具栏中的“PE”按钮，使用PE Explorer分别打开hei.ex_和hei0.ex_文件，对比两个文件入口点（OEP-Address of Entry Point）和Image Base并分别记录。OEPImageBasehei0.ex_00001000h00400000hhei.ex_00005200h0

6、0400000h点击“View”菜单中的“Section Headers”进入Section Headers页面，比对Section Header的数据信息并记录到下面表格。Virtual SizeVirtual AddressSize of Raw DataPoint to Raw Datahei0.ex_的.data00000027h00403000h00000200h00000800hhei.ex_的.data00000388h00404000h00000200h00002A00h由于一般文件型病毒只有代码段，数据和代码都存在一起。所以可以断定hei.ex_的.data段多出的数据即为病

7、毒代码和数据。（3）进入实验平台，单击工具栏中“UE”按钮，打开Ultra Editor，选择“文件”菜单中的“比较文件”功能对hei0.ex_和hei.ex_进行二进制比对，可以发现在hei.ex_文件的0xa00处开始的数据块为存储于.data节的病毒代码。如图1-7所示：图1-7：比较文件注 该段数据在.data节是因为hei0.ex_和hei.ex_的.data节都开始于各自文件偏移的Point to Raw Data处。这段数据是病毒代码是因为0xa00 - 0x800 + 0x403000 = 0x403200（感染病毒文件hei.ex_ OEP的虚地址（VA）。（4）使用Ultr

8、a Editor打开hei.ex_定位光标到hei.ex_的.data块的Point to Raw Data位置，并以16进制形式查找hei0.ex_的入口点(注意字节顺序)，将查找到的数据的文件偏移记录00002A00h。如图1-8所示：图1-8：查找hei0.ex_的入口点（5）定位上面例子中hei.ex_的jmp断点，在jmp指令上面会发现如下的汇编代码：004047F3 6A 00 PUSH 0004047F5 FF95 34FEFFFF CALL DWORD PTR SS:EBP-1CC004047FB 8985 58FDFFFF MOV DWORD PTR SS:EBP-2A8,E

9、AX00404801 8B4D FC MOV ECX,DWORD PTR SS:EBP-400404804 8B11 MOV EDX,DWORD PTR DS:ECX00404806 0395 58FDFFFF ADD EDX,DWORD PTR SS:EBP-2A8 ; hei.004000000040480C 8995 D4FDFFFF MOV DWORD PTR SS:EBP-22C,EDX00404812 8B85 D4FDFFFF MOV EAX,DWORD PTR SS:EBP-22C00404818 FFE0 JMP EAX ;最后跳转到EAX执行源程序0040481A 8BE5

10、 MOV ESP,EBP ;灰色区域的代码可以用做查找原入口点的标记 ;因为其操作与立即数无关，不会因宿主程序改动 ;而变化，其后的病毒数据存储原始入口点0040481C 0010 ADD BYTE PTR DS:EAX,DL0040481E 0000 ADD BYTE PTR DS:EAX,AL00404820 0000 ADD BYTE PTR DS:EAX,AL00404822 0000 ADD BYTE PTR DS:EAX,AL0x40481c在病毒代码之后为被加载到内存的病毒数据的存储区，0x1000为hei0.exe OEP的RVA，0x1000在反汇编代码中的表示是0010。（

11、6）进入实验平台，单击工具栏中的“实验目录”按钮，利用上面的方法分别对文件分析目录下的已感染和未感染文件进行调试，注意比对感染病毒文件和原文件特征，将各个病毒文件的最后一个跳转指令的目的地址记录到如下表。文件原文件的入口地址感染病毒文件的入口地址感染病毒文件的最后一个跳转目的地址mspaint.exe01054DDD01054E1201054E18notepad.exe010145F30101461201014618wordpad.exe01004FF30100501201005018（7）通过以上的分析，就可以初步断定，该病毒的感染方式是： 计算宿主文件原入口地址跳转执行宿主程序，最后跳转到

12、EAX执行源程序 。项目二、宏病毒-Word宏病毒1.实验目的理解Word宏病毒的感染方式，理解Word宏病毒的工作原理，掌握Word宏病毒的杀毒方法2.实验工具Microsoft Word 20033.实验内容一病毒感染（1）主机A进入实验平台，点击工具栏中“实验目录”按钮，进入宏病毒实验目录。双击打开Sufferer1.doc、Sufferer2.doc和Normal.dot模板（位于目录C:Documents and SettingsAdministratorApplication DataMicrosoftTemplates下），观察程序未感染病毒时的正常现象，关闭文件。填写表33-1

