《信息安全-熊猫烧香病毒剖析》由会员分享,可在线阅读,更多相关《信息安全-熊猫烧香病毒剖析(57页珍藏版)》请在金锄头文库上搜索。
1、网络袭击与防御实验报告计算机科学与技术学院计算机系网络教研室制课程名称:信息安全原理与实践实验名称:熊猫烧香病毒剖析实验成绩:实验报告撰写规定实验操作是教学过程中理论联系实际的重要环节,而实验报告的撰写又是知识系统化的吸取和升华过程,因此,实验报告应当体现完整性、规范性、对的性、有效性。现将实验报告撰写的有关内容阐明如下:1、实验报告模板为电子版。2、下载统一的实验报告模板,学生自行完毕撰写和打印。报告的首页涉及本次实验的一般信息:l l组 号:例如:-5 表达第二班第5组。l l实验日期:例如:5-1006表达本次实验日期。(年-月日)l l实验编号:例如:N.1 表达第一种实验。l l实验
2、时间:例如:学时 表达本次实验所用的时间。实验报告正文部分,从六个方面(目的、内容、环节等)反映本次实验的要点、规定以及完毕过程等状况。模板已为实验报告正文设定统一格式,学生只需在相应项内填充即可。续页不再需要涉及首页中的实验一般信息。3、实验报告正文部分具体规定如下:一、实验目的本次实验所波及并规定掌握的知识点。二、实验环境实验所使用的设备名称及规格,网络管理工具简介、版本等。三、实验内容与实验规定实验内容、原理分析及具体实验规定。四、实验过程与分析根据具体实验,记录、整顿相应命令、运营成果等,涉及截图和文字阐明。具体记录在实验过程中发生的故障和问题,并进行故障分析,阐明故障排除的过程及措施
3、。五、实验成果总结对实验成果进行分析,完毕思考题目,总结实验的心得体会,并提出实验的改善意见。六、附录 一、实验目的1)掌握熊猫烧香病毒的工作原理和感染措施;2)掌握手工清除熊猫病毒的基本措施。二、实验环境目的主机为wido所用到的工具o Wsyschecko Filmo三、实验内容与实验规定蠕虫原理1)蠕虫定义 月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒运用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并运用文献中的地址信息或者网络共享进行传播,最后破坏顾客的大部分重要数据。 蠕虫病毒是自涉及的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其她
4、的计算机系统中(一般是通过网络连接)。 请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全涉及在它们运营的计算机中,并且使用网络的连接仅将自身拷贝到其她的计算机中,主计算机蠕虫在将其自身的拷贝加入到此外的主机后,就会终结它自身(因此在任意给定的时刻,只有一种蠕虫的拷 贝运营),这种蠕虫有时也叫野兔。 蠕虫一般不采用运用pe格式插入文献的措施,而是复制自身在互联网环境下进行传播,病毒的传染能力重要是针对计算机内的文献系统而言,而蠕虫病毒的传染目 标是互联网内的所有计算机。局域网条件下的共享文献夹,电子邮件mil,网络中的歹意网页,大量
5、存在着漏洞的服务器等都成为蠕虫传播的良好途径。 蠕虫和老式病毒的区别: 老式病毒重要袭击的是文献系统,在其传染的过程中,计算机使用者是传染的触发者,是传染的核心环节,使用者计算机知识水平的高下常常决定了老式病毒所能导致的破坏限度; 蠕虫重要是运用计算机系统漏洞进行传染,在搜索到网络中存在漏洞的计算机后,积极进行袭击。在传染的过程中,与计算机操作者与否进行操作无关,从而与使用者的计算机知识水平无关。2)蠕虫的基本程序构造 传播模块:负责蠕虫的传播,通过检查主机或远程计算机的地址库,找到可进一步传染的其她计算机。 隐藏模块:侵入主机后,隐藏蠕虫程序,避免被顾客发现。 目的功能模块:实现对计算机的控
6、制、监视或破坏等功能。 传播模块由可以分为三个基本模块:扫描模块、袭击模块和复制模块。蠕虫程序功能模型也可以扩展为如下的形式:3)蠕虫程序的一般传播过程 扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一种可传播的对象。 袭击:袭击模块按漏洞袭击环节自动袭击环节1中找到的对象,获得该主机的权限(一般为管理员权限),获得一种sh。 复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。 蠕虫将自身复制到某台计算机之前,也会试图判断该计算机此前是都已被感染过。在分布式系统中,蠕虫也许会以系统程序名或不易被操作系统察觉的
