防病毒实验报告_王宝
病毒防范与分析实训报告
苏州市职业大学实习(实训)任务书名称:病毒防范与分析实训起讫时间:2013年1月1日〜2013年1月6日院系:计算机工程系班级:10网络安全(CIW)指导教师:周莉、肖长水系主任:李金祥实习(实训)目的和要求掌握以网络管理员或者是网络安全专业人员的身份,实现对常见病毒的分析和预防方法。
要求掌握以下主要技能:1. 掌握文件型病毒原理、发现方法、查杀技巧;2. 掌握宏病毒的感染方式、工作原理和查杀方法;3. 掌握脚本病毒的一般性工作原理、常见的感染方式;4. 掌握邮件型病毒的传播方式、工作原理、查杀方法;5. 掌握计算机蠕虫的定义、攻击原理,了解漏洞溢出原理养成良好的编程习惯;文件(巳潟谊⑥查看㈣收懑凶XRCO地址(囚 O C^&jpNL^AnWir-Lab^riisExp^iteYiru^tsxtlheiO.exe \____ >»■■■ui rI Labor Day Virus, axe图1-1 :感染前heiO.exe 的大小文件® 编辑⑥查馳收藏⑷工具①帮動⑹l b捷乗ir 文件夹| j x地址(R Q 匚:^ExpNI3^AntiVir-Lab\Vtij5Exp\Fileviru£ltext图1-2 :感染后hei0.exe 的大小(2)单击工具栏“ OllyDBG ”按钮启动ollyDbg1.10 ,单击文件菜单中的“打开”项,选择要 修复的hei0.exe 。
由于病毒修改了原程序的入口点,因此会有程序入口点超出代码范围的提示。
如图1-3所示:立件旧至春怕调就囚搞禅®选项£匚@H (w )圄呵回列聖I 兰1亚]旦~岂厂邑厂聖1團网回亘H图1-3 :打开要修复的文件单击“确定”按钮继续,程序会停在病毒修改后的程序入口点(hei0.exe 的入口点为0x00403200)上,在代码中找到最后一个 jmp 指令处(病毒感染完成后将跳转回原程序),按F2设置断点,按F9运行,程序会在刚设置的 jmp 断点上中断,查看 EAX 寄存器的值(EAX=0x401000注意上面提到的断点,下面还会用到) ,按F7单步执行到下一条指令地址,点选鼠标右键,选择菜单中的“用ollyDump 脱壳调试进程”,选中重建输入表方式 1,方式2各脱壳一次,分别保存为1.exe 、2.exe 。
反病毒实验报告.
《网络安全与反病毒技术》实验指导《网络安全与反病毒技术》,要求学生通过实验加深对课堂讲授理论知识的理解,做到理论结合实践,提高对网络安全协议设计、系统攻防方面的认识,培养和锻炼学生分析问题及解决问题的能力。
要求学生做到:(1)对每个要做的实验进行预习,了解相关内容和具体要求,熟悉相关的软件工具。
(2)按照实验内容和步骤,达到预期的实验结果,并进行屏幕抓图。
(3)按照实验报告的格式要求,写出实验报告。
实验内容:实验一:网络端口扫描实验二:网络嗅探实验三:木马攻击与防范实验四:Windows IPSec安全策略的配置实验一网络端口扫描(一)实验目的1.通过使用网络端口扫描器,了解端口扫描的用途及扫描原理2.掌握Windows环境下使用SuperScan对主机端口进行扫描的方法。
(二)实验原理一个开放的端口就是一条与计算机进行通信的信道,对端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息。
扫描工具是对目标主机的安全性弱点进行扫描检测的软件。
它一般具有数据分析功能,通过对端口的扫描分析,可以发现目标主机开放的端口和所提供的服务,以及相应服务软件版本和这些服务及软件的安全漏洞,从而可以及时了解目标主机存在的安全隐患。
1、端口基本知识端口是TCP协议定义的。
TCP协议通过套接字(socket)建立起两台计算机之间的网络连接。
