实验五(选做一)计算机病毒
同组实验者实验日期成绩
练习一PE病毒
实验目的 1.了解文件型病毒的原理;2.了解PE文件结构;3.了解文件型病毒的发现方法;
4.了解病毒专杀工具的基本原理
实验人数每组2人
系统环境 Windows
网络环境交换网络结构
实验工具 LaborDayVirus、OllyDBG、PE Explorer、UltraEdit-32
实验类型验证型
一、实验原理
详见“信息安全实验平台”,“实验26”,“练习一”。
二、实验步骤
本练习由单人为一组进行。首先使用“快照X”恢复Windows系统环境。欲望都市疯狂的缠绵
一.验证利用OllyDBG修改病毒感染程序
(1)进入实验平台,单击工具栏“实验目录”按钮,进入文件型病毒实验目录。新建文件夹“text”,将文件夹“hei”下的(未感染病毒的可执行程序)复制到text目录中。点击工具栏“LaborDayVirus”按钮,将目录中的也复制到text目录中。将系统时间调整为5月1日,双击text目录下感染文件,观察感染病毒前后的大小变化。
(2)单击工具栏“OllyDBG”按钮启动ollyDbg1.10,单击文件菜单中的“打开”项,选择要修复的。由于病毒修改了原程序的入口点,因此会有程序入口点超出代码范围的提示,如图1所示。
图1 入口点警告提示
单击“确定”按钮继续,程序会停在病毒修改后的程序入口点(的入口点为0x00403200)上,在代码中找到最后一个jmp指令处(病毒感染完成后将跳转回原程序),按F2设置断点,按F9运行,程序会在刚设置的jmp断点上中断,查看EAX寄存器的值(EAX=0x401000注意上面提到的断点,下面还会用到),按F7单步执行到下一条指令地址,点选鼠标右键或选择“插件”菜单项,选择菜单中的用ollyDump脱壳调试进程,选中重建输入表方式1,方式2各脱壳一次,分别保存为1.exe、2.exe。测试两个程序是否还具有病毒的传染特性:__________________________________________________
「注」:由于重建输入表的方式不同,可能造成某一种导出方式导出的文件无法正常运行,在实验中可以两种方式都导出执行文件,选择可以执行的一种方式来清除病毒。
二.病毒感染机制分析
(1)准备一个没有感染病毒的可执行程序和一个感染病毒的可执行程序,将其分别重命名为_,_,并复制到一个新的目录下用于调试、对比。
(2)进入实验平台,点击工具栏中的“PE”按钮,使用PE Explorer分别打开_和_文件(
打开时文件类型选择All Files(*.*)),对比两个文件入口点(OEP--Address of Entry Point)和Image Ba并分别记录。
OEP ImageBa
<_
<_
点击“View”菜单中的“Section Headers”进入Section Headers页面,比对Section Header 的数据信息并记录到下面表格。
Virtual Size Virtual
Address Size of Raw
工程管理专业就业前景Data
Point to
Raw Data
托福拼分
<_的.data
<_的.data
由于一般文件型病毒只有代码段,数据和代码都存在一起。所以可以断定_的.data 段多出的数据即为病毒代码和数据。
(3)进入实验平台,单击工具栏中“UE”按钮,打开Ultra Editor,选择“文件”菜单中的“比较文件”功能对_和_进行比对,比较类型选择“二进制”。我们发现在_文件的0xa00处开始的数据块为存储于.data节的病毒代码。
(4)使用Ultra Editor打开_定位光标到_的.data块的Point to Raw Data (0xa00H)位置,并以16进制形式查找_的入口点,Ctrl+F查找0010,将查找到的数据的文件偏移记录____________________。计算该偏移的保护模式内存虚拟地址:____________________________________________________________。
(5)单击工具栏“OllyDBG”按钮,打开上面例子中的_。在代码中找到最后
0x40481c在病毒代码之后为被加载到内存的病毒数据的存储区,0x1000为
OEP的RV A,0x1000在反汇编代码中的表示是0010。
(6)进入实验平台,单击工具栏中的“实验目录”按钮,利用上面的方法分别对实验目录下的1、2、3子目录下的文件进行调试,注意比对感染病毒文件和原文件特征,将各个病毒文件的最后一个跳转指令的目的地址记录到如下表。
目录原文件的入口地址感染病毒文件的入口地址感染病毒文件的最后一个跳转目的地址
<
<
<
(7)通过以上分析,可以初步断定,该病毒的感染方式是:
___________________________________________________________________________ _______________________________________________________________________________ ______________________________________________________________________________。
练习二Word宏病毒
实验目的 1.理解Word宏病毒的感染方式;2.理解Word宏病毒的工作原理;3.掌握Word 宏病毒的杀毒方法
实验人数每组2人
系统环境 Windows
网络环境交换网络结构
