病毒实验指导书
- 格式:doc
- 大小:3.38 MB
- 文档页数:82
1 病毒实验指导书 上海交通大学信息安全工程学院 2010年10月 2
目 录 1、 引导区病毒 2、 可执行文件病毒 2.1 COM病毒 2.2 PE病毒 3、 宏病毒 3.1 美丽莎宏病毒 3.2 台湾No.1宏病毒 4、 恶意脚本 4.1 网络炸弹脚本 4.2 万花谷脚本 4.3 欢乐时光脚本 5、 蠕虫 5.1 U盘蠕虫 5.2 RPC漏洞蠕虫 六、木马 6.1 基本木马程序 6.2 BO2K木马 七、恶意代码检测实验 附录一:虚拟机下安装DOS 3
一、引导区病毒 1.1 实验目的 通过实验,了解引导区病毒的感染对象和感染特征,重点学习引导病毒的感染机制和恢复感染染毒文件的方法,提高汇编语言的使用能力。
1.2 实验原理 本实验采用的引导病毒样本是一个教学版的样本,引导含有这个病毒的软盘或硬盘都将触发它。该病毒并不会做什么破坏,被感染的软盘或硬盘都可以恢复。
1.3 预备知识 本实验需要如下的预备知识: 1. 引导病毒的基础知识,包括引导病毒的概念,引导扇区的位置和结构等。 2. BIOS常用中断的相关知识,包括对磁盘的读写和屏幕字符的打印等。 3. 汇编语言基础,能独立阅读和分析汇编代码,掌握常用的汇编指令。
1.4 实验内容 本实验需要完成的内容如下: 1. 引导阶段病毒由软盘感染硬盘实验。通过触发病毒,观察病毒发作的现象和步骤学习病毒的感染机制;阅读和分析病毒的代码。
2. Dos运行时病毒由硬盘感染软盘的实现。通过触发病毒,观察病毒发作的现象和步骤学习病毒的感染机制;阅读和分析病毒的代码。
1.5 实验环境 VMWare Workstation 5.5.3 MS-DOS 7.10 实验素材:experiments目录下的bootvirus目录。 虚拟机:virtualmachine目录下的DOSVM目录。 4
1.6 实验步骤 1.环境安装 安装虚拟机VMWare,在虚拟机环境内安装MS-DOS 7.10环境。安装步骤参考附录“如何在虚拟机上安装MSDOS?”
如果直接下载虚拟机映像文件,则可以省去该部分。
2.软盘感染硬盘 1.运行虚拟机,检查目前虚拟硬盘是否含有病毒。如图1-1表示没有病毒正常启动硬盘的状态。
图1-1 2.下载含有病毒的虚拟软盘virus.img。 3.将含有病毒的软盘插入虚拟机引导,可以看到闪动的字符*^_^*,如图1-2
图1-2 5
按任意键后出现以下画面(图1-3所示)。 图1-3 3. 取出虚拟软盘,通过硬盘引导,再次出现了病毒的画面(图1-4所示)。
图1-4 按任意键后正常引导了dos系统(图1-5所示)。可见,硬盘已经被感染。
图1-5 6
3.硬盘感染软盘 1.下载empty.img,并且将它插入虚拟机,启动电脑,由于该盘为空,得到如图1-6显示。
图1-6 2.取出虚拟软盘,从硬盘启动,通过命令format A: /q快速格式化软盘。可能提示出错,这时只要按R即可。如图1-7所示。
图1-7 结果如1-8所示。 7
图1-8 3.不要取出虚拟软盘,重新启动虚拟机,这时是从empty.img引导,可以看到病毒的画面,如图1-9:
图1-9 按任意键则显示图1-10。
图1-10 可见,病毒已经成功由硬盘传染给了软盘。
1.7 实验思考 a) 如何检测一个硬盘是否感染了引导病毒? b) 如何清除染毒的硬盘或软盘? 8
二、可执行文件病毒 2.1 COM病毒 2.1.1 实验目的 掌握COM病毒的传播原理。 2.1.2 实验环境 VMWare Workstation 5.5.3 MS-DOS 7.10 MASM611 实验素材:experiments目录的COM目录下。 虚拟机映像:vituralmachine目录下的DOSVM。
2.1.3 病毒原理 COM文件是一种单段执行结构的文件,其执行文件代码和执行时内存映像完全相同,起始执行偏移地址为100H,对应于文件的偏移00H(文件头)。感染COM文件的典型做法如下:
cs:0100 jmp endoffile ;db 0E9H, 0100H处为文件的开头 ;dw COM文件的实际大小 … endoffile: virusstart: ;病毒代码开始 mov ax, orgcode ;orgcode db 3 dup(?) ;原文件由0100开始的3个字节 mov [100], ax mov al, [orgcode+2] mov [102], al virussize = $-virusstart resume: jmp 100 ;db 0E9H ;dw 当前地址-(COM文件的实际大小+病毒代码大小)
