1、掌握PE病毒的分析及其修改过程;能够根据病毒特征还原PE文件;二、实验环境:虚拟机:Windows XP,Host.exe准备被感染文件,PEditor.exe,cc.exe病毒感染文件三、实验过程:使用cc.exe自制无害感染PE病毒,感染host.exe文件,通过peditor查看感染前后PE文件的变化,并适当改值复原host.exe程序,达到对PE病毒原理及其修复的方法的掌握。实验内容包括:使用peditor查看了解pe文件结构;pe病毒一般的编写原理;感染host程序,并用peditor查看感染后的PE文件;修复host感染程序;启动虚拟机,并设置虚拟机的IP地址,以虚拟机为目标主机进
2、行实验。个别实验学生可以以2人一组的形式,互为攻击方和被攻击方来做实验。四、实验结果1. HOST 程序分析1)打开文件夹中PEditor.exe文件,然后依此点击 PE 文件工具览host.exe。如下图所示点击节表,可查看如下图:2) 点击文件夹中的“host 程序”,运行如下图 3) 关闭host 程序,点击面板中的“添加新节”,便是用cc.exe 感染host 程序,然后点击面板中的“host 程序”,查看感染后的运行结果。2. 感染过程 1) 点击面板中的“节表”,然后进入节表查看器里,“节添加器”,如下图:3. 感染前后对比及修改1)点击面板中PE 文件工具浏览host.exe。如
3、下图所示:(2)几个关键值的对比,如下图:病毒查找及清除实验1、掌握手动病毒查找的方法;2、掌握常见病毒分析和查杀的第三方工具使用方法;3、能够根据病毒特征清除病毒;Windows XP/2003,Regshot 注册表对比工具,Aport 端口查看工具,Process Explorer 通过第三方软件,察看病毒的运行状态,对系统配置的修改,从而了解病毒的运行原理,达到手动清楚木马与病毒的目的。1)注册表查看和监控;2)文件型病毒代码查看;3)进程查看和管理;4)端口状态分析;启动虚拟机,并设置虚拟机的IP 地址,以虚拟机为目标主机进行攻防试验。1. 注册表分析;(1)点击工具regshott
4、,用户在页面右侧可以根据提示使用第三方工具,对比不同时间点的注册表信息。步骤一、利用工具对系统注册表进行拍照,首先单击快照1。四、实验结果:步骤二、运行桌面上的灰鸽子病毒,在灰鸽子客户端软件中生成服务器端程序,在本机执行该服务器程序即运行病毒样本,该病毒将把自身注册到注册表启动项,以达到随系统启动而自动运行的效果;步骤三、利用工具再次对系统注册表进行拍照即单击快照2,并进行比较,分析注册表的变化,找到病毒注册的关键位置。步骤四、启动注册表编辑器,恢复被修改的注册表关键项,从而清除病毒。2. 进程状态分析(1)点击工具箱中攻防工具检测工具process exp,如下图所示,用户在页面右侧将会根据
5、提示运行第三方工具查看当前活动进程状态。从该图中可以明显的看到灰鸽子程序在运行的进程,进而可以终止该病毒程序运行3. 端口状态分析(1)点击工具箱中攻防工具检测工具aport,用户在页面右侧可以根据提示使用第三方工具,查看本机端口开放状态。如下图所示,从该图中可以明显的看到灰鸽子程序在运行的进程,进而可以终止该病毒程序运行。(2)学生用户根据端口开放状态找到非法进程,进行以下操作:步骤一:结束可疑进程;步骤二:定位可疑进程对应的文件;步骤三;清除病毒文件。 木马攻击实验掌握木马攻击的原理;了解通过木马对被控制主机的攻击过程 了解典型的木马的破坏结果;Windows XP,灰鸽子客户端软件Cli
6、ent为攻击端,Server为被攻击端木马,全称为:特洛伊木马(Trojan Horse)。特洛伊木马这一词最早出先在希腊神话传说中。相传在3000年前,在一次希腊战争中。麦尼劳斯(人名)派兵讨伐特洛伊(王国),但久攻不下。他们想出了一个主意:首先他们假装被打败,然后留下一个木马。而木马里面却藏着最强悍的勇士。最后等时间一到,木马里的勇士全部冲出来把敌人打败了。这就是后来有名的木马计把预谋的功能隐藏在公开的功能里,掩饰真正的企图。计算机木马程序一般具有以下几个特征:1.主程序有两个,一个是服务端,另一个是控制端。服务端需要在主机执行。2.当控制端连接服务端主机后,控制端会向服务端主机发出命令。
