COM病毒实验

病毒实验指导书上海交通大学信息安全工程学院2010年10月目录1、引导区病毒2、可执行文件病毒2.1 COM病毒2.2 PE病毒3、宏病毒3.1 美丽莎宏病毒3.2 台湾No.1宏病毒4、恶意脚本4.1 网络炸弹脚本4.2万花谷脚本4.3欢乐时光脚本5、蠕虫5.1 U盘蠕虫5.2 RPC漏洞蠕虫六、木马6.1 基本木马程序6.2 BO2K木马七、恶意代码检测实验附录一：虚拟机下安装DOS一、引导区病毒1.1 实验目的通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染染毒文件的方法，提高汇编语言的使用能力。

1.2 实验原理本实验采用的引导病毒样本是一个教学版的样本，引导含有这个病毒的软盘或硬盘都将触发它。

该病毒并不会做什么破坏，被感染的软盘或硬盘都可以恢复。

1.3 预备知识本实验需要如下的预备知识：1.引导病毒的基础知识，包括引导病毒的概念，引导扇区的位置和结构等。

2.BIOS常用中断的相关知识，包括对磁盘的读写和屏幕字符的打印等。

3.汇编语言基础，能独立阅读和分析汇编代码，掌握常用的汇编指令。

1.4 实验内容本实验需要完成的内容如下：1.引导阶段病毒由软盘感染硬盘实验。

通过触发病毒，观察病毒发作的现象和步骤学习病毒的感染机制；阅读和分析病毒的代码。

2.Dos运行时病毒由硬盘感染软盘的实现。

通过触发病毒，观察病毒发作的现象和步骤学习病毒的感染机制；阅读和分析病毒的代码。

1.5 实验环境VMWare Workstation 5.5.3MS-DOS 7.10实验素材：experiments目录下的bootvirus目录。

虚拟机：virtualmachine目录下的DOSVM目录。

1.6 实验步骤1.环境安装安装虚拟机VMWare，在虚拟机环境内安装MS-DOS 7.10环境。

安装步骤参考附录“如何在虚拟机上安装MSDOS？”如果直接下载虚拟机映像文件，则可以省去该部分。

《网络攻击与防范》实验报告（２）单击“下一步”按钮·进人如图 4-2 所示的“禁止功能选项”设定界面.根据需要进行设定。

例如。

如果选中“禁止右键菜单”复选框.当运行了该病毒后.右击时将无法弹出快捷菜单。

图 4-2 设置“禁止功能选项”（３）单击“下一步”按钮.进入如图 4-3 所示的“病毒提示对话框”设定界面时。

根据需要设置有关开机时病毒的执行情况。

当选中“设置开机提示对话框”复选框.并设置了提示框标题和内容等后，相关信息将以对话框方式在开机时自动显示图4-3 设置开机时病毒的执行情况（４）单击“下一步”按钮，进入如图 4-4 所示的“病毒传播选项”设定界面,根据需要进行设定。

当选中“通过电子邮件进行自动传播(蠕虫)”复选框时.病毒可以向指定数量的用户发送垃圾邮件。

图4-3 设置开机时病毒的执行情况下一步夏上一步图4-4“病毒传播选项”设定界面（５）单击“下一步”按钮，进入“IE 修改选项”设定界面,根据需要进行设定。

注意.当选中“设置默认主页”复选框后，会弹出“设置主页”对话框,需要读者输人要修改的IE 浏览器主页地址(即每次打开IE 浏览器时默认打开的主页地址).如图 4-5 所示图4-5设置IE浏览器修改选项（6）单击“下一步”按钮，在出现的如图 4-6 所示的对话框中选择所生成的脚本病毒存放的位置,单击“开始制造”按钮,生成病毒文件。

图4-6选择所生成的脚本病毒存放的位置此时,可看到相应路径下,已经生成了脚本病毒文件3.2感染病毒并观察感染后的系统变化情况（１）将生成的脚本病毒文件置于虚拟机中,在其上双击使之运行。

为保证完整准确地查看病毒的感染效果.可重启已经感染了病毒的虚拟机系统。

然后，根据病毒文件生成时的设置，观察系统感染了病毒后的表现情况。

主要操作步骤如下。

（２）观察系统文件夹下的异常变化，可以发现，在 C:\ Windows,C:\Windows\system32下多了不明来源的脚本文件。

南昌航空大学实验报告二〇一三年十一月八日课程名称：信息安全实验名称：实验1木马攻击与防范班级：xxx 姓名：xxx 同组人：指导教师评定：签名：一、实验目的通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理木马的全称为特洛伊木马，源自古希腊神话。

