病毒防范与分析实训报告

苏州市职业大学
实习（实训）任务书
名称：病毒防范与分析实训
起讫时间：2013年1月1日〜2013年1月6日院系：计算机工程系
班级：10网络安全（CIW）
指导教师：周莉、肖长水
系主任：李金祥
实习（实训）目的和要求
掌握以网络管理员或者是网络安全专业人员的身份，实现对常见病毒的分析和预防方法。

要求掌握以下主要技能：
1. 掌握文件型病毒原理、发现方法、查杀技巧；
2. 掌握宏病毒的感染方式、工作原理和查杀方法；
3. 掌握脚本病毒的一般性工作原理、常见的感染方式；
4. 掌握邮件型病毒的传播方式、工作原理、查杀方法；
5. 掌握计算机蠕虫的定义、攻击原理，了解漏洞溢出原理养成良好的编程习惯；
文件（巳潟谊⑥查看㈣收懑凶
XRCO
地址(囚 O C^&jpNL^AnWir-Lab^riisExp^iteYiru^tsxt
lheiO.exe \
____ >»■■■
ui r
I Labor Day Virus, axe
图1-1 :感染前heiO.exe 的大小
文件® 编辑⑥查馳收藏⑷工具①帮動⑹
l b
捷乗
ir 文件夹| j x
地址(R Q 匚:^ExpNI3^AntiVir-Lab\Vtij5Exp\Fileviru£ltext
图1-2 :感染后hei0.exe 的大小
（2）单击工具栏“ OllyDBG ”按钮启动ollyDbg1.10 ，单击文件菜单中的“打开”项，选择要 修复的hei0.exe 。

由于病毒修改了原程序的入口点，因此会有程序入口点超出代码范围的提示。

如图1-3所示：
立件旧至春怕调就囚搞禅®选项£匚@H （w ）
圄呵回列聖I 兰1亚]旦~岂厂邑厂聖1團网回亘H
图1-3 :打开要修复的文件
单击“确定”按钮继续，程序会停在病毒修改后的程序入口点（
hei0.exe 的入口点为
0x00403200）上，在代码中找到最后一个 jmp 指令处（病毒感染完成后将跳转回原程序）
，按F2
设置断点，按F9运行，程序会在刚设置的 jmp 断点上中断，查看 EAX 寄存器的值（EAX=0x401000
注意上面提到的断点，下面还会用到） ，按F7单步执行到下一条指令地址，点选鼠标右键，选择
菜单中的“用ollyDump 脱壳调试进程”，选中重建输入表方式 1,方式2各脱壳一次，分别保存为
1.
exe 、2.exe 。

