您好,欢迎访问三七文档
脚本病毒实验【实验环境】Windows实验台【实验步骤】打开Windows实验台,点击桌面“病毒实验”,选择“脚本病毒实验”,进入其实施面板,如图2.4.1-2所示。图2.4.1-2一、脚本病毒代码分析和查看分别选择相应的脚本文件,学生用户即可查看脚本病毒代码。在界面左侧功能选择区选择实验名称,用户在界面右侧将会看到该脚本病毒的全部代码。如图2.4.1-3所示。图2.4.1-3学生用户如需要编辑脚本病毒代码,用户在界面右侧将会看到该脚本病毒的全部代码,在此基础上编辑代码,将会生成用户自定义的脚本病毒,点击“保存脚本”按钮将把编辑好的脚本文件永久保存,如果编辑过程出现错误或者异常,点击“重置脚本”将恢复最初的脚本代码。实验进行前,要先点击“初始化病毒工具”按钮,对其实验所需的工具进行初始化;在实验过程中,如果所需的工具被杀毒软件查杀,要再次点击“初始化病毒工具”按钮,对工具重新进行初始化,以便实验顺利进行。脚本实现的步骤为:执行(或恢复)脚本;关闭EXPlorer进程;打开EXPlorer进程;查看脚本是否生效。二、病毒攻击实验1----复制病毒副本到系统文件夹(1)在界面左侧功能选择区选择实验名称“复制病毒副本到系统文件夹”。(2)开始进行实验,运行脚本病毒代码,然后打开系统目录,如图2.4.1-4所示,可以看到病毒副本(Win32system.vbs)已经出现。图2.4.1-4(3)开始恢复实验,运行恢复代码,如图2.4.1-5所示;然后再次查看系统目录,用户会发现刚刚出现的病毒副本文件已经被清除。图2.4.1-5三、病毒攻击实验2----复制病毒副本到启动菜单(1)在界面左侧功能选择区选择实验名称“复制病毒副本到启动菜单”。(2)开始进行实验,运行脚本病毒代码,然后打开系统目录,可以看到开始菜单启动项中新增加了脚本病毒Win32system.vbs,如图2.4.1-6所示,下次开机将会自动执行发作。图2.4.1-6(3)开始恢复实验,运行恢复代码,然后再次查看系统目录,用户会发现刚刚出现的病毒副本文件已经被清除。四、病毒攻击实验3----禁止“运行”菜单(1)在界面左侧功能选择区选择实验名称“禁止运行菜单”。(2)开始进行实验,运行脚本病毒代码,然后打开开始菜单,如图2.4.1-7所示,“运行”已被禁止。图2.4.1-7(3)开始恢复实验,运行恢复代码,然后再次打开开始菜单,选择“运行”,可以看到运行功能已经恢复。五、病毒攻击实验4----禁止“关闭系统”菜单(1)在界面左侧功能选择区选择实验名称“禁止关闭系统菜单”。(2)开始进行实验,运行脚本病毒代码,然后打开开始菜单,可以发现“关闭系统”菜单已经消失,如图2.4.1-8所示。图2.4.1-8(3)开始恢复实验,运行恢复代码,然后再次打开开始菜单,可以看到“关闭计算机”功能已经恢复。六、病毒攻击实验5----禁止显示桌面所有图标(1)在界面左侧功能选择区选择实验名称“禁止显示桌面所有图标”。(2)开始进行实验,运行脚本病毒代码,执行系统注销操作,可以发现桌面所有图标均已经消失,如图2.4.1-9所示。图2.4.1-9(3)开始恢复实验,运行恢复代码,可以发现桌面所有图标均已经恢复。七、病毒攻击实验6----禁止“任务栏”和“开始”(1)在界面左侧功能选择区选择实验名称,禁止“任务栏”和“开始”。(2)开始进行实验,运行脚本病毒代码,然后右键点击开始菜单属性,会有如图2.4.1-10所示的提示信息,禁止修改任务栏信息。图2.4.1-10(3)开始恢复实验,运行恢复代码,再次修改开始菜单,功能已经恢复。八、病毒攻击实验7----禁止“控制面板”(1)在界面左侧功能选择区选择实验名称“禁止控制面板”。(2)开始进行实验,运行脚本病毒代码,选择“开始”菜单下的“设置”,可以看到“控制面板”项消失了,如图2.4.1-11所示。图2.4.1-11(3)开始恢复实验,运行恢复代码,选择“开始”菜单下的“设置”,可以看到“控制面板”项已经恢复了。