木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。

它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。

1．木马的特性木马程序为了实现其特殊功能，一般应该具有以下性质：(1)伪装性(2)隐藏性(3)破坏性(4)窃密性2．木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法，如更改图标、把木马文件与普通文件合并，欺骗被攻击者下载并执行做了手脚的木马程序，就会把木马安装到被攻击者的计算机中。

木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵，攻击者可以利用浏览器的漏洞诱导上网者单击网页，这样浏览器就会自动执行脚本，实现木马的下载和安装。

木马还可以利用系统的一些漏洞入侵，获得控制权限，然后在被攻击的服务器上安装并运行木马。

3．木马的种类(1)按照木马的发展历程，可以分为4个阶段：第1代木马是伪装型病毒；第2代木马是网络传播型木马；第3代木马在连接方式上有了改进，利用了端口反弹技术，例如灰鸽子木马；第4代木马在进程隐藏方面做了较大改动，让木马服务器端运行时没有进程，网络操作插入到系统进程或者应用进程中完成，例如广外男生木马。

(2)按照功能分类，木马又可以分为：破坏型木马；密码发送型木马；服务型木马；DOS 攻击型木马；代理型木马；远程控制型木马。

4．木马的工作原理下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。

自从1987年发现了全世界首例计算机病毒以来，病毒的数量早已超过1万种以上，并且还在以每年两千种新病毒的速度递增，不断困扰着涉及计算机领域的各个行业。

计算机病毒的危害及造成的损失是众所周知的，发明计算机病毒的人同样也受到社会和公众舆论的谴责。

也许有人会问：“计算机病毒是哪位先生发明的?”这个问题至今无法说清楚，但是有一点可以肯定，即计算机病毒的发源地是科学最发达的美国。

虽然全世界的计算机专家们站在不同立场或不同角度分析了病毒的起因，但也没有能够对此作出最后的定论，只能推测电脑病毒缘于以下几种原因：一、科幻小说的启发；二、恶作剧的产物；三、电脑游戏的产物；四、软件产权保护的结果.第一节计算机病毒历史早在1949年，电脑的先驱者冯·诺伊曼在他的一篇文章《复杂自动装置的理论及组织的行为》中，即提出一种会自我繁殖的程序的可能----现在称为病毒，但没引起注意。

十年之后，在贝尔实验室中，这个概念在一个电子游戏中形成了。

这个电子游戏叫“Core War”。

Core War这个游戏由三个年轻的工程师完成，道格拉斯·麦耀莱、维特·维索斯基和罗伯特·莫里斯（后来那个编写蠕虫病毒的莫里斯的父亲）。

CoreWar的玩如下：双方各编写一套程序，输入同一部电脑中。

这两套程序在计算机内存中运行，它们相互追杀。

有时它们回放下一些关卡，有时会停下来修复被对方破坏的指令。

当它们被困时，可以自己复制自己，逃离险境。

因为它们都在电脑的内存（以前是用core做内存的）游走，因此叫CoreWar。

这个游戏的特点，在於双方的程序进入电脑之后,玩游戏的人只能看着屏幕上显示的战况，而不能做任何更改，一直到某一方的程式被另一方的程式完全[吃掉] 为止。

这个游戏分成好几种，麦耀莱所写的叫[达尔文]，包含了[物竞天择,适者生存] 的意思。

它的游戏规则跟以上所描述的最接近。

游戏双方用汇编语言(Assembly Language)各写一套程式,叫有机体(organism)。

信息安全实验室（Ⅰ、Ⅱ）1.信息安全实验室（Ⅰ、Ⅱ）简介1.信息安全实验室（Ⅰ、Ⅱ）信息安全实验室(Ⅰ、Ⅱ) 实验室面积95.04×2（190.08）平方米，800元以上的设备台数为121+57（178）台，设备价值84+21（105）万元，由主控中心平台、安全设备、组控设备、教师机、服务器和100台计算机终端组成。