测试两个程序不具有病毒
丈上
I 奘型 3KB 应用程序 IS KB 应;用程
■E 称
""lheiO.exe
ritsssffiM 式那|类型
9 KB 应用程序 13 KB 应用程序
數瘵 I 覆汇漏
00403Z03 X4C32O9 □0403213 004C3214 004f1219 K4C321A 0042220 004C32£l 00403227 004C322A X4C3Z30 □04“ 卸 X4C3244 □04C324E 004C3255 004C32SB □0403261 rri4r32E7 D0403S6A D04C3270
F 吐;H EBK
MOV EBP,ISF
SUB E5F _______________________ (MOV ofwatRj) m ss ； [EBT -ISCL FUEH
EAZ
CALL heiO. 00^03213
POP
MOV OWED PTL 常：[EBF-1H], EAX
FO (F 盹
MOV EAX, DffORI FTR SS: EBP-19C] SUB EAX, ：9
MOV BWOEI CMOV OTfORJ CMQY QfflOKi
(rav DWOEJ 55 8BEC
GltC 10030000 C785 64FEF?FF E0
E0 COOOCOOD BUS
so
8BQ5
R3E8 8905 C785
CT05 CTB5 C74G
6k Al 30003000 MOV EAX, DWOM FTR FS: [30]
6ESD 8B51
0995 8H5
C4FEFFFF G4FEF?FF 19 64FEFFFF OCFEFFFF eSFEF?FF
eOFDF?FF U0 OODOOOCMOV UKIBD FTL SS ：IEBF-19Cl IAX FT! SSJEBT-IF^], 3
FTL 55. rw-l^j, 3
FT1 SS: [EBF-270][ 0 TTL S£:[EBT-30J.0
OCFEFFFF
OCFEF 丁 FF CC
fSfEF?FF t0FEF?FF
MDV DWORD PTI SS; [EVF-IF41 EAX MOV ECK p DWOBD HR SS; [EBF-1F4]
MOV EDKJflTiRI PTE DS' [ECX-H71
MOV DVOKD FT1 SS:[EBF-198X EDI
MOV EAX. DTOR ： PTR SS. [EBf-198]
的传染特性了，如图1-4、1-5、1-6所示：
UlYiJttmci - hP ・L 片P
图1-6 :双击运行脱壳文件
起妇融L. 'EE
ODOO 九口点咄址国亦
优阿灵址；阿'
r? SKiSffi-S 中惬于才僧讯址：™锂尢小
刃曽… | Virtual.
| Virtad,...
I 血v Sizi
| Offset |
.text
d4t&
□DOOCC6B DtJOUIJLLB innoiim
OOZOIOM
ULUJ^ULMJ oroiiooc
300ITC(BB UUUILJLI2H
wnniMO
CCODLOQ 匚 Goacoozo
LUJU2IJ0CI1 4UULIUUIUI C010300D FIMKOT 閒
LUJ
J
I 应重建辎人丧
届万式1 ：霍内百压曲冲揑索JMPtWI] I CALL [API]
r 方哉：在胭壳丈卄中搜索BIX t All 疝称
佥钗优切U5B ☆ [K.G4. ?9 ]
图1-4 :用ollyDump 脱壳调试进程
图1-5 :保存脱壳文件
口
Drl
口
9KB 应思鲂
13KB 应用程修
・ L ：\EMpHI5\,AHtj¥i r-Ldb\Viru»EK p\F lie H in
乞秫厶 I 大小I 童
更
•病毒感染机制分析
(1)准备一个没有感染病毒的可执行程序和一个感染病毒的可执行程序
heiO.ex_ ，hei.ex_，并复制到一个新的目录下用于调试、对比。

(2)进入实验平台，点击工具栏中的“PE'按钮，使用PE Explorer分别打开hei.ex_和hei0.ex_ 文件，对比两个文件入口点( OEP--Address of Entry Point )和Image Base并分别记录。

OEP ImageBase
heiO.ex_ 00001000h 00400000h
hei.ex_ 00005200h 00400000h
点击“View ” 菜单中的“ Section Headers ” 进入Section Headers 页面，比对Section Header 的数据信息并记录到下面表格。

Virtual Virtual Size of Point to
Size Address Raw Data Raw Data
hei0.ex_ 的.data 00000027h 00403000h 00000200h 00000800
h
hei.ex_ 的.data
00000388h 00404000h 00000200h
00002A00
h
段
多出的数据即为病毒代码和数据。

(3)进入实验平台，单击工具栏中“UE'按钮，打开Ultra Editor，选择“文件”菜单中的
“比较文件”功能对hei0.ex_和hei.ex_进行二进制比对，可以发现在hei.ex_文件的OxaOO处开
始的数据块为存储于.data节的病毒代码。

如图1-7所示：
，将其分别重命名为
图1-7 :比较文件
「注」 该段数据在.data 节是因为heiO.ex_和hei.ex_的.data 节都开始于各自文件偏移的 Poi nt to Raw Data 处。

这段数据是病毒代码是因为 OxaOO - 0x800 + 0x403000 = 0x403200 （感
染病毒文件 hei.ex_ OEP 的虚地址（VA ））。

（4）使用 Ultra Editor 打开 hei.ex_ 定位光标到 hei.ex_ 的.data 块的 Point to Raw Data 位置，并以16进制形式查找hei0.ex_的入口点（注意字节顺序），将查找到的数据的文件偏移记录 QQQQ2AQ0ho 如图 1-8 所示：
□ DOUDLSEil ：
□ J LU □口 □ □ DO □□ □□ □□ HU □ 口 uu 丄匚 □ 口 □ □ UD *
□ DOuDlaLh: UU ua UU U'J 00 00 OU OQ oa 00 u 」 uu U_ 00 u. UL
□ DOroibOlis OT 00 00 oo 00 00 00 00 F0 oa oo oo -to 00 oo 00
I 4- B B i- * □DOC 匚 □ J g oa □0 oa oa 口匚 Q 口 oa 北 OD oa 丄匚 □ D OD QC
-
i » i ・ b ■ □DOCOLdChs Q O
0 口 oa QU OQ oa OQ
OQ 0Q OD oo 00 OD 00 00 ； I
■ E b ■■
□CiOODleDli; DO oa m oa riri □o oa 2E 7吗 65 71 OD on OO *
□ DOODiXCli ： g
t-E oa g 。