九、病毒攻击实验8----修改“IE”默认页(1)在界面左侧功能选择区选择实验名称“修改IE默认页”。(2)开始进行实验,运行脚本病毒代码,然后打开InternetEXPlorer属性,可以看到“地址栏”默认项已被进制更改,如图2.4.1-12所示。图2.4.1-12(3)开始恢复实验,运行恢复代码,可以看到“地址栏”默认项已经恢复更改功能。DLL注入型病毒实验【实验环境】Windows实验台所需工具:BITS.Dll、IceSWord【实验步骤】一、安装BITS(Windows实验台)(1)启动Windows实验台,进入Windows2003系统。(2)从实验台打开实验工具箱,从“信息系统安全-计算机病毒”分类中下载DLL病毒并解压。(3)进入cmd命令行,在BITS文件夹下运行rundll32.exeBITS.dll,InstallActiveStrings;ActiveStrings为连接的识别码,主要用于识别远程连接属于正常服务还是bits后门服务。输入的命令具体如下:rundll32.exeBITS.dll,Installtest。二、连接BITS服务(本地主机)切换回本地主机系统,主动连接远程主机即Windows实验台系统的任一端口:(1)从本地主机连接实验工具箱,从“网络安全-攻防系统中”下载NC连接工具并解压。(2)进入cmd命令行,在NC.exe所在文件夹下输入nc172.20.3.5139命令,连接139端口(注:172.20.3.5为远程IP地址即Windows实验台IP)。(3)然后直接输入test@dancewithdolphin[xell]:9999,激活9999端口,其中test为连接识别码,与rundll32.exeBITS.dll,Installtest中的test对应。(4)连接远程主机9999端口:输入命令nc172.20.3.59999;显示如图2.4.2-1所示,连接正常。(注:172.20.3.5为远程IP地址即Windows实验台IP)图2.4.2-1三、查看BITS主机状态(Windows实验台)(1)查看Windows进程进入Windows实验台系统,打开任务管理器,查看进程信息,可以发现CMD程序正在运行,但实验台中并没有运行CMD程序,如图2.4.2-2所示。图2.4.2-2(2)查看系统端口在cmd命令行下输入netstat–an,查看系统端口,如图2.4.2-3所示,可以观察到本地机(172.20.1.5)对实验台(172.20.3.5)9999端口进行的连接。图2.4.2-3(3)查看模块调用启用icesword,查看模块调用,如图2.4.2-4所示。图2.4.2-4(4)卸载验证卸载dll进程,再次连接查看软件是否工作正常。四、卸载BITS(Windows实验台)在Windows实验台的命令窗口执行命令:rundll32.exeBITS.dll,Uninstall木马攻击实验【实验环境】Windows实验台所需工具:灰鸽子客户端软件、icesWord【实验步骤】启动Windows实验台,并设置实验台的IP地址,以实验台为目标主机进行实验。个别实验学生可以以2人一组的形式,互为攻击方和被攻击方来进行。一、木马制作(1)根据攻防实验制作灰鸽子木马,配置安装目录,IP地址填写攻击方的IP地址(本例采用的是本地机172.20.1.5)如图2.4.3-1所示。图2.4.3-1(2)启动项配置,如图2.4.3-2所示。图2.4.3-2(3)高级设置,选择使用浏览器进程启动。并生成服务器程序,如图2.4.3-3所示。图2.4.3-3二、木马种植(1)通过漏洞或溢出得到远程主机权限,上传并运行灰鸽子木马(本例目标以实验台172.20.3.5为例)。服务器木马程序如图2.4.3-4图2.4.3-4(2)本地主机利用灰鸽子对植入灰鸽子的主机进行连接,看是否能连接灰鸽子。三、木马分析(1)察看端口当灰鸽子的客户端服务器启动之后,会发现本地灰鸽子客户端有主机上线,说明灰鸽子已经启动成功,如图2.4.3-5所示。