软件系统包括教师机管理平台和学生机实验平台。

管理平台为实验主机提供Web、FTP、DNS、DHCP、E-mail等服务，并实现网络拓扑结构的远程自动切换，可以根据课程需要选择实验内容。

信息安全实验室可以完成现代密码学、入侵检测、病毒原理、安全审计、主机安全、网络攻防、无线安全、冗余技术和生物特征等信息安全仿真实验。

并支持教师科研和学生第二课堂活动等。

2.所开设的课程（4门）现代密码学病毒原理与防治信息安全技术入侵检测与安全扫描3．本实验室能完成的实验项目（36项）一、现代密码学（1）古典密码算法（2）DES算法（3）AES算法（4）IDEA算法（5）RSA算法（6）ELGamal算法（7）MD5算法（8）SHA1函数二、病毒原理与防治（1）引导程序设计（2）清除病毒程序设计（3）COM病毒实验（4）清除DOS文件病毒（5）Word宏病毒实验（6）重构PE文件结构法防病毒（7）邮件病毒（8）网页恶意代码（9）木马查杀三、信息安全技术（1）Windows Server2003账号安全（2）Windows Server2003主机的初级安全（3）Windows Server2003主机的中级安全（4）Linux文件系统的安全（5）Linux帐号的安全性（6）使用Sniffer工具进行TCP/IP分析（7）NFS和NIS安全（8）拒绝服务攻击（9）模拟网络攻击四、入侵检测与安全扫描（1）Windows系统安全策略（2）嗅探器的使用（3）Nmap端口扫描工具（4）使用嗅探器截获扫描数据（5）系统日志文件（6）用ISA搭建防火墙（7）Web安全扫描器的使用（8）网络安全扫描器的使用（9）snort的配置、安装与使用（10）系统安全的整体解决方案4．现开设的实验项目（27项）（1）古典密码算法（2）DES算法（3）AES算法（4）IDEA算法（5）RSA算法（6）ELGamal算法（7）MD5算法（8）SHA1函数（9）引导程序设计（10）清除病毒程序设计（11）COM病毒实验（12）清除DOS文件病毒（13）Word宏病毒实验（14）重构PE文件结构法防病毒（15）邮件病毒（16）网页恶意代码（17）木马查杀（18）Windows系统安全策略（19）嗅探器的使用（20）Nmap端口扫描工具（21）使用嗅探器截获扫描数据（22）系统日志文件（23）用ISA搭建防火墙（24）Web安全扫描器的使用（25）网络安全扫描器的使用（26）snort的配置、安装与使用（27）系统安全的整体解决方案。

第三章计算机病毒结构分析本章学习目标•掌握计算机病毒的结构•掌握计算机病毒的工作机制•了解引导型病毒原理•了解COM、EXE、NE、PE可执行文件格式•掌握COM文件病毒原理及实验•掌握PE文件型病毒及实验总体概念•DOS是VXer的乐园(Aver) •9x病毒ring3, ring0•2K病毒主要是ring3•Windows文件格式变迁：•COM•EXE:MZ->NE->PE•Vxd: LE(16Bit, 32Bit)一、计算机病毒的结构和工作机制•四大模块：•感染模块•触发模块•破坏模块（表现模块）•引导模块（主控模块）•两个状态：•静态•动态工作机制引导模块•引导前——寄生•寄生位置：•引导区•可执行文件•寄生手段：•替代法（寄生在引导区中的病毒常用该法）•链接法（寄生在文件中的病毒常用该法）１PE文件结构及其运行原理（1）PE文件格式总体结构•PE（Portable Executable：可移植的执行体）•是Win32环境自身所带的可执行文件格式。

•它的一些特性继承自Unix的Coff(Common Object )文件格式。

•可移植的执行体意味着此文件格式是跨win32平台的，即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式。

•当然，移植到不同的CPU上PE执行体必然得有一些改变。

•除VxD和16位的Dll外，所有win32执行文件都使用PE文件格式。

因此，研究PE文件格式是我们洞悉Windows结构的良机。

PE文件结构总体层次分布DOSMZheader ‘MZ’格式￿DOSstub Dos￿程序PEheader PE文件￿Section￿表•所有PE文件必须以一个简单的DOS MZ header开始。

有了它，一旦程序在DOS下执行，DOS就能识别出这是有效的执行体。

•DOS stub实际上是个有效的EXE，在不支持PE文件格式的操作系统中，它将简单显示一个错误提示，类似于字符串 “该程序不能在DOS模式下运行”或者程序员可根据自己的意图实现完整的DOS代码。