口 xa g 。

口 oa 2 口 OD 口口 Q 口 □4 oo □ D
I 4- B B
»
0D0OD20QJ1： □U oa OQ u_ oa oa aa oa oa 口口 OQ oo 2 0
□ D OD 6D p ■ ■
■
OOOOD21D1； 2E % E Bl fll 00 00 ra ri" OO oo 00 : 00 00 .匚 dat I?
tn 2 oa OO 加 24 g □a oa oa OD 60 口口 DD OD OD ■ .--..j □ DDUUJ3L11： uu ULI 00 0J 10 oa 00 7」 鼻 昶 bl Tl bl 00 UD UL
-
i ・■・Ij ■ Et9 03 00' OO 00 40 00 00 00 oe OO
?+. .0 *
□ DOOD2^Dh: E
□口 GO g 0 口 □口 □a oa 口口 口口 OD OO 4D OD OD CD ”
■
2E 72 73 73 63 oa 00 00 oa OD OQ 0Q SD 00 00 ；
□DOO027Ch; 03 LA Q 匚 Q2 Qd 2C 0口 OQ oo OQ
□ D oc 0D ・，
□ D0CD2S 匚11!: 01
□□ □□ oa oo □□ F~ oa oa □ □ □ □ □ □ □ □ OD OD
” ■ !F
nnrwnn^a nih ・ nn nn nn m nn nn nn nn nn nn nn n n nn nn nn nn
图1-8 :查找hei0.ex_的入口点
hei.ex_的jmp 断点，在jmp 指令上面会发现如下的汇编代码: 004047F3 6A 00 PUSH 0
004047F5 FF95 34FEFFFF CALL DWORD PTR SS:[EBP-1CC] 004047FB 8985 58FDFFFF MOV DWORD PTR SS:[EBP-2A8],EAX 00404801 8B4D FC MOV ECXQWORD PTR SS:[EBP-4] 00404804
8B11
MOV EDX,DWORD PTR DS:[ECX]
00404806 0395 58FDFFFF ADD EDX,DWORD PTR SS:[EBP-2A8] 0040480C 8995 D4FDFFFF MOV DWORD PTR SS:[EBP-22C],EDX 00404812 8B85 D4FDFFFF MOV EAX,DWORD PTR SS:[EBP-22C] 00404818 FFE0 JMP EAX ;最后跳转到EAX 执行源程序
0040481A 8BE5 MOV ESP,EBP ;
灰色区域的代码可以用做查找原入口点的标记 ； 因为其操作与立即数无关，不会因宿主程序改动 ；
而变化，其后的病毒数据存储原始入口点
ADD BYTE PTR DS:[EAX],DL ADD BYTE PTR DS:[EAX],AL ADD BYTE PTR
DS:[EAX],AL ADD BYTE PTR DS:[EAX],AL 0x40481c 在病毒代码之后为被加载到内存的病毒数据的存储区， 0x1000为
hei0.exe OEP 的
RVA 0x1000在反汇编代码中的表示是
0010。

（6）进入实验平台，单击工具栏中的“实验目录”按钮，利用上面的方法分别对文件分析目 录下的已感染和未感染文件进行调试，注意比对感染病毒文件和原文件特征，将各个病毒文件的 最后一个跳转指令的目的地址记录到如下表。

（5 ）定位上面例子中 计算宿主文件 原入口地址，跳转
＞上匕执行宿主程序
hei.00400000
0040481C 0010 0040481E 0000 00404820 0000 00404822 0000
(7 )通过以上的分析，就可以初步断定，该病毒的感染方式是：计算宿主文件原入口
地址跳转执行宿主程序，最后跳转到EAX执行源程序。

