篇一:计算机病毒实验之脚本病毒
计算机病毒实验报告
4.3 欢乐时光脚本病毒
4.3 欢乐时光脚本病毒
4.3.1 实验目的
理解脚本病毒的感染和传播机制,重点了解新欢乐时光病毒的感染和传播行为。 学习病毒的加解密技术。
学习检测和防范脚本病毒的方法。
4.3.2 实验原理
欢乐时光病毒是采用vbscript编写的脚本病毒,内嵌于.html和.vsb后缀的脚本文件,可运行于IE6及6以下的版本的IE。该病毒通过感染本地的脚本文件和Outlook Express的信纸模版进行传播,具有加密性和可变性。本实验使用的病毒代码经过修改,对病毒的感染范围做了有效控制。
4.3.3 实验预备知识点
对VB有一定的了解。
了解windows注册表。
学会使用Outlook Express的信纸模版功能,会察看模版的源脚本。
4.3.4 实验内容
欢乐时光病毒演示实验。通过单步跟踪病毒发作的全过程,学习脚本病毒的感染技术和传播技术;阅读和分析病毒的代码,加深对这个内容的理解。
欢乐时光病毒的杀毒实验。在对上个实验内容理解与记忆的基础上,自行修复病毒对系统做过的恶意修改,修复对象包括注册表,Outlook Express和被感染的脚本文件。
欢乐时光病毒的加密与解密实验。根据解密的脚本,推导出加密算法,并对病毒体进行加密。
4.3.5 实验环境
实验小组机器要求有WEB浏览器IE。
操作系统为windows2000/XP。
4.3.6 实验步骤
打开“信息安全综合实验系统” 在右上角选择“实验导航”双击“病毒教学实验系统”进入病毒教学实验系统登录面界,输入用户名和密码。(注意:实验前先关闭所有杀毒软件。)
1.病毒感染实验
进入病毒防护教学实验后,点击左侧的“欢乐时光脚本病毒”,然后在点击下面的“病毒感染实验”,其右侧为“病毒感染实验”的界面(如图3-1所示)。仔细阅读改病毒的简介与感染现象。
图4-3-1 感染实验
点击“infected_files.rar”将该文件下载到本地,保存至D盘根目录下,并解压。若实验时系统不能在该路径下找到此文件夹,将会报错。按照页面提示将IE安全级别设置为“低”。点击“运行病毒”按钮,开始病毒感染的演示实验。在运行过程中,当页面出现如下对话框时,请点击“是”,否则病毒将被IE禁止。
图
4-3-2
感染实验
病毒运行被分为若干个步骤,每完成一个动作,演示将发生停顿,用户可阅读病毒的运行信息,或点击“察看”到系统的指定目录检验病毒感染的现象。
图4-3-3 感染实验
点击“继续”可激活病毒进入下一个感染步骤。点击“一键到底”,病毒演示将取消中间的停顿,连贯的执行到最后一步。
2.病毒代码分析
进入病毒防护教学实验后,点击左侧的“欢乐时光脚本病毒”,然后在点击下面的“病毒代码分析”。可以查看该病毒的源代码及对应注释,部分内容与习题相关,请仔细阅读。
3.加密解密实验
进入病毒防护教学实验后,点击左侧的“欢乐时光脚本病毒”,然后在点击下面的“加密解密实验”。
a. 阅读“解密部分”的代码,理解病毒的解密算法。并根据这一算法,推导出病毒的加密算法。
b. 在“加密部分”留出的空白处填上加密数组的值与加密表达式。然后点击“加密”,系统将使用你设计的算法对病毒体加密,密文显示在下面的文本框中。
图4-3-4 加密解
密
篇二:实验4 VB脚本病毒
XI`AN TECHNOLOGICAL UNIVERSITY
实验报告
实验目的
1.了解VB脚本病毒的工作原理
2.了解VB脚本病毒常见的感染目标和感染方式
3.掌握编写VB脚本病毒专杀工具的一般方法
实验原理
一.脚本病毒概述
脚本程序的执行环境需要WSH(WINDOWS SCRIPT HOST,WINDOWS脚本宿主)环境,WSH为宿主脚本创建环境。即当脚本到达计算机时,WSH充当主机的部分,它使对象和服务可用于脚本,并提供一系列脚本执行指南。 脚本病毒的主要特点:
(1)由于脚本是直接解释执行,可以直接通过自我复制的方式感染其它同类文件,并且使异常处理变得非常容易。
(2)脚本病毒通过HTML文档、EMAIL附件或其它方式,可以在很短的时间内传遍世界各地,通常是使用在邮件附件中安置病毒本体的方法,然后利用人们的好奇心,通过邮件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。
(3)新型的邮件病毒邮件正文即为病毒,用户接收到带毒邮件后,即使不将邮件打开,只要将鼠标指向邮件,通过预览功能病毒也会被自动激活。
(4)病毒源码容易被获取,变种多。
(5)欺骗性强。
二.爱虫病毒分析
1.病毒简介
“爱虫”(VBS.LOVELETTER)病毒从2000年5月4日开始在欧洲大陆迅速传播,并向全世界蔓延。其传播原理是通过MICROSOFT OUTLOOK将名为“LOVE-LETTER-FOR-YOU.TXT.VBS”的邮件发送给用户地址薄里所有的地址。 当病毒运行后会在系统中留下以下文件:
(1)\WINDOWS\WIN32DLL.VBS;
(2)\SYSTEM\MSKERNEL.VBS;
(3)\SYSTEM\LOVE-LETTER_FOR_YOU.TXT.VBS。
2.病毒的杀毒步骤