13、-1。注 默认状态下Application Data文件夹是隐藏的。打开“资源管理器”，依次单击菜单栏“工具”“文件夹选项”菜单项，选择“查看”选项卡，选中“显示所有文件和文件夹”，单击“确定”按钮，显示隐藏文件。（2）主机A打开实验目录中的MothersDayVirus.doc，然后关闭文件。此时病毒已感染到Normal.dot模板上。填写表33-1-1。（3）主机A打开Sufferer1.doc，然后关闭文件，此时病毒感染到Sufferer1.doc上，观察关闭文档时的现象。填写下表。如图2-1所示：状 态文件大小Sufferer1.doc感染前11KBSufferer1.doc感染后77

14、KBNormal.dot感染前32KBNormal.dot感染后97KB图2-1：感染后大小变化二病毒的传播注 在操作此步骤时不能打开其它word文档，否则实验不会成功。（1）主机B打开实验目录下的Sufferer1.doc和Sufferer2.doc，观察程序未感染病毒时的正常现象，然后关闭文件。（2）主机A将已感染病毒的Sufferer1.doc文件作为邮件附件发送给主机B。注 Outlook Express具体配置方法，可参考附录AOutlook Express配置方法。（3）主机B接收此邮件，并将附件保存在宏病毒实验目录下，替换原来的Sufferer1. doc，打开此附件（Suffe

15、rer1.doc），然后关闭。此时病毒感染到主机模板Normal.dot上。（4）主机B打开Sufferer2.doc”，然后关闭。此时病毒已经感染到Sufferer2.doc上，观察关闭文档时的现象。提示“计算机已感染母亲节病毒”，如图2-2所示：图2-2：关闭提示三分析被感染文件（1）主机A、主机B都打开Sufferer2.doc，然后关闭并再次打开，使用快捷键“Alt+F11”打开Visual Basic编辑器。（2）在Visual Basic编辑器的“工程”视图中打开“NormalMicrosoft Word 对象MothersDay”和“Project（Sufferer2） Micr

16、osoft Word 对象 MothersDay”，查看病毒源码。如图2-3和图2-4所示：图2-3：查看Normal中MothersDay的病毒源码图2-4：查看Sufferer2中MothersDay的病毒源码（3）分析两份代码，理解MothersDayVirus的工作过程,关闭Sufferer2.doc。两份文件代码的第一行是否相同？代码第一行代表什么意义？两份文件代码的第一行不同，MothersDay第一行：Sub AutoClose() ；Sufferer2第一行Sub Document_Open()_；代码第一行代表宏病毒的发生时机，分别代表关闭文档时自动运行和关闭打开文档时自动运

17、行。病毒代码感染模板和当前活动文档时病毒宏名分别是什么？病毒代码感染模板病毒宏名是AutoClose，当前活动文档时病毒宏名是Document_Open 。模板和当前活动文档中的病毒宏分别在什么时候运行？模板中的病毒宏在文档关闭时自动运行，文档中的病毒宏在文档打开时自动运行。当模板文件被感染后，为什么无毒文件第一次打开时没有病毒提示关闭时有病毒提示，而第二次打开和关闭时都有病毒提示？因为MothersDayVirus病毒执行时，首先判断当前文档和Normal.dot是否感染，然后判断当前文档和Normal.dot是否感染，如果当前文档未被感染，清空当前文档宏命令，并将病毒复制到当前文档，同时将

18、宏重命名为Document_Open，然后禁用Word的宏编辑功能，接着添加自动保存功能，然后病毒再开始执行，弹出对话框，最后返回到程序正常路径执行，所以无毒文件第一次打开时没有病毒提示，关闭时病毒已经感染了文件，所以弹出病毒提示对话框。第二次打开时文件已经感染，所以打开和关闭时都有病毒提示对话框。填写下表。病毒传播方向发生时机染毒文件Normal.dot文件关闭时Normal.dot普通文件文件打开时列举几种宏病毒的防止措施：使用VBA、VBS创建杀毒宏项目三、邮件型病毒-Outlook病毒1.实验目的了解邮件型病毒的传播方式，了解邮件型病毒的工作原理，掌握邮件型病毒的杀毒方法2.实验工具M