项目二、宏病毒-Word宏病毒
1. 实验目的
理解Word宏病毒的感染方式，理解Word宏病毒的工作原理，掌握Word宏病毒的杀毒方法
2. 实验工具
Microsoft Word 2003
3. 实验内容
一•病毒感染
(1)主机A进入实验平台，点击工具栏中“实验目录”按钮，进入宏病毒实验目录。

双击打开Sufferer1.doc 、Sufferer2.doc 和Normal.dot 模板(位于目录C:\Documents and
Sett in gs\Admi nistrator\Applicatio n Data\Microsoft\Templates 下),观察程序未感染病毒时
的正常现象，关闭文件。

填写表33-1-1 o
「注」默认状态下Application Data文件夹是隐藏的。

打开“资源管理器”，依次单击菜单栏“工具”丨“文件夹选项”菜单项，选择“查看”选项卡，选中“显示所有文件和文件夹”，单击“确定”按钮，显示隐藏文件。

(2)主机A打开实验目录中的MothersDayVirus.doc ，然后关闭文件。

此时病毒已感染到Normal.dot 模板上。

填写表33-1-1 。

(3)主机A打开Sufferer1.doc ，然后关闭文件，此时病毒感染到Sufferer1.doc 上，观察
关闭文档时的现象。

填写下表。

如图2-1所示：
戈忸日潴腿酉若址收澈俎帮勃凹
.后运▼丿二廿［/翔f 文件戎> X *9
鈕址迫)_、C \£tpNtSUr*il/if -Lab\Viru£\HacreVru= 名称亠—一I 大出癌
l^cthersDa^ Virus .doc 32 <B MferosoftWord
i^lsjfftferl.dDC ：32 K6 MizrosoftWord
血】SuFFermiNd尤11 <B Murcwoft\Artrd
图2-1 :感染后大小变化
二.病毒的传播
「注」在操作此步骤时不能打开其它word文档，否则实验不会成功。

（1）主机B打开实验目录下的Sufferer1.doc 和Sufferer2.doc ，观察程序未感染病毒时的正常现象，然后关闭文件。

（2）主机A将已感染病毒的Sufferer1.doc 文件作为邮件附件发送给主机B。

「注」Outlook Express 具体配置方法，可参考附录A—Outlook Express 配置方法。

（3）主机B接收此邮件，并将附件保存在宏病毒实验目录下，替换原来的Suffered. doc
，
打开此附件（Sufferer1.doc ），然后关闭。

此时病毒感染到主机模板Normal.dot上。

（4）主机B打开Sufferer2.doc ”，然后关闭。

此时病毒已经感染到Sufferer2.doc 上，观察
关闭文档时的现象。

提示“计算机已感染母亲节病毒”，如图2-2所示：
图2-2 :关闭提示
三•分析被感染文件
（1）主机A、主机B都打开Sufferer2.doc ，然后关闭并再次打开，使用快捷键“ Alt+F11 ”
打开Visual Basic 编辑器。

（2）在Visual Basic 编辑器的“工程”视图中打开“ Normal'Microsoft Word 对象\MothersDay ” 和“ Project （Sufferer2 ）\ Microsoft Word 对象\ MothersDay ”，查看病毒源码。

如图2-3 和图2-4所示：
图2-4 :查看Suffered 中MothersDay 的病毒源码
(3) 分析两份代码，理解 MothersDayVirus 的工作过程，关闭
Sufferer2.doc 。

两份文件代码的第一行是否相同？代码第一行代表什么意义？
两份文件代码的第一行不同， MothersDay 第一行：Sub AutoClose() ； Suffered 第一行 Sub Document Open() :
代码第一行代表宏病毒的发生时机，分别代表关闭文档时自动运行和关闭打开文档时 自动运行。

