计算机病毒和入侵检测实验报告二
一.网页恶意代码 1.恶意网页1
新建记事本HostilityCode1.txt,在文本中编写如下代码,保存代码并退出,更改扩展名.txt为.html,双击HostilityCode1.html页面,观察页面效果。
页面效果: 黑色和白色的页面 不停的闪烁和切换 。并说明其实现原理: 通过运行一个死的for循环(从0增加到2,然后再把变量设置回0),来不断的改变页面背景 。
2.恶意网页2
新建记事本HostilityCode2.txt,在文本中编写如下代码,保存代码并退出,更改扩展名.txt为.html,双击HostilityCode2.html页面,观察页面效果。
页面效果: 不断的弹出WEB网页 。
并说明其实现原理: 网页一打开就加载openwindows()函数,_在当前主机上打开1000个网页 。
二.svir.vbs病毒专杀工具设计 1.观察svir.vbs病毒感染现象
(1)查看病毒要感染和修改的目标项。
进入实验平台,点击工具栏中的“实验目录”按钮,进入脚本病毒实验目录,使用UltraEdit或记事本打开svir.vbs病毒文件查看其源码。
由病毒源码可知,病毒首先要复制自己的副本到指定目录,然后在注册表中添加启动项,再感染指定目录下的文件,最后显示发作信息。因此我们要查看这些相关项在病毒发作前的状态。根据病毒源码,查看如下项:
? 系统目录下的病毒副本
在“C:\\WINDOWS”目录及其子文件夹中搜索是否有文件“MSKernel32.vbs”。
? 注册表中的开机启动项
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\MSKernel32
? 指定感染目录下的文件
查看C:\\JLCSS\\TOOLS\\Virus\\ScriptVir\\中的子目录及不同类型的文件是否都变成以“.vbs”结尾的脚本文件。
(2)双击“svir.vbs”运行病毒文件。
(3)重复查看病毒要感染和修改的目标项是否有被病毒感染的现象。 (4)重启计算机观察是否有病毒发作现象。 2.手工查杀病毒 (1)结束病毒进程。
打开“任务管理器”结束Windows脚本宿主进程。
“svir.vbs”是用VBS脚本语言编写的,它是通过Windows脚本宿主“wscript.exe”程序解释执行的,所以结束病毒进程就是结束“wscript.exe”进程。 (2)删除系统目录中的病毒副本。
在C:\\WINDOWS目录及其子文件夹中搜索文件MSKernel32.vbs,并删除。 (3)修改注册表。
打开“注册表编辑器”找到注册表项HKEY_LOCAL_MACHINE\\Software\\Microsoft\\ Windows\\CurrentVersion\\Run\\MSKernel32,将其删除。 (4)恢复被感染的文件。
在病毒发作后,指定感染目录下病毒要感染项都生成以原文件名命名,以“vbs”为扩展名的病毒副本,原来的文件被修改了文件属性,成为了隐藏文件。
? 删除病毒文件
在病毒指定感染目录及其子目录中,删除所有被病毒感染后生成的以“.vbs”为扩展名的文件。
? 恢复文件属性
打开“资源管理器”,单击“工具”| “文件夹选项”| “查看” , 选中“显示所有文件和文件夹”,单击“确定”后显示被隐藏起来的文件。
右键单击隐藏文件选择“属性”,在“常规”选项卡 中 取消对“隐藏”的选择 , 单击“确定”恢复文件属性。
3.设计脚本病毒专杀工具查杀病毒
(1)根据实验原理介绍的相关知识编程实现针对“svir.vbs”的专杀工具。要求专杀工具能够实现如下功能:
? 删除病毒在系统目录中创建的副本。 ? 删除病毒在注册表中创建的开机启动项。
? 删除病毒在指定目录中感染的文件,并恢复被隐藏的原文件的属性。 ? 结束病毒发作时弹出的消息框进程。
(2)运行病毒文件“svir.vbs”。
(3)运行专杀工具对病毒“svir.vbs”进行查杀。
设计思路:
a. 结束病毒进程
在查杀病毒时应该首先结束病毒的进程再进行其它操作,但我们现在查杀的是脚本病毒,使用的工具也是脚本语言,它们都是由Windows脚本宿主“wscript.exe”解释执行的,所以如果我们首先就将此进程结束,则专杀工具程序的其它部分就不能工作了。因此在查杀脚本病毒时要在专杀程序其它模块的工作完成后,再结束此进程。 我们可以通过下列代码结束指定的进程。
首先通过GetObject(\获得WMI对象,WMI(Windows Management
Instrumentation)技术是微软提供的Windows下的系统管理工具。在WMI对象下有很多的子项,在这里我们要获得系统中所有的进程列表子项中名为“wscript.exe”的进程,然后使用Terminate 方法结束此进程。 b. 删除病毒文件
下面代码用于删除指定目录中的指定文件。
ExpandEnvironmentStrings方法用于返回环境变量的扩展值,%SystemRoot%即是“C:\\WINDOWS”目录。GetFile方法用于在指定的路径中返回相应的对象,然后使用此对象的Delete方法将指定文件删除。
c. 删除病毒添加的自启动项
使用regdelete方法来删除指定的注册表项,如下面代码所示:
d. 查杀指定目录下的病毒文件
在这个模块中我们可以使用病毒源码中遍历文件夹和感染文件的部分代码,实现查杀病毒的功能。
此模块作用是遍历指定文件夹及其子文件夹,然后调用病毒查杀模块clearvirus进行杀
毒。根据“svir.vbs”病毒的特点,对目录中的文件的扩展名进行判断。如果是扩展名为“.vbs”的文件,则使用Delete方法删除。如果不是,则使用文件Attributes的属性将此文件属性改为“0”,即普通文件。
问答题:
1. 脚本病毒有什么弱点? 答:
(1)绝大部分VBS脚本病毒运行的时候需要用到一个对象:FileSystemObject;可以禁用文件系统对象。
(2)VBScript代码是通过Windows Script Host来解释执行的,计算机可以卸载该程序。 (3)VBS脚本病毒的运行需要其关联程序Wscript.exe的支持,可以在windows目录下删除该程序。
(4)通过网页传播的病毒需要ActiveX的支持,在浏览器的“安全“内可以禁用所有的ActiveX组件,病毒就不会感染了。
(5)VBS、VBE、JS、JSE文件后缀名开始,删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。