套接字采用[IP地址:端口号] 的形式来定义。
通过套接字中不同的端口号来区别同一台计算机上开启的不同TCP和UDP连接进程。
对于两台计算机间的任一个TCP连接,一台计算机的一个[IP地址:端口]套接字会和另一台计算机的一个[IP地址:端口]套接字相对应,彼此标识着源端、目的端上数据包传输的源进程和目标进程。
这样网络上传输的数据包就可以由套接字中的IP地址和端口号找到需要传输的主机和连接进程了。
由此可见,端口和服务进程一一对应,通过扫描开放的端口,就可以判断出计算机中正在运行的服务进程。
电脑病毒与防治实验报告
电脑病毒与防治实验报告电脑病毒是一种在计算机系统中传播并破坏数据或干扰正常运行的恶意软件。
在当今数字化社会,电脑病毒越来越成为人们日常生活中的一个隐患。
为了更好地了解电脑病毒的危害以及有效防治方法,我们进行了相关实验并撰写此报告。
### 实验目的通过实验,探讨电脑病毒对计算机系统的危害程度,以及采取何种方法可以有效防治电脑病毒的侵害。
### 实验材料1. 实验室计算机设备2. 各类电脑病毒样本3. 杀毒软件4. 防火墙软件### 实验步骤1. 收集各类型电脑病毒样本,包括文件病毒、网页病毒、邮件病毒等。
2. 将病毒样本分别输入实验室的计算机系统中,观察病毒对系统的影响。
3. 安装杀毒软件,并对感染病毒的计算机进行查杀和清除操作。
4. 启动防火墙软件,设置相关防护策略,阻止病毒入侵计算机系统。
5. 对比有无杀毒软件和防火墙软件的情况下,电脑系统的表现和安全性。
### 实验结果分析经过实验观察和对比分析,我们得出以下结论:1. 电脑病毒的危害程度较大,不仅会导致系统运行缓慢、文件丢失、数据泄露等问题,还可能对计算机系统进行破坏,使其无法正常使用。
2. 安装杀毒软件和启用防火墙软件是预防电脑病毒的有效措施。
杀毒软件可以及时查杀发现的病毒,防火墙软件可以阻止病毒入侵系统。
3. 电脑系统在有杀毒软件和防火墙软件保护下,运行更加稳定,数据更加安全,用户体验更好。
### 实验结论综上所述,电脑病毒对计算机系统的危害不可忽视,因此加强对电脑病毒的防治至关重要。
安装杀毒软件和防火墙软件是预防和治理电脑病毒的有效手段,建议广大用户定期更新杀毒软件和防火墙软件,并加强对网络安全的重视,保护个人和机构的信息安全。
通过本次实验,我们对电脑病毒及其防治方法有了更深入的了解,相信在未来的计算机使用中,将更加注重网络安全,提高电脑系统的安全防护意识。
愿我们的实验报告能为更多人提供有益的参考和启示。
防病毒软件测试报告McafeeSEP卡巴NOD
防病毒软件测试报告一、参测产品简介:1、McAfee VirusScan® EnterpriseMcAfee VirusScan® Enterprise 将入侵防护和防火墙技术整合到一款解决方案中,使个人计算机和文件服务器的病毒防护提升到更高水平。
通过McAfee ePolicy Orchestrator® 管理此解决方案,可确保企业遵从安全策略并提供企业级报告功能。
McAfee VirusScan Enterprise 是一项针对PC 和服务器的创新技术。
它能够前瞻性地拦截和清除恶意软件,扩展防护范围,抵御新的安全风险,同时还能降低应对病毒爆发所需的成本。
企业不能坐以待毙,指望安全机构去识别各项威胁并发布签名文件。
攻击发生与识别之间的时间间隔非常重要,当然是越短越好。
如果您的防护技术能够识别新的未知威胁,那就再好不过了。
VirusScan Enterprise 结合了先进的防病毒、防火墙以及入侵防护技术,可以有效防范各种威胁。
借助先进的启发式检测和常规检测功能,它可发现新的未知病毒,甚至包括隐藏在压缩文件中的病毒。