Ui. Fi Viru^JI&nw M Slriii^
D L t> fct I L *eD^r-UI»eJii^L f ^i.'sb LaJI.C wile *Bi SttEtiif
U LT > Ekrr*lledpLat-sV L rwExwt-C M 3C A S Etrmu
fitT P-LS ^Y DOT 1 Az Str LXL ^：
H L ii> ViruslELiTalA At Slri%*
11 L n t LTelJ oe^Ci m t 7ifLi M L -ng
II L 1» NkrT-tLI "irip^ii-dCD^eLc
Ai L KIC
山,Ceik As ^tranz
B L Tt '/irusSr :匸o 1或工二通血 As Iut a ger H LI > -/ITUIL D S t To ifelc-J.uh 虹 Inl-t gM
H L v> IfFii'H Ai Sfinl^nr
i wtBirriii iritTsr'^tSt ArlCnd!:-二 1 □CTTiftnt J -'pfiE
l?i
&te>Viru5Si «r iCo 4e r
Sui Lit as? I
号al AhCti*&D i zunqiitltcnl - JL±t L friDe cunan.t. rdj set. V3C Dtp PLftnl ». (j ) S AI 4茁E U M 讥=» W Wr<J«acC V3Cin.pi*an? Il an (3)
'ikm«Ll 牡耐二呂i7i±nL. m 加已- "JUtiimD 尊艸it 曲UlsL 』# ■- '^Hffirtctj vBDisc m-c
iStiufRHl It Acl i veBn 7'jn tT 1
HI 1 b wr* BnJ If
'盘堆毗 L J *eOod Ri er tfl-Jfrrjrri J.
"Ttii ±1 ncw^Skt/ |1
曲杲青！
jj= <L
图2-3 :查看 Normal 中MothersDay 的病毒源码
'M NcHrnrhal 'lodiersyay
Sub Ant oCltze 0 UTi 血『圮 L&^W14 Ekzl
病毒代码感染模板和当前活动文档时病毒宏名分别是什么？
病毒代码感染模板病毒宏名是AutoClose，当前活动文档时病毒宏名是Document_Open。

模板和当前活动文档中的病毒宏分别在什么时候运行？
模板中的病毒宏在文档关闭时自动运行，文档中的病毒宏在文档打开时自动运行。

当模板文件被感染后，为什么无毒文件第一次打开时没有病毒提示关闭时有病毒提示，而第二次打开和关闭时都有病毒提示？
因为MothersDayVirus病毒执行时，首先判断当前文档和Normal.dot是否感染，然后判断当前文档和Normal.dot 是否感染，如果当前文档未被感染，清空当前文档宏命令，并将病毒复制到_________________ 当前文档，同时将宏重命名为Document_Open然后禁用Word的宏编辑功能，接着添加自动保存
功能，然后病毒再开始执行，弹出对话框，最后返回到程序正常路径执行，所以无毒文件第一次打开时没有病毒提示，关闭时病毒已经感染了文件，所以弹出病毒提示对话框。

第二次打开时文件已经感染，所以打开和关闭时都有病毒提示对话框。

填写下表。

列举几种宏病毒的防止措施：使用VBA VBS创建杀毒宏
项目三、邮件型病毒-Outlook病毒
1. 实验目的
了解邮件型病毒的传播方式，了解邮件型病毒的工作原理，掌握邮件型病毒的杀毒方法
2. 实验工具
Microsoft Outlook 2003 ，Microsoft Word 2003
3. 实验内容
一•观察病毒感染现象
(1)配置Outlook 2003，建立邮件帐户
主机A B配置Outlook 2003 (参见附录A—Outlook Express配置方法)，建立邮件帐户。

主机A打开OutLook 2003，单击“文件” | “新建” | “联系人”，在右侧的“电子邮件”栏中填入主机B的电子邮件地址，单击左上方的“保存并关闭”完成联系人的添加。

如图3-1所示：
回庶系人-Microsofl Outlook
立件匹)编
It ⑧
视明® 幕到© 工貝⑴ 动作® 稱
Microsoft ufflce Untlook
A 咱T 祷岳丁试師方问禺存于伽订“讣梢电刊1孵
地址.是宵允冶脚倫
扣果对『遍爺帥卜，近證尾日于病奇导砂 > 您应建 挥“舌”・
;i|
图3-2 :安全提示
“有一个程序正试图以您的名义自动发送电子邮件。