实验工具 Word
2003
实验类型验证型
一、实验原理
详见“信息安全实验平台”,“实验27”,“练习一”。
二、实验步骤
本练习主机A、B为一组,C、D为一组,E、F为一组。下面以主机A、B为例,说明实验步骤。主机A进行实验步骤操作时,主机B等待来自主机A的宏病毒感染,待实验完成后,双方恢复系统环境,并互换实验角色。首先使用“快照X”恢复Windows系统环境。
一.病毒感染aql
(1)主机A进入实验平台,点击工具栏中“实验目录”按钮,进入宏病毒实验目录。双击打开Sufferer1.doc和Sufferer2.doc,观察程序未感染病毒时的正常现象,关闭文件。填写表1。
(2)主机A打开实验目录中的MothersDayVirus.doc,然后关闭文件。此时病毒已感染到C:\DocumentandSettings\Administrator\ApplicationData\Microsoft\Templates\Normal.dot”模板上。填写表1。
(3)主机A打开Sufferer1.doc,然后关闭文件,此时病毒感染到Sufferer1.doc上,观
对外汉语资格证
察关闭文档时的现象。填写表1。
表1
文件大小
Sufferer1.doc感染前
Sufferer1.doc感染后
Normal.dot感染前
Normal.dot感染后
二.病毒的传播
「注」:在做此步骤操作时不能打开其它word文档,否则实验不会成功。
pearlite(1)主机B打开实验目录下的Sufferer1.doc和Sufferer2.doc,观察程序未感染病毒时的正常现象,然后关闭文件。
(2)主机A将已感染病毒的Sufferer1.doc文件作为邮件附件发送给主机B。
(3)主机B接收此邮件,并将附件保存在宏病毒实验目录下,打开此附件(Sufferer1.doc),然后关闭。此时病毒感染到主机模板Normal.dot上。
(4)主机B打开Sufferer2.doc,然后关闭。此时病毒已经感染到Sufferer2.doc上,观察关闭文档时的现象。
三.分析被感染文件
(1)主机A、主机B都打开Sufferer2.doc,然后关闭并再次打开,使用快捷键“Alt+F11”打开Visual Basic编辑器。
英语单词发音规则(2)在Visual Basic编辑器的“工程”视图中打开“Normal\Microsoft Word 对象\MothersDay”和“Project(Sufferer2)\Microsoft Word 对象\MothersDay”,查看病毒源码。
(3)分析两份代码,理解MothersDayVirus的工作过程,关闭Sufferer2.doc。
z两份文件代码的第一行是否相同?代码第一行代表什么意义?
___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ z病毒代码感染模板和当前活动文档时病毒名分别是什么?
___________________________________________________________________________ ___________________________________________________________________________ z模板和当前活动文档中的病毒宏分别在什么时候运行?
___________________________________________________________________________ ___________________________________________________________________________ z当模板文件被感染后,为什么无毒文件第一次打开时没有病毒提示关闭时有病毒提示,而第二次打开和关闭时都有病毒提示?
___________________________________________________________________________ ____
_______________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ z填写下表
病毒传播方向发生时机
染毒文件ÆNormal.dot朗文词典
Normal.dotÆ普通文件
练习三Java脚本病毒
实验目的 1.理解Java脚本病毒的一般工作原理;2.了解Java脚本病毒常见的感染方式;
3.学会编写杀毒脚本
大学英语b网考实验人数每组1人
系统环境 Windows
网络环境交换网络结构
实验工具 JavaScript语言
实验类型设计型
一、实验原理
兴趣是最好的老师详见“信息安全实验平台”,“实验28”,“练习一”。
二、实验步骤
本练习单人为一组。首先使用“快照X”恢复Windows系统环境。
1.恶意网页1
新建记事本文件,在文本中编写如下代码,保存代码并退出,更改扩展名.txt为.html,双击HostilityCode1.html页面,观察页面效果。
页面效果:__________________________________________________。
并说明其实现原理:__________________________________________________。
2.恶意网页2
新建记事本文件,在文本中编写如下代码,保存代码并退出,更改扩展名.txt为.html,双击HostilityCode2.html页面,观察页面效果。