计算机病毒实验报告姓名：郭莎莎学号： 201306043023 培养类型：技术类年级： 2013级专业：信息安全所属学院：计算机学院指导教员：龙军职称：教授实验室：实验日期： 2016.7.3国防科学技术大学训练部制《本科实验报告》填写说明1．学员完成人才培养方案和课程标准要所要求的每个实验后，均须提交实验报告。

2．实验报告封面必须打印，报告内容可以手写或打印。

3．实验报告内容编排及打印应符合以下要求：（1）采用A4（21cm×29.7cm）白色复印纸，单面黑字打印。

上下左右各侧的页边距均为3cm；缺省文档网格：字号为小4号，中文为宋体，英文和阿拉伯数字为Times New Roman，每页30行，每行36字；页脚距边界为2.5cm，页码置于页脚、居中，采用小5号阿拉伯数字从1开始连续编排，封面不编页码。

（2）报告正文最多可设四级标题，字体均为黑体，第一级标题字号为3号，其余各级标题为4号；标题序号第一级用“一、”、“二、”……，第二级用“（一）”、“（二）” ……，第三级用“1.”、“2.”……，第四级用“（1）”、“（2）” ……，分别按序连续编排。

（3）正文插图、表格中的文字字号均为5号。

实验题目 Python病毒功能实现目录一、实验目的 (4)二、实验内容 (4)三、实验原理 (4)（一）Linux病毒 (4)1.Linux病毒的发展史 (4)2.Linux平台下的病毒分类 (5)（二）文件型病毒 (6)1.感染COM文件： (6)2．感染EXE文件： (6)（三）python文件 (7)四、实验所需软硬件 (8)五、实验步骤 (8)（一）程序框架 (8)1.传播感染模块 (8)2.备份模块 (9)3.触发和破坏模块 (9)（二）具体实现 (9)（三）结果截屏 (11)六、实验结果与分析 (12)七、思考与总结 (12)一、实验目的了解和掌握计算机病毒的工作原理，编写一个具有基本功能的计算机病毒。

计算机病毒是怎么样产生的计算机病毒是怎么样产生的呢?不会无缘无故就会有的!小编来告诉你!下面由店铺给你做出详细的计算机病毒产生说法介绍!希望对你有帮助!计算机病毒产生说法一：1.最早是为了恶作剧，计算机病毒最早出现于DOS，这是一个引导阶段，在这个阶段下，人们都是为了恶作剧，出现于1987年，当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。

1989年引导型病毒发展为可以感染硬盘,典型的代表有“石头(2)”2.1989年,可执行文件型病毒出现,利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。

3。

1990年,发展为复合型病毒,可感染COM和EXE文件。

4.1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。

5.1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。

幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。

例如“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。

6.1995年,生成器,变体机阶段7.1995年，蠕虫8.1996年,视窗阶段，出现于窗口化系统windows系列中。

9.1997年，因互联网出现，进入互联网即通过网络传播。

10.1997年,Java阶段，此时出现java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒，还有一些利用邮件服务器进行传播和破坏的病毒，例如Mail-Bomb病毒，它会严重影响因特网的效率。

计算机病毒实验报告学生姓名学号专业班级指导教师学院完成时间实验一HTML恶意代码实验实验目标：了解HTML 恶意代码编写原理；掌握HTML 恶意代码运行机制；能够对HTML 恶意代码进行相应的防治。

实验环境：虚拟机：Windows XP /2003，IE6.0 或以上版本实验内容：1）利用操作面板中代码，进行test.html 再加工；2）恶意代码攻击现象；3）进行相应的防治；1. 进行test.html 编辑（1）点击面板中“编辑test 网页”。

将“b.vbs”中代码添入,并保存退出。

如下图所示：（2）此时，test.html 网页已为包含恶意代码网页，其启动时，将修改注册表中“HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\StartPage”的值为“”。

2. 被攻击现象（1）点击面板中的“双击test 网页”，如下图（2）点击“是”，执行完成，运行结果如下图：查看注册表中项，HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Mai已改变，如下图：（3）如果将html 放入iis 中（其中IIS在控制面板中的管理工具中），被其他主机或者本机访问时，其主机的IE 需要进行设置，便可不出现步骤(1)中的提示了，如下图，将“Internet”和“本地Intranet”中的，“自定义设置”中的“安全设置”中所有的选项都“启动”。