是否允许该操作？……” 如图3-3所示：
Miarcsoft Office Ouitlook
育一一「遷序王试国以您的老長目或裁迭电子邮件・ !\是否允许该操作？
如果別此感九鼠外，送可比是由二病圭孕臥您应选 捧**百” t
图3-3 :安全提示
这样当前文档即被病毒自动发送给对方(当前日期数和当前时间分钟数相同时，如当前日期
为11月 8日即将当前时间的分钟数修改为 08。

则在文档中输出以下内容 “Twenty-two points, plus triple-word-score, plus fifty points for using all my letters.Game's over. I'm outta here. ”）。

(2)查看病毒感染标记
图3-1 :添加主机B 为联系人
主机A 打开注册表编辑器，查看“
是否有键名为“ Melissa? ”，键值为“ ... by Kwyjibo ”的键?
”项中
没有
(3)设置发作条件观察病毒发作现象
主机A 单击工具栏“实验目录”按钮，进入邮件病毒实验目录。

此时OutLook 2003的安全机制会连续出现
2个安全提示：
打开病毒文档 MVirus.doc ，
“有一个程序正试图访问保存于 许访问”后单击“是”。

如图3-2所示:
Outlook 的电子邮件地址。

是否允许该操作? ”,选中“允 ，单击“是”。

联系人
电子邮f 牛： us erLF rver ...
(4 )重新查看病毒感染标记
主机A在注册表编辑器中按快捷键“F5”刷新查看，在“ HKEY_CURRENT_USER\Software\ ”项中是否会有键名为“Melissa? ”，键值为“…by Kwyjibo ”的键？是
(5 )查看病毒邮件发作现象
主机B打开Outlook 2003，按“ F9”键来接收被病毒发出的邮件，打开收件箱中的病毒邮件，
双击附件名称，出现提示信息“想要打开文件还是想将它保存到计算机中？”，单击“打开”即出现前述Outlook 2003安全提示，参照前述进行处理，病毒文档又将被发送给B的地址簿中前50
位联系人。

如图3-4、3-5所示：
图3-4 :打开收件箱中的文件
图3-5 :出现提示信息
二•调试代码了解工作原理
(1)查看病毒代码
感染病毒的主机打开病毒文档“MVirus.doc ”，单击菜单栏“工具”| “宏” | “ Visual Basic 编辑器”或使用快捷键“ Alt+F11 ”打开Visual Basic 编辑器。

在此编辑器中即可以看到病毒代
码。

将病毒代码复制到记事本中，然后关闭病毒文档“MVirus.doc ”。

如图3-6所示：
氏悴EJ HU S^i ■!*“
Frl»atf Mi Vwral —ViH 1■■“ ■ Fmtr kr -iMW- Nr-Ti
trt - Cr?4l:rlfeje<t4^|iwt]iM* .■wlic ,-3tl9n"P MH t4r5>l«F|ltaW- - B44*4^9 |*M 4«f 1 HwM4«t("HM a l !"l IF S<5t«i
I … -MET
L5ER\5«iifH*.pie\KLcrc5!H ：t\OP*irpX ,r ,
o ■…w »9iu»r iws a
s»w.n«W3t(*a«tt - fflisa
if w**5«vt LM * - ~wtiMtr rw«
Set i n L giM r favi |» -
nCFNtrl tcM V|l
1 i
=WF_f 邮件昨
fl nw «• ■ MM*9Mfe-i*MrM9[i!tFl«9 -Cuu«l
■貝時Uli ■中
Hfil M
■rv^kWH F«111<« i j>K t ■ ~T^|P 1-—t I*55JIP Frnp "鼻 Rppfl ic-ativn. U^rrl'MPtF "i ；&,
trr4*WHF*^11rr-.V«4f ■ ~W T < is tMt dvrnprnt vnu dskrcl *cr .」dnn^t 汕口悼 dnu^nn nw ：-r -iSH'frW®
图3-6:将病毒代码复制到记事本中 (2 )在注册表中删除病毒感染标记
感染病毒的主机打开注册表编辑器，删除“
HKEY_CURRENT_USER\Software\Microsoft\
”项中键名为"Melissa? ”，键值为"…by Kwyjibo
”的键。

