恶意代码实验

《变形恶意代码实验》报告学院：计算机学院日期： 2016年 6 月 6 日目录1. 实验目的 (2)2. 实验过程 (2)3. 实现结果 (5)4. 遇到的问题及感想收获 (6)1. 实验目的理解变形的原理，学会实现方法。

2. 实验过程●任意编写一个程序，用VC或者masm32都可以●用OD打开该EXE程序，改变开始部分的代码如下：首先，在exe文件寻找空白区（一段00代码），可用C32查找该空白区域，用lord PE变换该空白区域在内存区的起始VA。

假设空白区VA为0x00402000编写指令实现对EXE的加密，假设原始EXE文件大小30字节，那么就对这30字节按字节做异或操作。

假设原始exe开始字节地址为0x00400100Mov eax，0x33333333；（密码）Mov edx，0x00401000Mov ecx，30；10进制，30次Xor[edx]，eax；加密过程Inc edxLoop S1；事实上在OD上没有S1这个值的，直接敲相应的地址才对Jmp00401000在原EXE文件的结尾相邻处，添加指令 jmp 0x00401cc3最后，利用LordPE修改文件的入口点为0x00401cc33. 实现结果程序已经不能正常运行。

4. 遇到的问题及感想收获本次实验，我通过仔细阅读实验指导书明确了实验的原理和各个过程，也去各个网站下载到了所需要的实验工具，在进行实验过程中，我遇到了很多困难，通过网上查询知识，以及询问同学，重复了多次才成功的完成的实验。

通过本次实验，我积累了OD调试程序的经验，明确对病毒的认识，提高了理论水平和动手能力。

自制恶意程序实验总结1.实践内容一、恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理；使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？二、使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe，寻找特定输入，使其能够输出成功信息。

三、分析一个自制恶意代码样本rada，并撰写报告，回答以下问题：提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息；找出并解释这个二进制文件的目的；识别并说明这个二进制文件所具有的不同特性；识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术；对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由；给出过去已有的具有相似功能的其他工具；可能调查处这个二进制文件的开发作者吗？如果可以，在什么样的环境和什么样的限定条件下？四、取证分析实践Windows 2000系统被攻破并加入僵尸网络问题：数据源是Snort收集的蜜罐主机5天的网络数据源，并去除了一些不相关的流量，同时IP地址和其他敏感信息被混淆。

回答下列问题：IRC是什么？当IRC客户端申请加入一个IRC网络时将发送那个消息？IRC一般使用那些TCP端口？僵尸网络是什么？僵尸网络通常用于什么？蜜罐主机（IP地址：172.16.134.191）与那些IRC服务器进行了通信？在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？哪些IP地址被用于攻击蜜罐主机？攻击者尝试攻击了那些安全漏洞？那些攻击成功了？是如何成功的？2.实践过程一、恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理；使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？首先将实验需要用到的文件复制到kali攻击机中去，并在终端中进入桌面所在的文件夹，使用file RaDa.exe指令来查看此文件文件类型。

实验报告
网络攻击与防范
学院：
姓名：
学号：130624021
专业：软件工程
年级：13级
题目：第六章“恶意代码”2015年6月19日
实验一:
1.实验题目：恶意代码设计，修改IE首页
2.实验目的：学习恶意代码用法以及注册表更改
3.实验时间：2015年6月19日星期五
4.实验地点：J-C-201
5.实验人员：
6.实验步骤：
一：恶意代码对注册表攻击，修改IE首页
方法1：使用网页JavaScript代码，利用Active控件：（1）首先，制作一个网页，在其中写入代码。

如图1
图1
（2）查看注册表中state page，发现首页已更改为。

如图2
图2
方法2：直接更改注册表中的state page值：如图3-5
图3
通过internet选项查看IE首页更改成功
图5
二：完成网页恶意代码设计
（1）禁止关闭网页window.close
如图所示，制作网页并在网页中写入相应关闭网页的代码
打开网页，点击“关闭”按钮或者“下载试卷”，发现弹出图8关闭框，无论点击“是”与“否”都不能关闭，但经过反复确认，我发现这个确认框并不是我所设计的，因此我又经过反复测试，发现电脑有病毒存在，因此阻止了我的行为，经过修改之后，出现了如图9所示的弹出框，实验成功。

图7
图8
图9
（2）循环弹出页面windows.open
在网页中输入循环弹出网页代码，执行网页，带到循环效果，如图11-12
图3
图 4。

《网络攻击与防范》实验报告（２）单击“下一步”按钮·进人如图 4-2 所示的“禁止功能选项”设定界面.根据需要进行设定。

例如。

如果选中“禁止右键菜单”复选框.当运行了该病毒后.右击时将无法弹出快捷菜单。

图 4-2 设置“禁止功能选项”（３）单击“下一步”按钮.进入如图 4-3 所示的“病毒提示对话框”设定界面时。

根据需要设置有关开机时病毒的执行情况。

当选中“设置开机提示对话框”复选框.并设置了提示框标题和内容等后，相关信息将以对话框方式在开机时自动显示图4-3 设置开机时病毒的执行情况（４）单击“下一步”按钮，进入如图 4-4 所示的“病毒传播选项”设定界面,根据需要进行设定。