McAfee VirusScan Enterprise 可查找针对Microsoft 应用程序和服务的已知漏洞的攻击,还可识别和拦截利用JavaScript 和VisualBasic 编写的各种威胁。
由于只有最及时的更新才能提供最佳的病毒防护,因此,McAfee VirusScan Enterprise 数据库每天都会使用McAfee Avert® Labs(世界领先的威胁研究中心)提供的信息进行更新。
2、Symantec11.0企业版SEP11.0产品整合了赛门铁克防病毒与高级威胁防护技术,为用户提供前所未有的防护,抵御各种恶意软件,从而保护便携式电脑、台式机和服务器等端点的安全。
为了保护用户、抵御当前威胁和未来新型威胁,SEP11.0纳入了主动防护技术,自动分析应用行为和网络沟通,从而检测并主动拦截威胁。
禽流感灭杀实验报告(3篇)
第1篇一、实验目的本实验旨在探究不同消毒剂对禽流感病毒的灭杀效果,为禽流感的防控提供科学依据。
二、实验材料1. 实验动物:鸡胚(10日龄)2. 实验病毒:禽流感病毒(H5N1)3. 消毒剂:甲醛、次氯酸钠、酚类消毒剂、氧化剂、碱类消毒剂4. 实验器材:高压灭菌锅、无菌操作台、显微镜、培养皿、移液器、消毒液、无菌水等三、实验方法1. 禽流感病毒悬液的制备将禽流感病毒接种于鸡胚,培养至10日龄,收集病毒悬液,经1000倍稀释后备用。
2. 消毒剂配制根据不同消毒剂的浓度要求,配制相应浓度的消毒液。
3. 消毒效果实验将制备好的禽流感病毒悬液分别与不同浓度的消毒剂混合,置于37℃恒温箱中处理30分钟。
处理后,将混合液接种于鸡胚,观察鸡胚的死亡情况。
4. 数据分析根据鸡胚的死亡情况,计算不同消毒剂的灭杀率,并进行统计分析。
四、实验结果1. 甲醛消毒剂甲醛消毒剂对禽流感病毒的灭杀效果显著,不同浓度下,病毒灭杀率均在90%以上。
2. 次氯酸钠消毒剂次氯酸钠消毒剂对禽流感病毒的灭杀效果较好,不同浓度下,病毒灭杀率均在80%以上。
3. 酚类消毒剂酚类消毒剂对禽流感病毒的灭杀效果一般,不同浓度下,病毒灭杀率在60%左右。
4. 氧化剂消毒剂氧化剂消毒剂对禽流感病毒的灭杀效果较好,不同浓度下,病毒灭杀率在70%以上。
5. 碱类消毒剂碱类消毒剂对禽流感病毒的灭杀效果较好,不同浓度下,病毒灭杀率在80%以上。
五、讨论本实验结果表明,甲醛、次氯酸钠、氧化剂和碱类消毒剂对禽流感病毒具有较强的灭杀效果,可作为禽流感防控过程中的消毒剂选择。
酚类消毒剂灭杀效果较差,不建议使用。
六、结论1. 甲醛、次氯酸钠、氧化剂和碱类消毒剂对禽流感病毒具有较强的灭杀效果,可用于禽流感防控过程中的消毒。
2. 实验结果为禽流感防控提供了科学依据,有助于提高禽流感防控效果。
3. 在实际应用中,应根据具体情况选择合适的消毒剂,并严格按照操作规程进行消毒,以确保消毒效果。
防病毒安全教育总结
防病毒安全教育总结病毒是互联网安全的主要威胁之一,为了提高人们的网络安全意识和能力,进行防病毒安全教育是非常重要的。
本文对防病毒安全教育的总结进行概述。
教育目标防病毒安全教育的目标是让人们了解病毒的危害和传播途径,掌握防病毒的基本知识和技能,培养良好的网络安全惯和意识。
教育内容防病毒安全教育的内容可以包括以下几个方面:1. 病毒的定义和分类:介绍病毒的基本概念、种类和传播方式,让人们了解不同类型的病毒对计算机和网络的威胁。
2. 防病毒软件的使用:介绍常见的防病毒软件,教授安装、更新和使用防病毒软件的方法,以及如何进行病毒扫描和清除。
5. 备份重要数据:强调定期备份重要数据的重要性,以防止病毒攻击导致数据丢失或损坏。
教育方法防病毒安全教育可以通过以下几种方式进行:1. 举办讲座或研讨会:邀请专业人士讲解病毒防范知识,向参与者提供相关资料和案例分析。
