中南大学病毒攻击与防治实验报告[汇编]

《中南大学病毒攻击与防治实验报告[汇编]》由会员分享，可在线阅读，更多相关《中南大学病毒攻击与防治实验报告[汇编]（18页珍藏版）》请在金锄头文库上搜索。

1、中南大学 病毒攻击与防治 实验报告 学生姓名代巍 指导教师汪洁 学院信息科学与工程学院 专业班级信安 1201 班 学号 0909121615 完成时间 2014年 12 月 5 日 1 / 18 PE 型病毒实验 一、实验目标： 了解PE 病毒的原理； 掌握PE 病毒的分析及其修改过程； 能够根据病毒特征还原 PE 文件； 二、实验环境： 虚拟机： Windows XP ，Host.exe 准备被感染文件， PEditor.exe ，cc.exe 病毒感 染文件 三、实验过程： 使用cc.exe 自制无害感染 PE 病毒，感染 host.exe 文件，通过 peditor 查看感染前 后PE

2、 文件的变化， 并适当改值复原 host.exe 程序，达到对 PE 病毒原理及其修复的 方法的掌握。实验内容包括： 使用peditor 查看了解 pe文件结构； pe病毒一般的编写原理； 感染host 程序，并用 peditor 查看感染后的 PE 文件； 修复host 感染程序； 启动虚拟机， 并设置虚拟机的 IP地址，以虚拟机为目标主机进行实验。个别实验 学生可以以 2人一组的形式，互为攻击方和被攻击方来做实验。 四、实验结果 1. HOST 程序分析 1） 打开文件夹中 PEditor.exe 文件，然后依此点击 PE 文件工具览 host.exe 。 如下图所示 点击节表，可查看如下

3、图： 2 / 18 2） 点击文件夹中的“ host 程序”，运行如下图 3） 关闭 host 程序，点击面板中的 “添加新节” ，便是用 cc.exe 感染 host 程 序，然后点击面板中的“host 程序”，查看感染后的运行结果。 2. 感染过程 1） 点击面板中的“节表”，然后进入节表查看器 里，“节添加器”，如下图： 3 / 18 3. 感染前后对比及修改 1） 点击面板中 PE 文件工具浏览 host.exe 。如下图所示： 点击节表，可查看如下图： （2） 几个关键值的对比，如下图： 4 / 18 病毒查找及清除实验 一、实验目标： 1、掌握手动病毒查找的方法； 2、掌握常见病毒

4、分析和查杀的第三方工具使用方法； 3、能够根据病毒特征清除病毒； 二、实验环境： 虚拟机： Windows XP/2003，Regshot 注册表对比工具， Aport 端口查看工具， Process Explorer 三、实验过程： 通过第三方软件， 察看病毒的运行状态， 对系统配置的修改， 从而了解病毒的运 行原理，达到手动清楚木马与病毒的目的。实验内容包括： 1） 注册表查看和监控； 2） 文件型病毒代码查看； 3） 进程查看和管理； 4） 端口状态分析； 启动虚拟机，并设置虚拟机的IP 地址，以虚拟机为目标主机进行攻防试验。 1. 注册表分析； （1） 点击工具 regshott ，用

5、户在页面右侧可以根据提示使用第三方工具，对比 不同时间点的注册表信息。如下图所示 步骤一、利用工具对系统注册表进行拍照，首先单击快照1。 四、实验结果： 1. 注册表分析； （1） 点击工具 regshott ，用户在页面右侧可以根据提示使用第三方工具，对比 不同时间点的注册表信息。如下图所示 5 / 18 步骤一、利用工具对系统注册表进行拍照，首先单击快照1。 步骤二、运行桌面上的灰鸽子病毒，在灰鸽子客户端软件中生成服务器端程序， 在本机执行该服务器程序即运行病毒样本，该病毒将把自身注册到注册表启动项， 以达到随系统启动而自动运行的效果； 步骤三、利用工具再次对系统注册表进行拍照即单击快照2

6、，并进行比较，分析 注册表的变化，找到病毒注册的关键位置。 6 / 18 步骤四、启动注册表编辑器，恢复被修改的注册表关键项，从而清除病毒。 2. 进程状态分析 （1） 点击工具箱中攻防工具检测工具process exp ，如下图所示，用户在页面 右侧将会根据提示运行第三方工具查看当前活动进程状态。从该图中可以明显的 看到灰鸽子程序在运行的进程，进而可以终止该病毒程序运行 3. 端口状态分析 （1） 点击工具箱中攻防工具检测工具aport ，用户在页面右侧可以根据提示使 7 / 18 用第三方工具， 查看本机端口开放状态。 如下图所示， 从该图中可以明显的看到 灰鸽子程序在运行的进程，进而可以

7、终止该病毒程序运行。 （2） 学生用户根据端口开放状态找到非法进程，进行以下操作： 步骤一：结束可疑进程； 步骤二：定位可疑进程对应的文件； 步骤三；清除病毒文件。 8 / 18 木马攻击实验 一、实验目标： 掌握木马攻击的原理； 了解通过木马对被控制主机的攻击过程 了解典型的木马的破坏结果； 二、实验环境： 虚拟机： Windows XP ，灰鸽子客户端软件 Client 为攻击端， Server 为被攻击端 三、实验过程： 木马，全称为：特洛伊木马（Trojan Horse）。特洛伊木马这一词最早出先在希 腊神话传说中。相传在 3000年前，在一次希腊战争中。麦尼劳斯（人名）派兵讨 伐特洛