实验结果与思考（1）要避免被网页恶意代码感染，首先关键是不要轻易去一些并不信任的站点。

（2）运行IE 时，点击“工具→Internet 选项→安全→Internet 区域的安全级别”，把安全级别由“中”改为“高”。

具体方案是：在IE 窗口中点击“工具”→“Internet 选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX 插件和控件以及与Java相关全部选项选择“禁用”。

病毒RNA提取实验方法1，用异硫氰酸胍提取提禽流感病毒的详细步骤，可参考（我提过N次做定量PCR都没问题）：1.取200ul样品数+阴性对照+阳性对照个1.5ml灭菌eppendorf管2.加600ul异硫氰酸胍，然后加入对照和样品，再加200ul氯仿，颠倒混匀3.13000rpm离心15min4.在第3步离心快结束时，另取同样多eppendorf管，加入400ul -20度预冷的异丙醇5.取第3步离心的上清（一定不要吸取到中间白色层，第3步离心结束往外拿的时候，管子尽量不要倾斜）转移到第4步准备的管中，颠倒混匀6.13000rpm离心15min，轻轻倒去上清；在吸水纸上尽量沾干液体7.加600ul 75％乙醇，颠倒数次以洗涤残存异丙醇7.13000rpm离心15min，轻轻倒去上清；在吸水纸上尽量沾干液体8.4000rpm离心10sec，将管壁残存液体甩到底部，用微量枪头吸干，室温干燥2－3min （不可过分干燥，防止下一步RNA不溶解）9.加入20ul DEPE水(加入depc的纯水高压后的水即为DEPE水)，轻轻混匀溶解RNA。

2000rpm离心5sec，冰上保存备用（最好2小时内使用，以免RNA降解）2，用TRIzol LS提取应用TRIzol LS提取病毒RNA所提取物为血清、血液、细胞培养液、鸡胚尿囊液等液体中的病毒。

提取时尽量在人少时进行，防止空气中RNA酶的污染。

所用一切物品也应是无RNA酶的。

1.1 在1.5ml的eppendorf管中加入病毒原液500ul，再加入TRIzol LS 500ul，充分混匀，室温放置10min。

1.2 加入200ul的氯仿，盖紧离心管盖，用力震荡离心管（溶液充分乳化，成乳白状，无分相现象），室温放置10min （由于氯仿沸点低、易挥发，振荡时离心管可能爆开，小心）。

1.3 离心4℃、13000r/min、15min，取上层液相移入另一管（切忌吸动白色中间相）。

实验2 多种方法防范计算机病毒2.1 实验目的●了解Windows系统漏洞的概念。

●掌握使用微软MBSA工具和360安全卫士扫描系统漏洞并下载、安装补丁的方法。

●理解端口的概念。

●掌握查看端口开放状态的方法和启用与关闭端口的方法。

●了解常用的杀毒软件的种类。

●掌握使用杀毒软件和专杀工具查杀计算机病毒的方法。

●了解防火墙的概念。

●掌握使用Windows防火墙和专业的第三方防火墙程序抵御黑客攻击的方法。

●了解通过制定不同的组策略来动态的维护系统安全的方法。

2.2 实验环境接通Internet的PC机；安装Windows XP操作系统，并且安装有TCP/IP协议；独立操作。

2.3 准备知识一、Windows系统漏洞是指Windows操作系统本身所存在的技术缺陷。

系统漏洞往往会被病毒用来侵入并攻击用户计算机。

Windows操作系统供应商将定期对已知的系统漏洞发布补丁程序，用户只要定期下载并安装补丁程序，即可保证计算机不会轻易被病毒入侵。

MBSA是微软公司发布的一款系统漏洞检测工具，除了检测漏洞外，还提供了详细解决方案以及补丁下载地址，是Windows系统用户首选漏洞检测工具。

360安全卫士是一款可以自动扫描漏洞和自动下载补丁的免费软件，用户可以到/下载。

二、端口就好比计算机的大门，计算机中对外收发的数据都需要经过端口。

黑客常用的木马程序要盗取个人电脑中的数据，也必须使用端口。

通过使用不同的端口，可以让不同功能产生的数据互不干扰。

比如：FTP服务默认使用的端口是21端口，而HTTP服务默认使用的端口是80端口。

用户可以使用Windows自带的Netstat命令来查看本机开放的所有端口、查看本机开放的可疑端口程序、检查出恶意程序调用的端口等。

用户可以使用Windows防火墙功能，将负责局域网中资源共享的4个端口禁用，也可以根据不同的端口所对应的系统服务不同，将不同的端口关闭。

比如：有些蠕虫病毒可利用UDP123端口传播，而这个端口对应的服务是Windows time，用户可以通过禁用该服务来禁用123服务端口。

中南大学《病毒攻击与防治》实验报告题目网络浏览器访问控制实验姓名学号指导教师学院专业班级完成时间一，实验简介现在的web浏览器的安全模型是基于同源策略，并提供一些基于Web应用程序的保护功能；这个实验的目的是帮助大家对同源策略有一个很好的理解，这将对我们学习跨站脚步攻击和跨站请求伪造有很大帮助。