2. 发放宣传资料:制作防病毒安全教育的宣传资料,如海报、手册等,宣传病毒防范知识和技巧。
3. 在线教育平台:借助互联网平台,提供在线防病毒安全教育课程和教材,使更多人可以随时研究。
4. 公司内部培训:组织公司内部的防病毒安全培训,提升员工的网络安全意识和能力。
教育效果评估为了评估防病毒安全教育的效果,可以采取以下几种方法:1. 调查问卷:设计调查问卷,向受教育者询问他们对防病毒安全知识的理解和掌握程度。
2. 模拟测试:通过模拟病毒攻击的测试,评估受教育者在遭受病毒攻击时的应对能力。
3. 统计数据:记录公司或组织的病毒攻击事件次数和影响程度,评估防病毒安全教育对降低病毒攻击风险的影响。
结语通过进行防病毒安全教育,可以提高人们的网络安全防范能力,减少遭受病毒攻击的风险。
我们应该持续加强防病毒安全教育,以保障个人和组织的网络安全。
病毒技术实验报告
病毒技术实验报告引言近年来,随着信息技术的快速发展,病毒技术也逐渐成为网络安全领域的研究热点之一。
通过对病毒技术的深入研究,可以加强对现有病毒的分析和防范能力,提高网络安全的水平。
本实验旨在通过深入了解和实践病毒技术,以期对病毒的工作原理、传播途径和防御方法有更全面的认识。
实验目的1.了解病毒的工作原理和分类;2.学习病毒的传播方式和繁殖特性;3.掌握病毒的防御方法和安全措施。
实验步骤1. 病毒的工作原理病毒作为一种恶意软件,其主要功能是通过自我复制和传播感染目标计算机系统,给系统带来破坏和损失。
病毒的工作原理可以分为以下几个步骤:•感染阶段:病毒会通过感染病毒携带者(例如邮件附件、下载文件等)进入目标系统,并在系统中寻找可感染的目标文件;•激活阶段:病毒感染目标文件后,等待触发激活条件,例如特定的日期、时间等;•执行阶段:一旦激活条件满足,病毒会开始执行其恶意功能,例如删除文件、传播自身等。
2. 病毒的分类根据病毒的传播方式和破坏程度,病毒可以分为以下几类:•文件病毒:通过感染可执行文件或系统文件来传播,例如EXE、DLL 等;•宏病毒:通过感染办公软件中的宏来传播,例如Word、Excel等;•蠕虫病毒:通过网络传播,自我复制和传播,例如蠕虫病毒可以通过电子邮件、文件共享等途径感染目标系统;•特洛伊木马:外表看起来正常或有吸引力的程序,但在运行时会执行恶意功能;•广告病毒:通过在用户浏览器中显示广告来获取经济利益。
3. 病毒的传播途径和繁殖特性病毒的传播途径主要有以下几种:•邮件附件:病毒常通过电子邮件附件传播,用户在打开或下载附件时可能被感染;•下载文件:用户在下载可疑的文件时可能会下载并运行病毒;•移动存储设备:病毒可以通过USB闪存驱动器等移动存储设备传播;•网络共享:病毒可以通过共享文件夹在局域网内传播。
病毒的繁殖特性也不尽相同,有的病毒具有自我复制和传播的能力,有的病毒则需要依靠人工操作来传播。
病毒实验报告
实验报告
网络攻击与防范
学院:
姓名:
学号:
专业:软件工程
年级:13级
题目:第四章“病毒”2015年6月2日
实验一:
1.实验题目:制作U盘病毒
2.实验目的:学习病毒特征,更有效的了解病毒,防止病毒
3.实验时间:2015年6月2日星期二
4.实验地点:
5.实验人员:
6.实验步骤:
一:制作U盘病毒
(1)首先在U盘中复制一个病毒可执行文件,本实验中我选用的是蜘蛛纸牌.exe,并且新建一个文本文档,命名为autorun,记事本格式打开文本文档,在其中输入新建病毒命令,并且另存为autorun.inf,保存类型为“所有文件”
如图1-2
图1
图2
(2)弹出U盘,重新插入后,发现U盘图标已经修改为蜘蛛纸牌的图标,但当打开U盘时仍能正常运行,并不能打开蜘蛛纸牌如图3-4
图3
打开后无病毒弹出
图4