7、名字来为自己 命名,从而伪装自己。同步,我们也可以看到,传播模块实现的事实上是自动入侵的功能。因此蠕虫的传播技术是蠕虫技术的首要技术,没有蠕虫的传播技术,也就谈不上什么蠕虫技术了。“熊猫烧香”蠕虫病毒)“熊猫烧香”档案又名:尼亚姆、武汉男生、wor.whBoy、wormiaa 后又化身为:“金猪报喜” 病毒类型:蠕虫病毒 影响系统:Wnws 9XMET/XP/Vta2)“熊猫烧香”病毒特点 底,国内互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,同步该病毒还具有盗取顾客游戏账号、Q账号等功能。该病 毒传播速度快,危害范畴广,截至案发为止,已有上百万个人顾客、网吧及公司局
8、域网顾客遭受感染和破坏,引起社会各界高度关注。瑞星安全报告将其列为十大病毒之首,在中国计算机病毒疫情和互联网安全报告的十大病毒排行中一举成为“毒王”。 “熊猫烧香”,是一种感染型的蠕虫病毒,它能感染系统中xe,om,pif,src,htl,as等文献,它还能中断大量的反病毒软件进程并且会 删除扩展名为ho的文献,该文献是一系统备份工具GHO的备份文献,使顾客的系统备份文献丢失。被感染的顾客系统中所有.e可执行文献所有被改 成熊猫举着三根香的模样。“熊猫烧香”源码分析 具有病毒体的文献被运营后,病毒将自身复制至系统目录,同步修改注册表将自身设立为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录
9、下,增长一种 Atorun.in文献,使得顾客打开该磁盘时激活病毒体。随后病毒体创立一种线程进行本地文献感染,同步创立此外一种线程连接网站下载DOS程序发 动歹意袭击。下面,我们分析一下用dlphi语言描述的“熊猫烧香”的重要源代码:pogrm ussy;uesWnows,sUtils,Classe, raphics, hllA, Regt;consHederSize 2432;病毒体的大小onOfset = 12EB; /PE文献主图标的偏移量/查找的十六进制字符串可以找到主图/标的偏移量HeaerSze 3812; /Upx压缩过病毒体的大小cOffset = $92C;px压缩过文献主图
10、标的偏移量/Upx .W用法: ux -8086 JaussyexeconSie= $E; /P文献主图标的大小-4字节oni =IcoOffset +IcoSize; /PE文献主图标的尾部D $444444; 感染标记/垃圾码,以备写入athwrd= Ifaacnee toekildot, ist beamto. +I cutry nee t be desroyd, i mustbe Jap! +* W3.Jaus.Wom.A*;$ *.RESfucinRgisteSevicrocess(dPo,wTe:nter):eger;stdcl; xternal Krne3.d;/函数声明varT
11、mpFile:srig;Si: TARTINFO;i: POCE_INFORATIN;Ia: Booean as;/日文操作系统标记 =判断与否为W9= unctin sWin9x: Boolean;arVr: TOSVeonInf;beginReul:= alse;VerdwOSsionSie:SzO(TOSersIf);ifnoGtVerson(r) enit;if(rwPlformD =VERLATFOR_W32_IOS) he /WxRl : True;en;=在流之间复制= poue opytrem(rc: Stream; StaPo:nteg; : TSrea;dSrtPos: I
12、ntger; Cut: nteger);vasurPs,dCrPo: nteger;eginCuPs := c.Psin;dCP: DstPoitn;c.Seek(Stars, );DSek(dSrtPs, 0);DstCopFom(rc, Cunt);Sr.Sek(Cos,0);Dst.eek(urPos,);nd;=将宿主文献从已感染的P文献中分离出来,以备使用= prcdureEtractFie(FilN: sr);vartrea,dStream:TFileStream;etysStream:= TFiltrem.Create(PrSr(0), mpena fShaeDeyNone);dtream :=TleSre.re(FilNae,fCreate);tysSram.Sk(HaerSize, );/跳过头部的病毒部分dtremopyo(Stm,reSiz Headize);finadtream.Fee;e;fiallStreamFree;xcnd;e;=填充STARTUINFO构造= prodeFilltatpIno(vai: RUF;Sa:Wor);begnSi.cb := SizeO(Si);Si.eserve