19、icrosoft Outlook 2003，Microsoft Word 20033.实验内容一观察病毒感染现象（1）配置Outlook 2003，建立邮件帐户主机A、B配置Outlook 2003（参见附录AOutlook Express配置方法），建立邮件帐户。主机A打开OutLook 2003，单击“文件”|“新建”| “联系人”，在右侧的“电子邮件”栏中填入主机B的电子邮件地址，单击左上方的“保存并关闭”完成联系人的添加。如图3-1所示：图3-1：添加主机B为联系人（2）查看病毒感染标记主机A打开注册表编辑器，查看“HKEY_CURRENT_USERSoftwareMicrosoftO

20、ffice”项中是否有键名为“Melissa?”，键值为“. by Kwyjibo”的键？ 没有 。（3）设置发作条件观察病毒发作现象主机A单击工具栏“实验目录”按钮，进入邮件病毒实验目录。打开病毒文档MVirus.doc，此时OutLook 2003的安全机制会连续出现2个安全提示：“有一个程序正试图访问保存于Outlook的电子邮件地址。是否允许该操作？”,选中“允许访问”后单击“是”。如图3-2所示：图3-2：安全提示“有一个程序正试图以您的名义自动发送电子邮件。是否允许该操作？”，单击“是”。如图3-3所示：图3-3：安全提示这样当前文档即被病毒自动发送给对方（当前日期数和当前时间分钟

21、数相同时，如当前日期为11月8日即将当前时间的分钟数修改为08。则在文档中输出以下内容“Twenty-two points, plus triple-word-score, plus fifty points for using all my letters.Games over.Im outta here.”）。（4）重新查看病毒感染标记主机A在注册表编辑器中按快捷键“F5”刷新查看，在“HKEY_CURRENT_USERSoftware MicrosoftOffice”项中是否会有键名为“Melissa?”，键值为“. by Kwyjibo”的键？ 是 。（5）查看病毒邮件发作现象主机B打

22、开Outlook 2003，按“F9”键来接收被病毒发出的邮件，打开收件箱中的病毒邮件，双击附件名称，出现提示信息“想要打开文件还是想将它保存到计算机中？”，单击“打开”即出现前述Outlook 2003安全提示，参照前述进行处理，病毒文档又将被发送给B的地址簿中前50位联系人。如图3-4、3-5所示：图3-4：打开收件箱中的文件图3-5：出现提示信息二调试代码了解工作原理（1）查看病毒代码感染病毒的主机打开病毒文档“MVirus.doc”，单击菜单栏“工具”|“宏”|“Visual Basic编辑器”或使用快捷键“Alt+F11”打开Visual Basic编辑器。在此编辑器中即可以看到病毒

23、代码。将病毒代码复制到记事本中，然后关闭病毒文档“MVirus.doc”。如图3-6所示：图3-6：将病毒代码复制到记事本中（2）在注册表中删除病毒感染标记感染病毒的主机打开注册表编辑器，删除“HKEY_CURRENT_USERSoftwareMicrosoft Office”项中键名为“Melissa?”，键值为“. by Kwyjibo”的键。如图3-7所示：图3-7：删除“Melissa?”键（3）调试代码感染病毒的主机在实验目录C:ExpNISAntiVir-LabVirusMailVirus下新建一个任意文件名的Word文件。如图3-8所示：图3-8：新建Word文件打开新创建文档的

24、Visual Basic编辑器，找到编辑器左上部“工程Project”工具栏中的“Project（新建Word文件名）”|“Microsoft Word”|“ThisDocument”对象，双击此对象打开编辑区并将病毒代码复制到此区域中，通过单击“调试”|“逐语句”或者按快捷键“F8”来逐句调试代码并配合代码注释了解其工作过程。如图3-9所示： 图3-9：打开新创建文档的Visual Basic编辑器 在调试过程中，当出现提示信息“此时不能进入中断模式”时，单击“结束”重新进行调试。如图3-10所示：图3-10：出现提示信息“此时不能进入中断模式”重新开始调试后：查看病毒感染标记。观察Micr