(3)因为不能执行成功,所以根据老师给的文档中注册表进行修改,[HKEY_LOCAL_MACHINE\SOFTW ARE\Microsoft\Windows\Current Version\Explorer\Advanced\Folder\Hidden\SHOW ALL] 改CheckedValue"为1,发现电脑本身的值就为1,于是我依次进行了修改为0,修改为2,都不能成功。
如图5-6
图5
图6
二:尝试正常打开装有病毒的U盘(1)利用【运行】对话框来打开U盘如图7-8
图7
图8 (3)利用【我的电脑】窗口来打开U盘运行成功
如图9
图9。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防病毒实验报告
姓名:王宝
学号:08103663
班级:信安10-1班
指导教师:朱长征
2013.7
实验一PE结构分析及DOS病毒感染与清除
一、实验目的
1.熟悉PE文件结构
2.掌握DOS系统下.EXE文件病毒感染与清除方法
二、实验要求
1.实验之前认真准备,编写好源程序。
2.实验中认真调试程序,对运行结果进行分析,注意程序的正确性和健壮性的验证。
3.不断积累程序的调试方法。
三、实验内容
1)手工或编程从user32.dll中获得MessageBoxA的函数地址;1、打开lordPE软件,查找user32.dll,找到如下图:
图 1
2、右击点载入到PE文件编辑器
3、点击目录,查看目录表信息
4、用软件给出的文件位置计算器就可以得到MessageBoxA的一些信息如下:
如此就可以得到MessageBoxA的VA。
又因为,文件中的地址与内存中表示不同,它是用偏移量(File offset)来表示的。
在SoftICE和W32Dasm下显示的地址值是内存地址(memory offset),或称之为虚拟地址(Virual Address,VA)。
而十六进制工具里,如:Hiew、Hex Workshop等显示的地址就是文件地址,称之为偏移量(File offset) 或物理地址(RAW offset)。
所以偏移地址就是物理地址。
这样就得到了MessageBoxA的地址了。
2)查阅资料,结合第2章内容,根据PE结构编写一个小的工具软件,或者用PE Explorer、PEditor、Stud_PE等工具软件查看、分析PE 文件格式。
针对PE文件格式,请思考:Win32病毒感染PE文件,须对该文件作哪些修改;
PE的总体结构如下表所示:
DOS MZ header部分是DOS时代遗留的产物,是PE文件的一个遗传基因,一个Win32程序如果在DOS下也是可以执行,只是提示:“This
program cannot be run in DOS mode.”然后就结束执行,提示执行者,这个程序要在Win32系统下执行。
DOS stub 部分是DOS插桩代码,是DOS下的16位程序代码,只是为了显示上面的提示数据。
这段代码是编译器在程序编译过程中自动添加的。
PE header 是真正的Win32程序的格式头部,其中包括了PE格式的各种信息,指导系统如何装载和执行此程序代码。
Section table(节表)部分是PE代码和数据的结构数据,指示装载系统代码段在哪里,数据段在哪里等。
对于不同的PE文件,设计者可能要求该文件包括不同的数据的Section。
所以有一个Section Table 作为索引。
Section(节)多少可以根据实际情况而不同。
但至少要有一个Section。
如果一个程序连代码都没有,那么他也不能称为可执行代码。
在Section Table后,Section数目的多少是不定的。
由上述可见病毒要如何修改PE文件就需要修改节表,给PE文件增加一个新节,然后在新节中添加病毒所用的代码。
实验二Windows病毒分析与防治
