恶意代码实验

《变形恶意代码实验》报告学院：计算机学院日期： 2016年 6 月 6 日目录1. 实验目的 (2)2. 实验过程 (2)3. 实现结果 (5)4. 遇到的问题及感想收获 (6)1. 实验目的理解变形的原理，学会实现方法。

2. 实验过程●任意编写一个程序，用VC或者masm32都可以●用OD打开该EXE程序，改变开始部分的代码如下：首先，在exe文件寻找空白区（一段00代码），可用C32查找该空白区域，用lord PE变换该空白区域在内存区的起始VA。

假设空白区VA为0x00402000编写指令实现对EXE的加密，假设原始EXE文件大小30字节，那么就对这30字节按字节做异或操作。

假设原始exe开始字节地址为0x00400100Mov eax，0x33333333；（密码）Mov edx，0x00401000Mov ecx，30；10进制，30次Xor[edx]，eax；加密过程Inc edxLoop S1；事实上在OD上没有S1这个值的，直接敲相应的地址才对Jmp00401000在原EXE文件的结尾相邻处，添加指令 jmp 0x00401cc3最后，利用LordPE修改文件的入口点为0x00401cc33. 实现结果程序已经不能正常运行。

4. 遇到的问题及感想收获本次实验，我通过仔细阅读实验指导书明确了实验的原理和各个过程，也去各个网站下载到了所需要的实验工具，在进行实验过程中，我遇到了很多困难，通过网上查询知识，以及询问同学，重复了多次才成功的完成的实验。

通过本次实验，我积累了OD调试程序的经验，明确对病毒的认识，提高了理论水平和动手能力。

自制恶意程序实验总结1.实践内容一、恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理；使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？二、使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe，寻找特定输入，使其能够输出成功信息。

三、分析一个自制恶意代码样本rada，并撰写报告，回答以下问题：提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息；找出并解释这个二进制文件的目的；识别并说明这个二进制文件所具有的不同特性；识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术；对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由；给出过去已有的具有相似功能的其他工具；可能调查处这个二进制文件的开发作者吗？如果可以，在什么样的环境和什么样的限定条件下？四、取证分析实践Windows 2000系统被攻破并加入僵尸网络问题：数据源是Snort收集的蜜罐主机5天的网络数据源，并去除了一些不相关的流量，同时IP地址和其他敏感信息被混淆。

回答下列问题：IRC是什么？当IRC客户端申请加入一个IRC网络时将发送那个消息？IRC一般使用那些TCP端口？僵尸网络是什么？僵尸网络通常用于什么？蜜罐主机（IP地址：172.16.134.191）与那些IRC服务器进行了通信？在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？哪些IP地址被用于攻击蜜罐主机？攻击者尝试攻击了那些安全漏洞？那些攻击成功了？是如何成功的？2.实践过程一、恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理；使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？首先将实验需要用到的文件复制到kali攻击机中去，并在终端中进入桌面所在的文件夹，使用file RaDa.exe指令来查看此文件文件类型。

实验报告
网络攻击与防范
学院：
姓名：
学号：130624021
专业：软件工程
年级：13级
题目：第六章“恶意代码”2015年6月19日
实验一:
1.实验题目：恶意代码设计，修改IE首页
2.实验目的：学习恶意代码用法以及注册表更改
3.实验时间：2015年6月19日星期五
4.实验地点：J-C-201
5.实验人员：
6.实验步骤：
一：恶意代码对注册表攻击，修改IE首页
方法1：使用网页JavaScript代码，利用Active控件：（1）首先，制作一个网页，在其中写入代码。

如图1
图1
（2）查看注册表中state page，发现首页已更改为。

如图2
图2
方法2：直接更改注册表中的state page值：如图3-5
图3
通过internet选项查看IE首页更改成功
图5
二：完成网页恶意代码设计
（1）禁止关闭网页window.close
如图所示，制作网页并在网页中写入相应关闭网页的代码
打开网页，点击“关闭”按钮或者“下载试卷”，发现弹出图8关闭框，无论点击“是”与“否”都不能关闭，但经过反复确认，我发现这个确认框并不是我所设计的，因此我又经过反复测试，发现电脑有病毒存在，因此阻止了我的行为，经过修改之后，出现了如图9所示的弹出框，实验成功。