病毒要感染COM文件,先将开始的3个字节保存在orgcode中,并将这3个字节更改为0E9H和COM文件的实际大小的二进制编码。然后,将resume开始的3个字节改为0E9H和表达式(当前地址-COM文件的实际大小+病毒代码大小)的二进制编码,以便在执行完病毒后转向执行原程序。最后,将病毒写入原COM文件的末尾。 此外,完整的病毒感染代码还需要感染标记判断、文件大小判断等。
2.1.4 实验步骤 1.环境安装 安装虚拟机VMWare,在虚拟机环境内安装MS-DOS 7.10环境。安装步骤参考附录“如何 9
在虚拟机上安装MSDOS?” 如果直接下载虚拟机映像文件,则可以省去该部分。 在MS-DOS C:\MASM目录下安装MASM611,然后将binr目录下的link.exe复制到bin目录下。 2.源码准备 从电子资源中拷贝病毒程序Virus.asm及测试程序源代码test.asm。存放到目录C:\masm611\bin 如果直接下载虚拟机映像文件,这两个代码已经存在于相关目录中。
图2-1-1 3.编译程序 编译链接test.asm,形成test.com测试程序。 编译链接virus.asm,生成病毒程序virus.exe。 两个程序的编译过程完全相同,在此,以编译virus.asm为例,详细过程如下: (1) masm virus.com 输入该语句,可以生成virus.obj。具体如下图: 10
图2-1-2 (2) link viurs.obj 输入该指令,生成virus.com。在默认情况下,会生成viurs.exe,可以在link过程中把名字改为com,参加下图:
图2-1-3 (3)检查文件 检查当前目录下是否生成了virus.com ?如果存在则已经正确编译。以同样的步骤生成test.com。 4.实验步骤 (1)实验准备 11
在C:\MASM\Bin目录下建立del.txt文件,并且将test.com和病毒virus.com复制到此目录下。 (2)感染前的运行情况 执行test.com”观察未感染前的运行结果。如下图:
图2-1-4 (3)运行病毒 执行virus.com文件以感染test.com文件并且自动删除del.txt。如下图:
图2-1-5 (4)观察感染后的效果 12
执行test.com观察感染后的结果可知,test.com运行过程由两部分组成,首先显示了病毒代码的一部分工作,然后,显示了自身的原有功能。如下图:
图2-1-6 5.程序源码 本实验以尾部感染COM文件的病毒为例子,其中待感染COM文件源代码test.asm、病毒源文件源代码virus.asm参见附书源代码。
2.2 PE病毒 2.2.1 实验目的 通过实验,了解PE病毒的感染对象和学习文件感染PE病毒前后的特征变化以重点学习PE病毒的感染机制和恢复感染染毒文件的方法,提高汇编语言的使用能力。
2.2.2 实验原理 本实验采用的PE病毒样本是一个教学版的样本,执行病毒样本或者执行染毒文件都将触发此病毒。一旦触发,病毒感染其所在文件夹内的所有pe文件。该样本不具有破坏模块,染毒文件可恢复。
2.2.3 实验预备知识点 本实验需要如下的预备知识: 4. PE病毒的基础知识,包括PE病毒的概念,PE文件的概念和文件格式。 5. 相关的操作系统知识,包括内存分页机制,变量的重定位机制,动态连接库的概念和调用方法和用于文件操作的API函数。
6. 汇编语言基础,能独立阅读和分析汇编代码,掌握常用的汇编指令。 13
2.2.4 实验内容 本实验需要完成的内容如下: 4. PE病毒感染实验。通过触发病毒,观察病毒发作的现象和步骤学习病毒的感染机制;阅读和分析病毒的代码,并完成系统附带的习题。
5. PE病毒的杀毒实验。使用实验系统提供的杀毒工具学习恢复染毒文件的方法;阅读和分析杀毒程序代码,并完成习题。
2.2.4 实验环境 1. 实验小组机器要求有WEB浏览器IE。 2. 操作系统为windows2000。 2.2.5 实验步骤 打开“信息安全综合实验系统” 在右上角选择“实验导航”双击“病毒教学实验系统”进入病毒教学实验系统登录面界,输入用户名和密码。(注意:实验前先关闭所有杀毒软件。)
1.病毒感染实验 进入病毒防护教学实验后,点击左侧的“PE病毒”,然后在点击下面的“病毒感染实验”,其右侧为“病毒感染实验”的界面,如图2-2-1,及2-2-2所示。认真阅读IE页面列出的知识要点,包括PE病毒概念,著名的病毒介绍,PE文件格式和PE病毒感染机制。
2-2-1 根据页面首行提示下载实验软件包到本地主机任意路径,解压软件包。 进入 “bin”目录点击“PE病毒实验.exe”,选择“PE病毒感染实验”,打开感染实验的界面。按照ie页面提示的流程,开始PE病毒感染实验。