二，实验背景Web浏览器本质上是与sites/web applications 1代表其用户进行交互的用户代理。

通常，用户访问一个网站使用Web浏览器 - Web浏览器将HTTP请求转发到网站上代表其用户，并反过来显示由该网站的响应返回的网页。

Web浏览器使用的安全模型被称为同源策略（SOP）用于执行对Web应用程序的一些访问限制。

SOP的标识每个网站使用它的起源，这是hprotocol，域PORTI的一个独特的组合，并创建一个上下文为每个原点。

对于每个源，所述web浏览器生成的上下文，并将该web应用程序的资源，从上下文中的原点。

从一个出身JavaScript 程序不得从其他产地访问资源。

cookie和文档对象模型（DOM）对象是为哪SOP 施加的web应用资源的例子。

此外，JavaScript程序可以使用XMLHttpRequest API HTTP请求发送到Web应用程序。

SOP的也扩展到使用的XMLHttpRequest API。

首先，我们将提供cookie，DOM对象和XMLHttpRequest API一些背景。

然后，我们描述了实验室的任务，这将导致学生调查SOP以及它如何影响使用cookies，DOM对象和XMLHttpRequest API三，预备知识1、什么是同源策略同源：如果两个页面使用相同的协议(protocol)，端口和主机（域名），那么这两个页面就属于同一个源。

同源策略：限制了一个源(origin)中加载文本或脚本与来自其他源中资源的交互方式；是客户端脚本（尤其是Javascript）的重要的安全度量标准。

病毒实验二映像劫持【实训目的】通过映像劫持操作让学生熟悉注册表编辑器的用途以及几个相关软件的操作，为以后进行具体病毒分析打好基础。

【知识准备】参见最后的附录【实训要求】学员先确定需要被劫持的映像，然后在注册表中找到：HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION \IMAGE FILE EXECUTION OPTIONS项，对目标文件进行映像劫持操作。

观察效果。

【实训环境】●PC一台，安装Windows XP版本。

●第三方工具——autoruns软件【实训步骤】1. 选择NOTEPAD.EXE为被劫持的映像文件。

打开注册表编辑器（在C:\WINDOWS下打开regedit.exe文件或者在开始菜单中选择“运行”，在“运行”中输入regedit亦可），在注册表中找到：HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION \IMAGE FILE EXECUTION OPTIONS项图1也可通过AUTORUNS软件找到“映像劫持（IMAGE HIJACKS）”页，找其中任意一项，右键点击“跳转到注册表（JUMP TO）”即可跳转到此注册表项图2右键点击该项，选择“新建”→“项”图3用NOTEPAD.EXE来命名新建项，在NOTEPAD.EXE项中新建字符串值，命名DEBUGGER，图4数值数据为NTSD –D ，此时记事本文件就无法正常运行了。

图5图6完成后，再启动记事本程序，就会发现打不开了。

也可以把该项的数值数据设定为另一文件的路径，例如：C:\WINDOWS\regedit.exe则此时执行notepad.exe时，就会自动跳转到运行regedit.exe附录当前的木马、病毒似乎比较钟情于“映像劫持”，通过其达到欺骗系统和杀毒软件，进而绝杀安全软件接管系统。

西安邮电学院计算机病毒实验报告书院系名称：通信与信息工程学院专业名称信息安全班级：安全0804班学生姓名：余伟东（0608-3121）实验时间：2011年06月23日一. 病毒体隐藏性分析1. 查看隐藏/显示文件功能（1）主机A在D盘根目录下新建“temp.txt”并将其属性改为“隐藏”，刷新后查看文件是否显示否（是/否）。

