计算机病毒实验之脚本病毒.docx

计算机病毒实验报告4.3 欢乐时光脚本病毒4.3 欢乐时光脚本病毒4.3.1 实验目的理解脚本病毒的感染和传播机制，重点了解新欢乐时光病毒的感染和传播行为。学习病毒的加解密技术。学习检测和防范脚本病毒的方法。4.3.2 实验原理欢乐时光病毒是采用vbscript编写的脚本病毒，内嵌于.html和.vsb后缀的脚本文件，可运行于IE6及6以下的版本的IE。该病毒通过感染本地的脚本文件和Outlook Express的信纸模版进行传播，具有加密性和可变性。本实验使用的病毒代码经过修改，对病毒的感染范围做了有效控制。4.3.3 实验预备知识点对VB有一定的了解。了解windows注册表。学会使用Outlook Express的信纸模版功能，会察看模版的源脚本。4.3.4 实验内容欢乐时光病毒演示实验。通过单步跟踪病毒发作的全过程，学习脚本病毒的感染技术和传播技术；阅读和分析病毒的代码，加深对这个内容的理解。欢乐时光病毒的杀毒实验。在对上个实验内容理解与记忆的基础上，自行修复病毒对系统做过的恶意修改，修复对象包括注册表，Outlook Express和被感染的脚本文件。欢乐时光病毒的加密与解密实验。根据解密的脚本，推导出加密算法，并对病毒体进行加密。4.3.5 实验环境实验小组机器要求有WEB浏览器IE。操作系统为windows2000/XP。4.3.6 实验步骤打开“信息安全综合实验系统” 在右上角选择“实验导航”双击“病毒教学实验系统”进入病毒教学实验系统登录面界，输入用户名和密码。（注意：实验前先关闭所有杀毒软件。）1.病毒感染实验进入病毒防护教学实验后，点击左侧的“欢乐时光脚本病毒”，然后在点击下面的“病毒感染实验”，其右侧为“病毒感染实验”的界面（如图3-1所示）。仔细阅读改病毒的简介与感染现象。图4-3-1　感染实验点击“infected_files.rar”将该文件下载到本地，保存至D盘根目录下，并解压。若实验时系统不能在该路径下找到此文件夹，将会报错。按照页面提示将IE安全级别设置为“低”。点击“运行病毒”按钮，开始病毒感染的演示实验。在运行过程中，当页面出现如下对话框时，请点击“是”，否则病毒将被IE禁止。图4-3-2　感染实验病毒运行被分为若干个步骤，每完成一个动作，演示将发生停顿，用户可阅读病毒的运行信息，或点击“察看”到系统的指定目录检验病毒感染的现象。图4-3-3　感染实验点击“继续”可激活病毒进入下一个感染步骤。点击“一键到底”，病毒演示将取消中间的停顿，连贯的执行到最后一步。2.病毒代码分析进入病毒防护教学实验后，点击左侧的“欢乐时光脚本病毒”，然后在点击下面的“病毒代码分析”。可以查看该病毒的源代码及对应注释，部分内容与习题相关，请仔细阅读。3.加密解密实验进入病毒防护教学实验后，点击左侧的“欢乐时光脚本病毒”，然后在点击下面的“加密解密实验”。a. 阅读“解密部分”的代码，理解病毒的解密算法。并根据这一算法，推导出病毒的加密算法。b. 在“加密部分”留出的空白处填上加密数组的值与加密表达式。然后点击“加密”，系统将使用你设计的算法对病毒体加密，密文显示在下面的文本框中。图4-3-4　加密解密图4-3-5　加密解密实验c.点击“解密”按钮，系统将使用病毒的解密算法对你生成的密文解密，明文显示在下面的文本框中。若你设计的加密算法正确，明文将是可识别的病毒代码，如下图。图4-3-6　加密解密实验4.杀毒实验进入病毒防护教学实验后，点击左侧的“欢乐时光脚本病毒”，然后在点击下面的“杀毒实验”。请回忆病毒对本地系统的所有篡改，一一恢复这些篡改，包括修复被感染的本地文件，删除生成的注册表表项和文件及恢复Outlook Express的设置。完成之后，点击“检查修复情况”，跟据提示检查你的恢复工作有哪些遗漏。图4-3-7　检查结果点击“一键修复”，实验系统将自动清除病毒，还原干净的系统。4.病毒防护方法进入病毒防护教学实验后，点击左侧的“欢乐时光脚本病毒”，然后在点击下面的“病毒防护方法”，学习防范脚本病毒的方法。4.3.7实验思考在windows2000/XP系统环境下，新欢乐时光病毒如何实现病毒体在系统启动时自动运行？病毒代码中那些模块部应该加密？答：修改注册表的启动项，病毒代码的执行模块应该被加密。