COM病毒实验

病毒实验指导书上海交通大学信息安全工程学院2010年10月目录1、引导区病毒2、可执行文件病毒2.1 COM病毒2.2 PE病毒3、宏病毒3.1 美丽莎宏病毒3.2 台湾No.1宏病毒4、恶意脚本4.1 网络炸弹脚本4.2万花谷脚本4.3欢乐时光脚本5、蠕虫5.1 U盘蠕虫5.2 RPC漏洞蠕虫六、木马6.1 基本木马程序6.2 BO2K木马七、恶意代码检测实验附录一：虚拟机下安装DOS一、引导区病毒1.1 实验目的通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染染毒文件的方法，提高汇编语言的使用能力。

1.2 实验原理本实验采用的引导病毒样本是一个教学版的样本，引导含有这个病毒的软盘或硬盘都将触发它。

该病毒并不会做什么破坏，被感染的软盘或硬盘都可以恢复。

1.3 预备知识本实验需要如下的预备知识：1.引导病毒的基础知识，包括引导病毒的概念，引导扇区的位置和结构等。

2.BIOS常用中断的相关知识，包括对磁盘的读写和屏幕字符的打印等。

3.汇编语言基础，能独立阅读和分析汇编代码，掌握常用的汇编指令。

1.4 实验内容本实验需要完成的内容如下：1.引导阶段病毒由软盘感染硬盘实验。

通过触发病毒，观察病毒发作的现象和步骤学习病毒的感染机制；阅读和分析病毒的代码。

2.Dos运行时病毒由硬盘感染软盘的实现。

通过触发病毒，观察病毒发作的现象和步骤学习病毒的感染机制；阅读和分析病毒的代码。

1.5 实验环境VMWare Workstation 5.5.3MS-DOS 7.10实验素材：experiments目录下的bootvirus目录。

虚拟机：virtualmachine目录下的DOSVM目录。

1.6 实验步骤1.环境安装安装虚拟机VMWare，在虚拟机环境内安装MS-DOS 7.10环境。

安装步骤参考附录“如何在虚拟机上安装MSDOS？”如果直接下载虚拟机映像文件，则可以省去该部分。

《网络攻击与防范》实验报告（２）单击“下一步”按钮·进人如图 4-2 所示的“禁止功能选项”设定界面.根据需要进行设定。

例如。

如果选中“禁止右键菜单”复选框.当运行了该病毒后.右击时将无法弹出快捷菜单。

图 4-2 设置“禁止功能选项”（３）单击“下一步”按钮.进入如图 4-3 所示的“病毒提示对话框”设定界面时。

根据需要设置有关开机时病毒的执行情况。

当选中“设置开机提示对话框”复选框.并设置了提示框标题和内容等后，相关信息将以对话框方式在开机时自动显示图4-3 设置开机时病毒的执行情况（４）单击“下一步”按钮，进入如图 4-4 所示的“病毒传播选项”设定界面,根据需要进行设定。

当选中“通过电子邮件进行自动传播(蠕虫)”复选框时.病毒可以向指定数量的用户发送垃圾邮件。

图4-3 设置开机时病毒的执行情况下一步夏上一步图4-4“病毒传播选项”设定界面（５）单击“下一步”按钮，进入“IE 修改选项”设定界面,根据需要进行设定。

注意.当选中“设置默认主页”复选框后，会弹出“设置主页”对话框,需要读者输人要修改的IE 浏览器主页地址(即每次打开IE 浏览器时默认打开的主页地址).如图 4-5 所示图4-5设置IE浏览器修改选项（6）单击“下一步”按钮，在出现的如图 4-6 所示的对话框中选择所生成的脚本病毒存放的位置,单击“开始制造”按钮,生成病毒文件。

图4-6选择所生成的脚本病毒存放的位置此时,可看到相应路径下,已经生成了脚本病毒文件3.2感染病毒并观察感染后的系统变化情况（１）将生成的脚本病毒文件置于虚拟机中,在其上双击使之运行。

为保证完整准确地查看病毒的感染效果.可重启已经感染了病毒的虚拟机系统。

然后，根据病毒文件生成时的设置，观察系统感染了病毒后的表现情况。

主要操作步骤如下。

（２）观察系统文件夹下的异常变化，可以发现，在 C:\ Windows,C:\Windows\system32下多了不明来源的脚本文件。

南昌航空大学实验报告二〇一三年十一月八日课程名称：信息安全实验名称：实验1木马攻击与防范班级：xxx 姓名：xxx 同组人：指导教师评定：签名：一、实验目的通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理木马的全称为特洛伊木马，源自古希腊神话。

木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。

它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。

1．木马的特性木马程序为了实现其特殊功能，一般应该具有以下性质：(1)伪装性(2)隐藏性(3)破坏性(4)窃密性2．木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法，如更改图标、把木马文件与普通文件合并，欺骗被攻击者下载并执行做了手脚的木马程序，就会把木马安装到被攻击者的计算机中。

木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵，攻击者可以利用浏览器的漏洞诱导上网者单击网页，这样浏览器就会自动执行脚本，实现木马的下载和安装。

木马还可以利用系统的一些漏洞入侵，获得控制权限，然后在被攻击的服务器上安装并运行木马。

3．木马的种类(1)按照木马的发展历程，可以分为4个阶段：第1代木马是伪装型病毒；第2代木马是网络传播型木马；第3代木马在连接方式上有了改进，利用了端口反弹技术，例如灰鸽子木马；第4代木马在进程隐藏方面做了较大改动，让木马服务器端运行时没有进程，网络操作插入到系统进程或者应用进程中完成，例如广外男生木马。