（2）主机A在D盘的窗口中点击“工具”|“文件夹选项”|“查看”|选中“显示所有文件和文件夹”，查看隐藏的“temp.txt”文件是否显示是（是/否）。

（3）主机A在D盘的窗口中点击“工具”|“文件夹选项”|“查看”|“还原为默认值”，将文件夹选项还原为最初的默认值。

2. 病毒对注册表的操作分析（1）主机A打开注册表编辑器，使用“查找”功能，在“HKEY_LOCAL_MACHINE”搜索关键字“showall”，找到注册表项“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Fo lder\Hidden\SHOWALL”，查看“CheckedValue”值，“CheckedValue”的值为 1 。

（2）主机A点击工具栏“Regshot”按钮运行Regshot工具，在“比较记录另存为”选项中选择“HTML文档”，在“输出路径”选项中，主机A通过网上邻居，将路径指向主机B中的D:\Work目录。

点击“摄取[1]”按钮选择摄取，对当前注册表生成快照。

（3）主机A点击工具栏“JLCSS_Virus”按钮，运行病毒文件后点击“摄取[2]”按钮选择摄取，对运行病毒程序后的注册表生成快照。

（4）主机A点击“比较”按钮，获取病毒运行前后的变化，比较文件~res.htm将会保存至主机B中的D:\Work目录下。

（5）主机B查看~res.htm文件，分析运行病毒文件前后注册表的变化。

「注」本步骤是针对病毒的隐藏性进行研究，故只分析注册表中与文件隐藏相关的键值。

信息安全实验室（Ⅰ、Ⅱ）1.信息安全实验室（Ⅰ、Ⅱ）简介1.信息安全实验室（Ⅰ、Ⅱ）信息安全实验室(Ⅰ、Ⅱ) 实验室面积95.04×2（190.08）平方米，800元以上的设备台数为121+57（178）台，设备价值84+21（105）万元，由主控中心平台、安全设备、组控设备、教师机、服务器和100台计算机终端组成。

软件系统包括教师机管理平台和学生机实验平台。

管理平台为实验主机提供Web、FTP、DNS、DHCP、E-mail等服务，并实现网络拓扑结构的远程自动切换，可以根据课程需要选择实验内容。

信息安全实验室可以完成现代密码学、入侵检测、病毒原理、安全审计、主机安全、网络攻防、无线安全、冗余技术和生物特征等信息安全仿真实验。

并支持教师科研和学生第二课堂活动等。

2.所开设的课程（4门）现代密码学病毒原理与防治信息安全技术入侵检测与安全扫描3．本实验室能完成的实验项目（36项）一、现代密码学（1）古典密码算法（2）DES算法（3）AES算法（4）IDEA算法（5）RSA算法（6）ELGamal算法（7）MD5算法（8）SHA1函数二、病毒原理与防治（1）引导程序设计（2）清除病毒程序设计（3）COM病毒实验（4）清除DOS文件病毒（5）Word宏病毒实验（6）重构PE文件结构法防病毒（7）邮件病毒（8）网页恶意代码（9）木马查杀三、信息安全技术（1）Windows Server2003账号安全（2）Windows Server2003主机的初级安全（3）Windows Server2003主机的中级安全（4）Linux文件系统的安全（5）Linux帐号的安全性（6）使用Sniffer工具进行TCP/IP分析（7）NFS和NIS安全（8）拒绝服务攻击（9）模拟网络攻击四、入侵检测与安全扫描（1）Windows系统安全策略（2）嗅探器的使用（3）Nmap端口扫描工具（4）使用嗅探器截获扫描数据（5）系统日志文件（6）用ISA搭建防火墙（7）Web安全扫描器的使用（8）网络安全扫描器的使用（9）snort的配置、安装与使用（10）系统安全的整体解决方案4．现开设的实验项目（27项）（1）古典密码算法（2）DES算法（3）AES算法（4）IDEA算法（5）RSA算法（6）ELGamal算法（7）MD5算法（8）SHA1函数（9）引导程序设计（10）清除病毒程序设计（11）COM病毒实验（12）清除DOS文件病毒（13）Word宏病毒实验（14）重构PE文件结构法防病毒（15）邮件病毒（16）网页恶意代码（17）木马查杀（18）Windows系统安全策略（19）嗅探器的使用（20）Nmap端口扫描工具（21）使用嗅探器截获扫描数据（22）系统日志文件（23）用ISA搭建防火墙（24）Web安全扫描器的使用（25）网络安全扫描器的使用（26）snort的配置、安装与使用（27）系统安全的整体解决方案。