7、而服务端主机在接受命令后,会执行相应的任务。一般木马程序都是隐蔽的进程,不易被用户发现。1、链接拓扑图2、木马制作根据攻防实验制作灰鸽子木马,首先配置服务程序。3、木马种植通过漏洞或溢出得到远程主机权限,上传并运行灰鸽子木马,本地对植入灰鸽子的主机进行连接,看是否能连接灰鸽子。(如无法获得远程主机权限可将生成的服务器程序拷贝到远程主机并运行)4、木马分析将木马制作实验中产生的服务器端程序在网络上的另外一台主机上启动icesword 检查开放进程,进程中多出了IEXPLORE.exe 进程,这个进程即为启动灰鸽子木马的进程,起到了隐藏灰鸽子自身程序的目的。首先,停止当前运行的IEXPLORE 程
8、序,并停止huigezi 服务,将windows 目录下的huigezi.exe 文件删除,重新启动计算机即可卸载灰鸽子程序。 Word宏病毒实验了解word 宏病毒的实现方法;掌握防治word 宏病毒的方法。Windows XP,word 宏病毒动手实现word 宏病毒的代码编写,熟悉word 宏病毒的作用机制,然后对其进行查杀,掌握清除word 宏病毒的方法。1)编写自己的宏病毒(本实验使用示例1 的代码);2)对doc1 进行病毒殖入;3)实验效果;4)病毒清除;点击启动试验台启动虚拟机,进入虚拟机后点击桌面病毒实验快捷方式进入病毒实验模块1对doc1 进行病毒殖入首先设置word 安全
9、性进入project(Doc1)中的ThisDocument,将示例代码copy 到此 关闭doc1 文档,另外更改word中宏的安全级别,然后再点击面板中的启动doc1,具体的步骤如下图所示这时再打开其它doc 文件,便都会发生弹出对话框的效果: HTML恶意代码实验了解HTML 恶意代码编写原理;掌握HTML 恶意代码运行机制;能够对HTML 恶意代码进行相应的防治。Windows XP/2003, IE6.0 或以上版本利用实验面板中给出的代码,进行相关操作,实现恶意攻击,然后针对HTML 恶意攻击,进行相应的防治。1)利用操作面板中代码,进行test.html 再加工;2)恶意代码攻击
10、现象;3)进行相应的防治;点击面板中编辑test 网页。将b.vbs中代码添入,并保存退出点击面板中的双击test 网页,选择“是”点击是,执行完成,运行结果如下图:查看注册表中项,HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMai已改变,如下图如果将html 放入iis 中(其中IIS在控制面板中的管理工具中),被其他主机或者本机访问时,其主机的IE 需要进行设置,便可不出现步骤(1)中的提示了,如下图,将Internet和本地Intranet中的,自定义设置中的安全设置中所有的选项都启动防治方法:1、运行IE 时,点击工具Inter
11、net 选项安全 Internet 区域的安全级别,把安全级别由中改为高。具体方案是:在IE 窗口中点击工具Internet 选项,在弹出的对话框中选择安全标签,再点击自定义级别按钮,就会弹出安全设置对话框,把其中所有ActiveX 插件和控件以及与Java相关全部选项选择禁用。2、一定要在计算机上安装防火墙,并要时刻打开实时监控功能。3、在注册表的KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem 下,增加名为DisableRegistryTools 的DWORD 值项,将其值改为1,即可禁止使用注册表编辑器命令regedit.exe。因为特殊原因需要修改注册表,可应用如下解锁方法:用记事本编辑一个recover.reg 文件,其中的内容如下:REGEDIT4HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools=dword:00000000双击运行recover.reg 即可。