(2)按照功能分类，木马又可以分为：破坏型木马；密码发送型木马；服务型木马；DOS 攻击型木马；代理型木马；远程控制型木马。

4．木马的工作原理下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。

自从1987年发现了全世界首例计算机病毒以来，病毒的数量早已超过1万种以上，并且还在以每年两千种新病毒的速度递增，不断困扰着涉及计算机领域的各个行业。

计算机病毒的危害及造成的损失是众所周知的，发明计算机病毒的人同样也受到社会和公众舆论的谴责。

也许有人会问：“计算机病毒是哪位先生发明的?”这个问题至今无法说清楚，但是有一点可以肯定，即计算机病毒的发源地是科学最发达的美国。

虽然全世界的计算机专家们站在不同立场或不同角度分析了病毒的起因，但也没有能够对此作出最后的定论，只能推测电脑病毒缘于以下几种原因：一、科幻小说的启发；二、恶作剧的产物；三、电脑游戏的产物；四、软件产权保护的结果.第一节计算机病毒历史早在1949年，电脑的先驱者冯·诺伊曼在他的一篇文章《复杂自动装置的理论及组织的行为》中，即提出一种会自我繁殖的程序的可能----现在称为病毒，但没引起注意。

十年之后，在贝尔实验室中，这个概念在一个电子游戏中形成了。

这个电子游戏叫“Core War”。

Core War这个游戏由三个年轻的工程师完成，道格拉斯·麦耀莱、维特·维索斯基和罗伯特·莫里斯（后来那个编写蠕虫病毒的莫里斯的父亲）。

CoreWar的玩如下：双方各编写一套程序，输入同一部电脑中。

这两套程序在计算机内存中运行，它们相互追杀。

有时它们回放下一些关卡，有时会停下来修复被对方破坏的指令。

当它们被困时，可以自己复制自己，逃离险境。

因为它们都在电脑的内存（以前是用core做内存的）游走，因此叫CoreWar。

这个游戏的特点，在於双方的程序进入电脑之后,玩游戏的人只能看着屏幕上显示的战况，而不能做任何更改，一直到某一方的程式被另一方的程式完全[吃掉] 为止。

这个游戏分成好几种，麦耀莱所写的叫[达尔文]，包含了[物竞天择,适者生存] 的意思。

它的游戏规则跟以上所描述的最接近。

游戏双方用汇编语言(Assembly Language)各写一套程式,叫有机体(organism)。

信息安全实验室（Ⅰ、Ⅱ）1.信息安全实验室（Ⅰ、Ⅱ）简介1.信息安全实验室（Ⅰ、Ⅱ）信息安全实验室(Ⅰ、Ⅱ) 实验室面积95.04×2（190.08）平方米，800元以上的设备台数为121+57（178）台，设备价值84+21（105）万元，由主控中心平台、安全设备、组控设备、教师机、服务器和100台计算机终端组成。

软件系统包括教师机管理平台和学生机实验平台。

管理平台为实验主机提供Web、FTP、DNS、DHCP、E-mail等服务，并实现网络拓扑结构的远程自动切换，可以根据课程需要选择实验内容。

信息安全实验室可以完成现代密码学、入侵检测、病毒原理、安全审计、主机安全、网络攻防、无线安全、冗余技术和生物特征等信息安全仿真实验。

并支持教师科研和学生第二课堂活动等。

2.所开设的课程（4门）现代密码学病毒原理与防治信息安全技术入侵检测与安全扫描3．本实验室能完成的实验项目（36项）一、现代密码学（1）古典密码算法（2）DES算法（3）AES算法（4）IDEA算法（5）RSA算法（6）ELGamal算法（7）MD5算法（8）SHA1函数二、病毒原理与防治（1）引导程序设计（2）清除病毒程序设计（3）COM病毒实验（4）清除DOS文件病毒（5）Word宏病毒实验（6）重构PE文件结构法防病毒（7）邮件病毒（8）网页恶意代码（9）木马查杀三、信息安全技术（1）Windows Server2003账号安全（2）Windows Server2003主机的初级安全（3）Windows Server2003主机的中级安全（4）Linux文件系统的安全（5）Linux帐号的安全性（6）使用Sniffer工具进行TCP/IP分析（7）NFS和NIS安全（8）拒绝服务攻击（9）模拟网络攻击四、入侵检测与安全扫描（1）Windows系统安全策略（2）嗅探器的使用（3）Nmap端口扫描工具（4）使用嗅探器截获扫描数据（5）系统日志文件（6）用ISA搭建防火墙（7）Web安全扫描器的使用（8）网络安全扫描器的使用（9）snort的配置、安装与使用（10）系统安全的整体解决方案4．现开设的实验项目（27项）（1）古典密码算法（2）DES算法（3）AES算法（4）IDEA算法（5）RSA算法（6）ELGamal算法（7）MD5算法（8）SHA1函数（9）引导程序设计（10）清除病毒程序设计（11）COM病毒实验（12）清除DOS文件病毒（13）Word宏病毒实验（14）重构PE文件结构法防病毒（15）邮件病毒（16）网页恶意代码（17）木马查杀（18）Windows系统安全策略（19）嗅探器的使用（20）Nmap端口扫描工具（21）使用嗅探器截获扫描数据（22）系统日志文件（23）用ISA搭建防火墙（24）Web安全扫描器的使用（25）网络安全扫描器的使用（26）snort的配置、安装与使用（27）系统安全的整体解决方案。