图7
图8
图9
（2）循环弹出页面windows.open
在网页中输入循环弹出网页代码，执行网页，带到循环效果，如图11-12
图3
图 4。

《网络攻击与防范》实验报告（２）单击“下一步”按钮·进人如图 4-2 所示的“禁止功能选项”设定界面.根据需要进行设定。

例如。

如果选中“禁止右键菜单”复选框.当运行了该病毒后.右击时将无法弹出快捷菜单。

图 4-2 设置“禁止功能选项”（３）单击“下一步”按钮.进入如图 4-3 所示的“病毒提示对话框”设定界面时。

根据需要设置有关开机时病毒的执行情况。

当选中“设置开机提示对话框”复选框.并设置了提示框标题和内容等后，相关信息将以对话框方式在开机时自动显示图4-3 设置开机时病毒的执行情况（４）单击“下一步”按钮，进入如图 4-4 所示的“病毒传播选项”设定界面,根据需要进行设定。

当选中“通过电子邮件进行自动传播(蠕虫)”复选框时.病毒可以向指定数量的用户发送垃圾邮件。

图4-3 设置开机时病毒的执行情况下一步夏上一步图4-4“病毒传播选项”设定界面（５）单击“下一步”按钮，进入“IE 修改选项”设定界面,根据需要进行设定。

注意.当选中“设置默认主页”复选框后，会弹出“设置主页”对话框,需要读者输人要修改的IE 浏览器主页地址(即每次打开IE 浏览器时默认打开的主页地址).如图 4-5 所示图4-5设置IE浏览器修改选项（6）单击“下一步”按钮，在出现的如图 4-6 所示的对话框中选择所生成的脚本病毒存放的位置,单击“开始制造”按钮,生成病毒文件。

图4-6选择所生成的脚本病毒存放的位置此时,可看到相应路径下,已经生成了脚本病毒文件3.2感染病毒并观察感染后的系统变化情况（１）将生成的脚本病毒文件置于虚拟机中,在其上双击使之运行。

为保证完整准确地查看病毒的感染效果.可重启已经感染了病毒的虚拟机系统。

然后，根据病毒文件生成时的设置，观察系统感染了病毒后的表现情况。

主要操作步骤如下。

（２）观察系统文件夹下的异常变化，可以发现，在 C:\ Windows,C:\Windows\system32下多了不明来源的脚本文件。

实验10 Web恶意代码一、实训目的：掌握web恶意代码攻击原理二、实训内容Web恶意代码攻击三、实训原理利用网页进行攻击是非常难以防范的，目前尚没有什么特别有效的方法可以防范，如果有，也要以牺牲很多功能作为代价。

所谓恶意网页主要是利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页H T M L超文本标记语言内的Java Applet小应用程序，JavaScript脚本语言程序，ActiveX控件部件等可自动执行的代码程序，强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统资源盗取用户文件，或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。

这种非法恶意程序能够得以自动执行，完全在于它不受用户的控制。

一旦用户浏览含有该类程序的网页，就会在不知不觉的情况下立马中招，给系统带来不同程度的破坏。

四、实验平台：Windows XP操作系统，IE（Internet Explorer）浏览器五、实验步骤:1．新建Web页面，输入程序源码。

程序源码如下：<html><body onload = "WindowBomb()"><SCRIPT LANGUAGE = "javascript">function WindowBomb(){while (true){window.open("")}}</script></body></html>用IE打开该文件，观察实验结果，可以看到IE不断的打开163网页。

如果IE阻止了显示内容，右键点击出现的提示信息，选择“允许阻止的内容”，就可以看到实验现象。

2．新建Web页面，编辑程序源码。

程序源码如下：<html><body><script>var color = new Arraycolor[0]="black"color[1]="white"x = 0 ;while(true){document.bgColor=color[x++];document.bgColor=color[x--];}</script></body></html>用IE打开该文件，IE显示的地方出现黑白颜色不断的闪动。

基于机器学习的恶意代码检测方法研究与实验恶意代码（Malware）是指一类恶意设计、编写和传播的计算机软件，其目的是窃取或损坏用户数据，破坏计算机系统的正常运行。