25、osoft Word对象名是否有变化。观察代码的运行路径是否有变化。在病毒代码中有部分被注释掉的语句，这些语句是病毒的自我保护措施，它们使病毒执行完操作后将自己删除。用户可以去掉注释，运行代码查看效果。如图4-12所示：Microsoft Word对象名变为“Mellisa”。去掉代码注释，如图4-13所示：图4-12：对象名变为“Mellisa”图4-13：去掉注释代码项目四、蠕虫病毒-蠕虫仿真1.实验目的了解计算机蠕虫的定义；了解计算机蠕虫攻击原理；了解漏洞溢出原理养成良好的编程习惯2.实验工具Worm_srv、Worm_body、网络协议分析器3.实验内容一验证病毒感染过程（1）确定主机

26、A与B处于同一网段内。（2）主机A进入实验平台，单击工具栏“实验目录”按钮进入蠕虫病毒实验目录，执行漏洞程序test_virus_body.exe，并启动协议分析器，设置过滤器仅捕获ARP数据包。主机B同样进入蠕虫病毒实验目录，执行蠕虫模拟程序virus_main.exe，这时主机B会不断弹出网页。如图4-1所示：图4-1：主机B不断弹出网页（3）主机A单击协议分析器工具栏刷新按钮，查看ARP协议相关数据，会发现存在很多以主机B的IP地址为源的ARP请求数据包。请观察被探测IP地址顺序，它们大多数是_连续_(连续/非连续)的。如图4-2所示：图4-2：查看ARP协议相关数据（4）主机A等待被蠕

27、虫病毒探测，直到被感染（成功现象为：主机A被病毒感染，也像主机B一样不断弹出网页，说明已经被病毒感染成功），主机A关闭test_virus_body.exe程序，并在“任务管理器”的“进程”页面中选中virus_main进程然后点下面的“结束进程”按钮，结束激活的病毒程序。如图4-3所示：图4-3：结束激活的病毒程序（5）主机A检查系统注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionrun下是否有名为“LookAtMe”的注册键值，有则使用该项右键菜单中的删除命令删除。如图4-4所示：图4-4：删除“LookAtMe”注册键

28、（6）主机A查看test_virus_body.exe文件所在目录下_是_(是否)多重新生成了一个名为virus_main.exe的可执行文件（查看文件修改日期）。”如图4-5所示：图4-5：目录多了一个名为virus_main.exe的可执行文件说明 任务管理器可以使用ctrl+alt+del组合键启动安全管理对话框选择“任务管理器”即可启动；在虚拟机中这个组合键被“ctrl+alt+insert”代替了，以避免和主机按键上的冲突；也可以使用任务栏右键菜单中的“任务管理器”来启动任务管理器。二验证杀毒工具效果主机A、B启动实验目录下的virus_main.exe，点击工具栏中的“杀毒工具”按

29、钮，启动杀毒工具wvk.exe（C:ExpNISAntiVir-LabVirusExpviruswvk.exe），记录实验现象： 显示病毒清除成功 ，查看注册表中的“LookAtMe”病毒特征键值是否存在 不存在 。如图4-6、图4-7所示：图4-6：用杀毒工具wvk.exe杀毒成功图4-7：没有“LookAtMe”病毒特征键值完成项目文档(1)项目计划(2)项目实施文档 (3)项目总结三、实习（实训）方式 集中 分散 校内 校外四、实习（实训）具体安排序号教学内容题目学 时 分 配小计讲课实训1项目一、文件型病毒PE病毒5232项目二、宏病毒-Word宏病毒5233项目三、邮件型病毒-Out

30、look病毒5234项目三、邮件型病毒-Outlook病毒5235撰写实训报告413合 计24915五、实习（实训）报告内容（有指导书的可省略）1、实训地点：信2-5102、实训时间：2012年12月29日3、小组成员：胡帅帅4、具体内容：文件型病毒PE病毒、宏病毒-Word宏病毒、邮件型病毒-Outlook病毒、蠕虫病毒-蠕虫仿真。5、实训总结：通过本次上机实训，我掌握了以网络管理员或者是网络安全专业人员的身份，实现对常见病毒的分析和预防的方法。掌握了文件型病毒原理、发现方法、查杀技巧。掌握了宏病毒的感染方式、工作原理和查杀方法。掌握了脚本病毒的一般性工作原理、常见的感染方式。掌握了邮件型病毒的传播方式、工作原理、查杀方法。掌握了计算机蠕虫的定义、攻击原理，了解了漏洞溢出原理养成良好的编程习惯。