一、实验目的
掌握Windows病毒感染与清除方法
二、实验要求
1.实验之前认真准备,编写好源程序。
2.实验中认真调试程序,对运行结果进行分析,注意程序的正确性和健壮性的验证。
3.不断积累程序的调试方法。
三、实验内容
1)编程实现Immunity病毒;
2)修复被Immunity感染的host_pe.exe
注意:此时该文件的文件大小是8496字节。
1.将host_pe.exe和Immunity.exe拷贝到同一目录下,并运行Immunity.exe。
Immunity感染
host_pe.exe。
为了便于比较,将其重命名为host_pe2.exe。
2.重复步骤3
3.分析文件感染前后的异同
感染后文件基本信息:
如图所示有五个明显的改变:
(1)文件大小变为12800字节。
注:验证了病毒写入节表的操作,写入病毒代码到新添加的节中。
(2)入口点变为00007000。
注:验证了病毒修改Address Of EntryPoint。
(3)镜像大小变为00008000。
注:验证了病毒更新Size Of Image。
(4)节数增加了一节。
注:验证了病毒添加了一个新节。
(5)可选头部大小变为0248。
比较感染前后节表变化:
感染前:
感染后:
显然感染后的文件多出了一节,病毒代码便写入此节,病毒修改入口点指向此段代码,待运行病毒代码之后再返回HOST继续执行。
7.手工清除Immunity病毒
(1)利用PEditor打开节表查看器,删除病毒代码节。
(2)手工修改被改变的各项数值为初始值,并应用更改,这样文件中插入的病毒代码段便无用了。
(3)彻底清除host_pe2.exe中的垃圾代码,利用重建器重建程序,如图:
四、实验体会
这次实验和实验一使我对PE文件的结构有了一定的了解,在实验的过程中,通过对病毒代码的调试,我掌握了典型PE病毒的基本结构,对关键模块的特点及功能都有了一定的掌握,从而认识到了此类病毒的感染机制和触发条件等,同时在对病毒进行手工清除和对染毒文件修复的过程中,我了解到了PE病毒一般的感染特征和防范方法,这对病毒的防治有着很深远的作用。
实验三蠕虫/木马的分析与防治
一、实验目的
掌握蠕虫/木马感染与清除方法
二、实验要求
1.实验之前认真准备,编写好源程序。
2.实验中认真调试程序,对运行结果进行分析,注意程序的正确性和健壮性的验证。
3.不断积累程序的调试方法。
三、实验内容
1)实现木马远程监视/控制;
2)修复被上述病毒感染的系统
我是利用网络人进行的远程控制。
其实网络人不是完全意义上的病毒,它只是一个远程控制软件。
因为它没有秘密侵入对方主机,而是在对方同意时,登陆相同的账号,才能使用。
由于能力还不够,所以我就按照病毒的思路对它进行操作了。
首先利用QQ工具将网络人被控端发给对方。
如果对方没有点击,则过程失败,需要继续寻找下个目标。
如果对方不小心或是好奇点击,则在被控端安装被控程序。
额,其实一般人不会那么容易中招。
为了节省时间,我在自己的虚拟机中安装了被控端,以方便远程监控、控制。
控制端界面:
被控端设置界面:
主控端控制对方屏幕:
与对方进行文字聊天:
对被控端进行系统控制:
卸载被控端方法:
1)主控端远程卸载,当然让病毒的制造者主动放弃控制自己的主机,
很显然这个概率是非常小的。
2)被控端利用系统资源管理器发现被控的运行状态,然后利用
windows搜索找到被控端安装位置,将其删除。
重新启动,查看木马文件是否还在,如果还在将其加入黑名单,从不启动,然后就等待杀毒软件更新将其杀掉。
四实验体会
经过这次实验,我对木马有了更深一步的理解。
也对木马十分的感兴趣。
希望在今后的防病毒学习中,我可以利用自己的能力去编写一些木马程序,实现木马程序的一些功能。