如图3-7所示:
图 3-7 :删除“ Melissa? ”键
(3 )调试代码
感染病毒的主机在实验目录 名的Word 文件。

如图3-8所示:
艾用曰 ^q.|E 岂垮®
k~Fi ：i)。

耶.-T | X 丈件夹 I “ X
ItLtLfL ： -J C 后1斫4温7和训 J
Jjjft ・
I
畑Hit 粗 — 悴改口前 「區性 刮恤密 -l[K& MnftwfrWctd^KW'll-S 1360 ft ^il23_i>；j
3LKB MkJMftWOtJXC
if>lZ-6-21 U;5f
d
图3-8 :新建Word 文件
r*t i ■< # ■*«： i#i * *M *«p
lredr**F F4111 rr- ittt«rteHvt f . Md Acl-iwtaiEiinrnt > Ful IN MM !! ，器加附件 f ■『FMi to.
fiw> - ■
*rrt * 濾书下Tfllti 鑒
t^ty^HLw.LtfwTF
・|| 节・『刑
F 新建一个任意文件
口 ■■
nnjrlrn
口口J/y - J * = Jnurn
fflBHfiJBHHIH- H i i ■
q 凶
打开新创建文档的Visual Basic 编辑器，找到编辑器左上部“工程—Project ”工具栏中的“Project （新建Word文件名）” | “ Microsoft Word” | “ThisDocument ” 对象，双击此对象打开编辑区并将病毒代码复制到此区域中，通过单击“调试”| “逐语句”或者按快捷键“F8”来逐句调试代码并配合代码注释了解其工作过程。

如图3-9所示：
图3-9 :打开新创建文档的Visual Basic 编辑器
在调试过程中，当出现提示信息“此时不能进入中断模式”时，单击“结束”重新进行调试。

如图3-10所示：
图3-10 :出现提示信息“此时不能进入中断模式” 重新开始调试后：查看病毒
感染标记。

观察Microsoft Word 对象名是否有变化。

观察代码的运行路径是否有变化。

在病毒代码中有部分被注释掉的语句，这些语句是病毒的自我保护措施，它们使病毒执行完操作
后将自己删除。

用户可以去掉注释，运行代码查看效果。

如图4-12所示：Microsoft Word对象名
变为“ Mellisa ”。

去掉代码注释，如图4-13所示：
凶
±1 Vfraal -剧 Frtject (1?3)
E ® Hi croagfi Wtrd 对直
s-a 引用
项目四、蠕虫病毒-蠕虫仿真
1. 实验目的
了解计算机蠕虫的定义；了解计算机蠕虫攻击原理；了解漏洞溢出原理养成良好的编程习惯 2. 实验工具
Worm_srv 、Worm_body 网络协议分析器 3. 实验内容
一.验证病毒感染过程
(1 )确定主机A 与B 处于同一网段内。

(2) 主机A 进入实验平台，单击工具栏“实验目录”按钮进入蠕虫病毒实验目录，执行漏洞 程序test_virus_body.exe ，并启动协议分析器， 设置过滤器仅捕获 ARP 数据包。

主机B 同样进入 蠕虫病毒实验目录，执行蠕虫模拟程序 virus_main.exe ，这时主机B 会不断弹出网页。

如图 4-1
所示：
(□IS Project
图4-12 :对象名变为“ Mellisa
图4-13 :去掉注释代码
图4-1 :主机B不断弹出网页
（3）主机A单击协议分析器工具栏刷新按钮，查看ARP协议相关数据，会发现存在很多以主机B的IP地址为源的ARP请求数据包。

请观察被探测IP地址顺序，它们大多数是连续_ （连续/非连续）的。

如图4-2所示：
图4-2 :查看ARP协议相关数据
（4）主机A等待被蠕虫病毒探测，直到被感染（成功现象为：主机A被病毒感染，也像主机B一样不断弹出网页，说明已经被病毒感染成功），主机A关闭test_virus_body.exe 程序，并在
“任务管理器”的“进程”页面中选中virus_main进程然后点下面的“结束进程”按钮，结束激
活的病毒程序。