8、伊（王国），但久攻不下。他们想出了一个主意：首先他们假装被打败， 然后留下一个木马。 而木马里面却藏着最强悍的勇士。最后等时间一到， 木马里 的勇士全部冲出来把敌人打败了。 这就是后来有名的木马计把预谋的功能隐藏在 公开的功能里，掩饰真正的企图。 计算机木马程序一般具有以下几个特征： 1. 主程序有两个，一个是服务端，另一个是控制端。服务端需要在主机执行。 2. 当控制端连接服务端主机后， 控制端会向服务端主机发出命令。而服务端主机 在接受命令后，会执行相应的任务。一般木马程序都是隐蔽的进程, 不易被用户 发现。 启动虚拟机， 并设置虚拟机的 IP地址，以虚拟机为目标主机进行实验。个别实验 学

9、生可以以 2人一组的形式，互为攻击方和被攻击方来做实验。 四、实验结果： 1、链接拓扑图 9 / 18 2、木马制作 根据攻防实验制作灰鸽子木马，首先配置服务程序。 3、 木马种植 通过漏洞或溢出得到远程主机权限，上传并运行灰鸽子木马， 本地对植入灰鸽子 的主机进行连接，看是否能连接灰鸽子。( 如无法获得远程主机权限可将生成的 10 / 18 服务器程序拷贝到远程主机并运行) 4、木马分析 将木马制作实验中产生的服务器端程序在网络上的另外一台主机上 启动icesword 检查开放进程， 进程中多出了 IEXPLORE.exe 进程，这个进程即为 启动灰 11 / 18 鸽子木马的进程，起到了隐

10、藏灰鸽子自身程序的目的。 首先，停止当前运行的 IEXPLORE 程序，并停止 huigezi 服务，将 windows 目录 下的huigezi.exe 文件删除，重新启动计算机即可卸载灰鸽子程序。 12 / 18 Word宏病毒实验 一、实验目标： 了解word 宏病毒的实现方法； 掌握防治 word 宏病毒的方法。 二、实验环境： 虚拟机： Windows XP ，word 宏病毒 三、实验过程： 动手实现 word 宏病毒的代码编写， 熟悉word 宏病毒的作用机制， 然后对其进行 查杀，掌握清除 word 宏病毒的方法。实验内容包括： 1）编写自己的宏病毒（本实验使用示例1 的代码）

11、； 2）对doc1 进行病毒殖入； 3）实验效果； 4）病毒清除； 四、实验结果： 点击启动试验台启动虚拟机， 进入虚拟机后点击桌面病毒实验快捷方式进入病毒 实验模块 1 13 / 18 对doc1 进行病毒殖入首先设置 word 安全性 进入project(Doc1)中的ThisDocument，将示例代码 copy 到此 关闭doc1 文档，另外更改 word中宏的安全级别， 然后再点击面板中的启动 doc1, 具体的步骤如下图所示 14 / 18 这时再打开其它 doc 文件，便都会发生弹出对话框的效果： 15 / 18 HTML 恶意代码实验 一、实验目标： 了解HTML 恶意代码编写

12、原理； 掌握HTML 恶意代码运行机制； 能够对 HTML 恶意代码进行相应的防治。 二、实验环境： 虚拟机： Windows XP/2003， IE6.0 或以上版本 三、实验过程： 利用实验面板中给出的代码，进行相关操作，实现恶意攻击，然后针对HTML 恶 意攻击，进行相应的防治。实验内容包括： 1）利用操作面板中代码，进行test.html 再加工； 2）恶意代码攻击现象； 3）进行相应的防治； 四、实验结果： 点击面板中编辑 test 网页。将 b.vbs 中代码添入 , 并保存退出 16 / 18 点击面板中的双击 test 网页， 选择“是” 点击是，执行完成，运行结果如下图：查看

13、注册表中项， HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMai已改变，如下 图 如果将 html 放入iis 中（其中 IIS 在控制面板中的管理工具中），被其他主机或 者本机访问时， 其主机的 IE 需要进行设置， 便可不出现步骤 (1) 中的提示了， 如 下图，将 Internet和本地 Intranet中的，自定义设置中的 安全设置中所有的 选项都启动 17 / 18 防治方法： 1、 运行IE 时， 点击工具 Internet 选项安全 Internet 区域的安全级别， 把安全级别由中改为高。 具体方案是：在IE 窗口中点击

14、工具 Internet 选项 ， 在弹出的对话框中选择安全标签，再点击自定义级别按钮， 就会弹出安全设置对 话框，把其中所有 ActiveX 插件和控件以及与 Java相关全部选项选择禁用。 2、一定要在计算机上安装防火墙，并要时刻打开实时监控功能。 3、在注册表的 KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesS ystem 下，增加名为 DisableRegistryTools 的DWORD 值项，将其值改为 1，即可 禁止使用注册表编辑器命令regedit.exe。因为特殊原因需要修改注册表，可应 用如下解锁方法：用记事本编辑一个recover.reg 文件，其中的内容如下： REGEDIT4HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionP oliciesSystemDisableRegistryTools=dword:00000000双击运行 recover.reg 即可。 18 / 18