面对日益复杂的恶意代码威胁，研究和开发可靠而高效的恶意代码检测方法显得尤为重要。

机器学习作为一种有效的技术手段，在恶意代码检测领域得到广泛应用。

本文将研究和实验基于机器学习的恶意代码检测方法，探讨其应用和实践。

一、介绍恶意代码的数量和复杂性的不断增加，给网络安全带来了巨大的挑战。

由于恶意代码的特点多变且隐蔽，传统的基于特征匹配的恶意代码检测方法已经不能满足实际的需求，因此，利用机器学习的方法来检测恶意代码成为一种重要的研究方向。

二、恶意代码检测方法的分类基于机器学习的恶意代码检测方法可以分为静态分析和动态分析两种。

1. 静态分析静态分析是通过对恶意代码的源代码或二进制代码进行分析来识别恶意行为的方法。

它不需要运行代码，因此具有较低的计算成本，但也容易受到代码混淆等技术的干扰。

静态分析可以基于特征提取和模式识别等技术来识别恶意代码。

2. 动态分析动态分析是通过监视恶意代码在运行时的行为来识别其恶意行为的方法。

动态分析可以捕获恶意代码与系统交互的信息，对于难以被静态分析发现的恶意行为具有较好的效果。

但动态分析可能会带来一定的性能开销，并且无法对所有样本进行实时分析。

三、基于机器学习的恶意代码检测模型在基于机器学习的恶意代码检测中，常用的模型包括决策树、支持向量机（SVM）、朴素贝叶斯（Naive Bayes）、深度神经网络（DNN）等。

这些模型通过学习已知的恶意代码样本和正常代码样本之间的差异，从而能够对新样本进行分类。

1. 决策树决策树是一种常用的机器学习算法，通过对数据集进行划分，构建一棵树形结构来进行分类。

决策树具有可解释性强、易于理解和实现的优点，但容易出现过拟合的问题。

2. 支持向量机支持向量机是一种常用的分类模型，通过将数据映射到高维空间，找到一个超平面来最大化不同类样本之间的间隔，从而进行分类。

针对恶意代码的多种检测技术研究恶意代码（Malware）是指在未经授权的情况下，能够破坏、篡改、窃取用户数据并对系统造成损害的计算机程序。

随着科技的不断进步，恶意代码的种类和数量也在不断增加，这对计算机系统的安全性和稳定性带来了很大的威胁。

因此，针对恶意代码的多种检测技术的研究备受关注。

1. 静态分析技术静态分析是指在不运行程序的情况下进行代码分析的技术。

通过对程序的代码进行分析，静态分析技术可以检测出程序中存在的漏洞和恶意代码。

首先，静态分析技术通过对程序进行反汇编，将程序的代码转换成易于阅读和分析的汇编代码。

然后，分析人员根据汇编代码中的指令、寄存器和内存地址等信息来推断程序的行为和功能，进而判断程序是否包含恶意代码。

静态分析技术是一种非常强大的检测恶意代码的方法，但也有其局限性。

因为程序的代码可以被加密和脱壳，这样的话，静态分析技术就无法读取代码，从而无法检测恶意代码。

2. 动态分析技术动态分析是指在运行程序时进行代码分析的技术。

动态分析技术可以模拟程序运行的环境，监控程序在执行过程中所产生的行为和结果，从而分析程序的行为和功能，并检测是否存在恶意代码。

相比静态分析技术，动态分析技术效果更好，因为它可以分析程序在不同的环境下的行为，可以识别出隐藏在程序代码中并不容易检测出的恶意行为。

动态分析技术的缺点是相对慢，这是因为动态分析技术需要在运行时监控程序的行为，从而增加了系统开销和性能损失。

3. 基于签名的检测技术基于签名的检测技术是指根据已知的模式或特征来识别恶意代码的技术。

这些模式或特征被称为“病毒特征库”，里面包含了许多恶意代码的签名。

基于签名的检测技术比较简单，并且能够检测出已知的恶意代码。

但是，这种技术无法检测出未知的恶意代码，并且很容易被绕过。

4. 基于行为的检测技术基于行为的检测技术是指通过监控程序运行时所产生的行为信息来识别恶意代码的技术。

这种技术能够检测出已知和未知的恶意代码，并且能够判断程序的行为是否可疑。