(1)在WINDOWS下查看进程列表中是否有WSCRIPT这个文件,如有此文件说明已经感染。将该文件“结束任务”。
(2)进入C:\WINDOWS\SYSTEM中,运行MSCONFIG.EXE选择“启动”模板,将所有的后缀为“*.VBS”的文件选择为禁用状态。
(3)在保证内存中无WSCRIPT这个文件后,重启计算机。
(4)查找一个叫WIN-BUGFIX.EXE的文件并删除它,如果安装了MIRC则删除SCRIPT.INI文件,删除含LOVE-LETTER-FOR-YOU.TXT附件的EMAIL。
(5)打开注册表编辑器并删除下列键值:
3.病毒各模块功能介绍
爱虫病毒的结构化做得很好,各个模块功能非常独立,彼此并不相互依赖,流程也非常清楚,下面对每个函数过程的功能作一简单介绍。
(1)MAIN
爱虫病毒的主模块,它集成调用其它各个模块。
(2)REGRUNS
该模块主要用来修改注册表RUN下面的启动项指向病毒文件、修改下载目录,并负责随机从给定的4个网址中下载WIN-BUGFIX.EXE文件,并使启动项指向该文件。
(3)HTML
该模块主要用来生成LOVE-LETTER-FOR-YOU.HTM文件,该HTM文件执行后会执行里面的病毒代码,并在系统目录生成一个病毒副本MSKERNEL32.VBS文件。
(4)SPREADTOEMAIL
该模块主要用于将病毒文件作为附件发送给OUTLOOK地址薄中的所有用户,也是破坏性最大的一个模块。
(5)LISTADRIV
该模块主要用于搜索本地磁盘,并对磁盘文件进行感染。它调用了FOLDERLIST()函数,该函数主要用来遍历整个磁盘,对目标文件进行感染。
4.脚本病毒的预防和清除
脚本病毒的运行和传播有如下特点:
(1)VBS代码是通过WINDOWS SCRIPT HOST来解释执行的。
(2)VBS病毒的运行需要其关联程序WSCRIPT.EXE的支持。
(3)大部分VBS病毒运行的时候需要用到一个对象:FILESYSTEMOBJECT。
(4)通过网页传播的脚本病毒需要ACTIVEX的支持。
(5)通过EMAIL传播的病毒需要OE的自动发送邮件功能支持。 防范脚本病毒措施有:
(1)卸载WINDOWS SCRIPTING HOST
打开“控制面板”|“添加/删除程序”|“WINDOWS安装程序”|“附件”|取消“WINDOWS SCRIPTING HOST”一项。
(2)禁用文件系统对象FILESYSTEMOBJECT
用REGSVR32 SCRRUN.DLL /U这条命令就可以禁止文件系统对象。其中REGSVR32是WINDOWS\SYSTEM下的可执行文件。或者直接查找SCRRUN.DLL文件删除或者改名。
(3)在WINDOWS目录中,找到WSCRIPT.EXE,更改名称或者删除。
(4)设置浏览器。首先打开浏览器,单击菜单栏里“INTERNET选项”安全选项卡里的“自定义级别”按钮。把“ACTIVEX控件及插件”的一切设为禁用。
(5)禁止OE的自动收发邮件功能。
三.SVIR病毒专杀设计分析
1.SVIR.VBS脚本病毒特征
SVIR.VBS病毒具备爱虫病毒的部分功能,是以爱虫病毒为基础,减弱其破坏性,并将感染范围控制到一定的范围内的模拟病毒。使用记事本打开文件C:\EXPNIS\ANTIVIR-LAB\VIRUS\SCRIPTVIR\SVIR.VBS根据爱虫病毒原理和源代码中的相关注释了解它的工作原理和感染现象。
实验步骤
一.svir.vbs病毒专杀工具设计
1.观察svir.vbs病毒感染现象
(1)查看病毒要感染和修改的目标项。
进入实验平台,点击工具栏中的“实验目录”按钮,进入脚本病毒实验目录,
使用UltraEdit或记事本打开svir.vbs病毒文件查看其源码。
由病毒源码可知,病毒首先要复制自己的副本到指定目录,然后在注册表中添加启动项,再感染指定目录下的文件,最后显示发作信息。因此我们要查看这些相关项在病毒发作前的状态。根据病毒源码,查看如下项:
● 系统目录下的病毒副本
在“C:\WINDOWS”目录及其子文件夹中搜索是否有文件“MSKernel32.vbs”。
● 注册表中的开机启动项
注册表键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下是否有MSKernel32项。
● 指定感染目录下的文件
查看目录C:\ExpNIS\AntiVir-Lab\Virus\ScriptVir\VBA\中的子目录及不同类型的文件是否都变成以“.vbs”结尾的脚本文件。
(2)双击“svir.vbs”运行病毒文件。
(3)重复查看病毒要感染和修改的目标项是否有被病毒感染的现象
。
篇三:2012012194信安1202李自然-实验五--脚本病毒实验
北京信息科技大学
信息管理学院
课程设计报告
课程名称 《计算机病毒分析与防范》课程设计 题 目脚本及恶意网页实验 指导教师 孙璇设计起止日期 2015年5月10日
系 别 信息管理学院 专 业信息安全学生姓名李自然 班级/学号 信安1202/2012012194成 绩
1
北京信息科技大学
信息管理学院
1
2
3
4
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有