如图4-3所示：
Reliability
Cj ODtonalGcwT
P inline* P.jnOnoeE<
S*r«rOOBE
Scfcip Shbr=dDN^
ShelEcr-ap
ShelBervicftCb
SideBySide SHUnage S^nano-
霑称 画豔认、
S||LboUtH?
^*]iiudhwlridiTie
凹
yplware tools
JA
图4-4 :删除“ LookAtMe ”注册键
（6）主机A 查看test_virus_body.exe 文件所在目录下
是
（是/否）多重新生成了
一个名为virus_main.exe
的可执行文件（查看文件修改日期）
如图4-5所示:
■k Cs\EKpHIS\AntiVir Lab\Virus ，
,.,WornnVB uts
丈件（巳呉健巳査看防收确（曲
XM1-帮肋凹
店科-
丸屮I 题 」俺改日期
®1±
3 柚 H 」irLjsj3£cly .€« 老
a IB 应用屋字
20O7-U-IB 17^43 丄
Z]vrij5_rnain.eie i
like 应用屋序
2Q1Z-JZ-29 1L*^
fl
图4-5 :目录多了一个名为 virus main.exe
图4-3 :结束激活的病毒程序
（5）主机 A 检查系统注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\run
下是否有名为"LookAtMe ”的注册键值，有则使用该项右键菜单中的删
除命令删除。

如图4-4所示：
丈件＜D 瀟査看伯收誌夹⑼祈助也
□ I XJ
“」僅用5K
阿再匪用！ 25ZX4K ) asafi*
理忡® 芝口出| 5^（v*進期.出
冋用柠斤磁巻卜活 於冏I 用尸I
厂显吊卿用户葩無⑨
诰號谨程®
[+lnz]212J2J2]2J_l_Jnn= “…■■: 一
：：3:.3:”
:创至；创•” ：+!
•
±1・
+
醴址(囚—J c ：\pxprji3^ftntlVf-LabWlrus\woimvirus
的可执行文件
「说明」任务管理器可以使用 ctrl+alt+del 组合键启动安全管理对话框选择“任务管理器”
即可启动；在虚拟机中这个组合键被“
ctrl+alt+i nsert
”代替了，以避免和主机按键上的冲突；
也可以使用任务栏右键菜单中的“任务管理器”来启动任务管理器。

二.验证杀毒工具效果
主机A B 启动实验目录下的 virus_main.exe ，点击工具栏中的“杀毒工具”按钮，启动杀毒
工具 wvk.exe (C:\ExpNIS\AntiVir-Lab\VirusExp\virus\wvk.exe ),记录实验现象：
显示病毒
清除成功 ，查看注册表中的“ LookAtMe ”病毒特征键值是否存在 不存在 。

如图4-6、图
4-7所示：
交件(E)捕歡P 査看侧欣藩夹〔涉帘耿也
□■■'□I Run
li _J OptionalComponerts ”｛」
RuinOnce ”…口 RunOnceEx + C] ServerQQeE +1 O Set®
S
口 Shel Extensicnf ■* 口
^heRCocnpatibility +i O ShellScMp
图4-7 :没有“ LookAtMe ”病毒特征键值
完成项目文档
(1) 项目计划 (2) 项目实施文档 ⑶项目总结
三、实习（实训）方式
画（默认）
芒 modhostname 型州隔9
Tools 辿耐re User Protest
斗508
Uld
11V4
126ft HIJL
:
3441 1444 344< J
讪
3-141 mi M44 J4^4
1768
»2E
图4-6 :用杀毒工具 wvk.exe 杀毒成功
■ 集中□分散□校内口校外
四、实习（实训）具体安排
五、实习（实训）报告内容（有指导书的可省略）
1、实训地点：信2-510
2、实训时间：2012年12月29日
3、小组成员：胡帅帅
4、具体内容：文件型病毒一PE病毒、宏病毒-Word宏病毒、邮件型病毒
-Outlook病毒、蠕虫病毒-蠕虫仿真。

5、实训总结：通过本次上机实训，我掌握了以网络管理员或者是网络安全专业人员的身份，实现对常见病毒的分析和预防的方法。

掌握了文件型病毒原理、发现方法、查杀技巧。

掌握了宏病毒的感染方式、工作原理和查杀方法。

掌握了脚本病毒的一般性工作原理、常见的感染方式。

掌握了邮件型病毒的传播方式、工作原理、查杀方法。

掌握了计算机蠕虫的定义、攻击原理，了解了漏洞溢出原理养成良好的编程习惯。