图2.4.3-5查看远程主机(实验台)的开放端口如图2.4.3-6所示,肉鸡172.20.3.5正在与本地172.20.1.5连接,表示肉鸡已经上线,可以对其进行控制。图2.4.3-6(2)查看进程启动icesWord检查开放进程,进程中多出了IEXPLORE.exe进程,如图2.4.3-7所示;这个进程即为启动灰鸽子木马的进程,起到了隐藏灰鸽子自身程序的目的。图2.4.3-7(3)查看服务进入“控制面板”-“管理工具”中的“服务”选项查看,增加了一个名为huigezi的服务,查看其属性如图2.4.3-8所示;该服务为启动计算机时,灰鸽子的启动程序。图2.4.3-8四、卸载灰鸽子(1)停止当前运行的IEXPLORE程序和huigezi服务。(2)将Windows目录下的huigezi.exe文件删除,重新启动计算机即可卸载灰鸽子程序。引导型病毒实验【实验环境】Windows实验台实验工具:MaxDos5.8、masm5、WinHex【实验步骤】一、查看主引导扇区打开Windows实验台,在启动选项中选择进入Windows2003系统;下载并解压引导型病毒工具,打开WinHex工具,点击菜单项“工具|磁盘编辑器”,打开磁盘编辑器,选择“物理媒介-HD0”,如图2.4.4-3和图2.4.4-4所示;点击“是”,即可查看第一块硬盘的具体内容,如图2.4.4-5所示,其中第一个扇区即为主引导扇区。图2.4.4-3选择“磁盘编辑器”图2.4.4-4选择HD0图2.4.4-5主引导扇区二、备份主引导扇区解压msam5.zip(本例解压到D盘根目录下),并将前面解压到的“1.asm”文件复制到msam5目录下。然后安装MaxDos并重新启动系统,在启动选项中选择进入MaxDosv5.8s,如图2.4.4-6所示选择“运行MaxDosv5.8s”,回车;密码默认为max,直接回车进入如图2.4.4-7所示的界面,选择“A.MaxDos工具箱”,回车。图2.4.4-6MaxDos启动选项,选择“运行MaxDosv5.8s”图2.4.4-7MaxDos首菜单,选择“MaxDos工具箱”进入DOS系统界面,使用aefdisk工具对MBR进行备份,如图2.4.4-8所示。图2.4.4-8备份MBR三、编译并运行主引导区病毒程序输入如图2.4.4-9和图2.4.4-10所示的命令,编译并运行主引导区病毒源码1.asm(需放到masm5目录下,此示例中masm5解压到D盘根目录)。图2.4.4-9编译病毒源码图2.4.4-10连接生成exe并运行1.asm的具体内容与分析如下:;引导区病毒样例.286.modelsmall.code;程序入口参数;ax=内存高端地址bx=7c00h引导程序起始地址;cx=0001h表示从ch(00)磁道cl(01)扇区读出了本程序;dx=00/80h表示从dx(00:A驱)(80:C驱)读出了本程序;ds=es=ss=cs=0初始段值OFFequOffsetVirusSize=OFF@@End-OFF@@Start@@Start:jmpshort@@BeginVirusFlagdb'V';病毒标志@@BootData:;这里有两个重要数据结构,不能是代码org50h;病毒从Offset50h开始,病毒未用以上数据@@Begin:;但其它程序可能使用,故须保留movbx,7c00hmovsp,bx;设sp,使ss:sp=0:7c00hstimovax,ds:[413h];得到内存大小(0:413h单元存有以K计数的内存大小)decaxdecaxmovds:[413h],ax;将原内存大小减2Kmovcl,06shlax,cl;计算高端内存地址moves,axxordi,dimovsi,spmovcx,VirusSizecldrepmovsb;把病毒搬移到高端地址里p
本文标题:软件安全实验步骤
链接地址:https://www.777doc.com/doc-1990651 .html