中南大学病毒攻击与防治实验报告.docx

中南大学病毒攻击与防治实验报告学生姓名 代巍 指导教师 汪洁 学 院 信息科学与工程学院专业班级 信安1201班 学 号 0909121615完成时间 2014年12月5日 PE型病毒实验一、实验目标：了解PE病毒的原理； 掌握PE病毒的分析及其修改过程； 能够根据病毒特征还原PE文件； 二、实验环境：虚拟机：Windows XP，Host.exe准备被感染文件，PEditor.exe，cc.exe病毒感染文件三、实验过程：使用cc.exe自制无害感染PE病毒，感染host.exe文件，通过peditor查看感染前后PE文件的变化，并适当改值复原host.exe程序，达到对PE病毒原理及其修复的方法的掌握。实验内容包括：使用peditor查看了解pe文件结构；pe病毒一般的编写原理；感染host程序，并用peditor查看感染后的PE文件；修复host感染程序；启动虚拟机，并设置虚拟机的IP地址，以虚拟机为目标主机进行实验。个别实验学生可以以2人一组的形式，互为攻击方和被攻击方来做实验。四、实验结果1. HOST 程序分析 1） 打开文件夹中PEditor.exe文件，然后依此点击 PE 文件工具览host.exe。如下图所示 点击节表，可查看如下图： 2） 点击文件夹中的“host 程序”，运行如下图 3） 关闭host 程序，点击面板中的“添加新节”，便是用cc.exe 感染host 程序，然后点击面板中的“host 程序”，查看感染后的运行结果。 2. 感染过程 1） 点击面板中的“节表”，然后进入节表查看器里，“节添加器”，如下图： 3. 感染前后对比及修改 1） 点击面板中PE 文件工具浏览host.exe。如下图所示： 点击节表，可查看如下图： （2） 几个关键值的对比，如下图： 病毒查找及清除实验一、实验目标：1、掌握手动病毒查找的方法； 2、掌握常见病毒分析和查杀的第三方工具使用方法； 3、能够根据病毒特征清除病毒； 二、实验环境：虚拟机：Windows XP/2003，Regshot 注册表对比工具，Aport 端口查看工具，Process Explorer 三、实验过程：通过第三方软件，察看病毒的运行状态，对系统配置的修改，从而了解病毒的运行原理，达到手动清楚木马与病毒的目的。实验内容包括： 1） 注册表查看和监控； 2） 文件型病毒代码查看； 3） 进程查看和管理； 4） 端口状态分析； 启动虚拟机，并设置虚拟机的IP 地址，以虚拟机为目标主机进行攻防试验。 1. 注册表分析； （1） 点击工具regshott，用户在页面右侧可以根据提示使用第三方工具，对比不同时间点的注册表信息。如下图所示 步骤一、利用工具对系统注册表进行拍照，首先单击快照1。 四、实验结果：1. 注册表分析； （1） 点击工具regshott，用户在页面右侧可以根据提示使用第三方工具，对比不同时间点的注册表信息。如下图所示 步骤一、利用工具对系统注册表进行拍照，首先单击快照1。 步骤二、运行桌面上的灰鸽子病毒，在灰鸽子客户端软件中生成服务器端程序，在本机执行该服务器程序即运行病毒样本，该病毒将把自身注册到注册表启动项，以达到随系统启动而自动运行的效果； 步骤三、利用工具再次对系统注册表进行拍照即单击快照2，并进行比较，分析注册表的变化，找到病毒注册的关键位置。步骤四、启动注册表编辑器，恢复被修改的注册表关键项，从而清除病毒。 2. 进程状态分析 （1） 点击工具箱中攻防工具检测工具process exp，如下图所示，用户在页面右侧将会根据提示运行第三方工具查看当前活动进程状态。从该图中可以明显的看到灰鸽子程序在运行的进程，进而可以终止该病毒程序运行3. 端口状态分析 （1） 点击工具箱中攻防工具检测工具aport，用户在页面右侧可以根据提示使用第三方工具，查看本机端口开放状态。如下图所示，从该图中可以明显的看到灰鸽子程序在运行的进程，进而可以终止该病毒程序运行。（2） 学生用户根据端口开放状态找到非法进程，进行以下操作： 步骤一：结束可疑进程； 步骤二：定位可疑进程对应的文件； 步骤三；清除病毒文件。 木马攻击实验一、实验目标：掌握木马攻击的原理； 了解通过木马对被控制主机的攻击过程 了解典型的木马的破坏结果； 二、实验环境：虚拟机：Windows XP，灰鸽子客户端软件Client为攻击端，Server为被攻击端三、实验过程：木马，全称为：特洛伊木马（Trojan Horse）。特洛伊木马这一词最早出先在希腊神话传说中。相传在3000年前，在一次希腊战争中。麦尼劳斯（人名）派兵讨伐特洛伊（王国），但久攻不下。他们想出了一个主意：首先他们假装被打败，然后留下一个木马。而木马里面却藏着最强悍的勇士。最后等