当选中“通过电子邮件进行自动传播(蠕虫)”复选框时.病毒可以向指定数量的用户发送垃圾邮件。

图4-3 设置开机时病毒的执行情况下一步夏上一步图4-4“病毒传播选项”设定界面（５）单击“下一步”按钮，进入“IE 修改选项”设定界面,根据需要进行设定。

注意.当选中“设置默认主页”复选框后，会弹出“设置主页”对话框,需要读者输人要修改的IE 浏览器主页地址(即每次打开IE 浏览器时默认打开的主页地址).如图 4-5 所示图4-5设置IE浏览器修改选项（6）单击“下一步”按钮，在出现的如图 4-6 所示的对话框中选择所生成的脚本病毒存放的位置,单击“开始制造”按钮,生成病毒文件。

图4-6选择所生成的脚本病毒存放的位置此时,可看到相应路径下,已经生成了脚本病毒文件3.2感染病毒并观察感染后的系统变化情况（１）将生成的脚本病毒文件置于虚拟机中,在其上双击使之运行。

为保证完整准确地查看病毒的感染效果.可重启已经感染了病毒的虚拟机系统。

然后，根据病毒文件生成时的设置，观察系统感染了病毒后的表现情况。

主要操作步骤如下。

（２）观察系统文件夹下的异常变化，可以发现，在 C:\ Windows,C:\Windows\system32下多了不明来源的脚本文件。

实验10 Web恶意代码一、实训目的：掌握web恶意代码攻击原理二、实训内容Web恶意代码攻击三、实训原理利用网页进行攻击是非常难以防范的，目前尚没有什么特别有效的方法可以防范，如果有，也要以牺牲很多功能作为代价。

所谓恶意网页主要是利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页H T M L超文本标记语言内的Java Applet小应用程序，JavaScript脚本语言程序，ActiveX控件部件等可自动执行的代码程序，强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统资源盗取用户文件，或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。

这种非法恶意程序能够得以自动执行，完全在于它不受用户的控制。

一旦用户浏览含有该类程序的网页，就会在不知不觉的情况下立马中招，给系统带来不同程度的破坏。

四、实验平台：Windows XP操作系统，IE（Internet Explorer）浏览器五、实验步骤:1．新建Web页面，输入程序源码。

程序源码如下：<html><body onload = "WindowBomb()"><SCRIPT LANGUAGE = "javascript">function WindowBomb(){while (true){window.open("")}}</script></body></html>用IE打开该文件，观察实验结果，可以看到IE不断的打开163网页。

如果IE阻止了显示内容，右键点击出现的提示信息，选择“允许阻止的内容”，就可以看到实验现象。

2．新建Web页面，编辑程序源码。

程序源码如下：<html><body><script>var color = new Arraycolor[0]="black"color[1]="white"x = 0 ;while(true){document.bgColor=color[x++];document.bgColor=color[x--];}</script></body></html>用IE打开该文件，IE显示的地方出现黑白颜色不断的闪动。

基于机器学习的恶意代码检测方法研究与实验恶意代码（Malware）是指一类恶意设计、编写和传播的计算机软件，其目的是窃取或损坏用户数据，破坏计算机系统的正常运行。

面对日益复杂的恶意代码威胁，研究和开发可靠而高效的恶意代码检测方法显得尤为重要。

机器学习作为一种有效的技术手段，在恶意代码检测领域得到广泛应用。

本文将研究和实验基于机器学习的恶意代码检测方法，探讨其应用和实践。

一、介绍恶意代码的数量和复杂性的不断增加，给网络安全带来了巨大的挑战。

由于恶意代码的特点多变且隐蔽，传统的基于特征匹配的恶意代码检测方法已经不能满足实际的需求，因此，利用机器学习的方法来检测恶意代码成为一种重要的研究方向。

二、恶意代码检测方法的分类基于机器学习的恶意代码检测方法可以分为静态分析和动态分析两种。

1. 静态分析静态分析是通过对恶意代码的源代码或二进制代码进行分析来识别恶意行为的方法。

它不需要运行代码，因此具有较低的计算成本，但也容易受到代码混淆等技术的干扰。

静态分析可以基于特征提取和模式识别等技术来识别恶意代码。

2. 动态分析动态分析是通过监视恶意代码在运行时的行为来识别其恶意行为的方法。

动态分析可以捕获恶意代码与系统交互的信息，对于难以被静态分析发现的恶意行为具有较好的效果。

但动态分析可能会带来一定的性能开销，并且无法对所有样本进行实时分析。

三、基于机器学习的恶意代码检测模型在基于机器学习的恶意代码检测中，常用的模型包括决策树、支持向量机（SVM）、朴素贝叶斯（Naive Bayes）、深度神经网络（DNN）等。

这些模型通过学习已知的恶意代码样本和正常代码样本之间的差异，从而能够对新样本进行分类。

1. 决策树决策树是一种常用的机器学习算法，通过对数据集进行划分，构建一棵树形结构来进行分类。

决策树具有可解释性强、易于理解和实现的优点，但容易出现过拟合的问题。

2. 支持向量机支持向量机是一种常用的分类模型，通过将数据映射到高维空间，找到一个超平面来最大化不同类样本之间的间隔，从而进行分类。

针对恶意代码的多种检测技术研究恶意代码（Malware）是指在未经授权的情况下，能够破坏、篡改、窃取用户数据并对系统造成损害的计算机程序。

随着科技的不断进步，恶意代码的种类和数量也在不断增加，这对计算机系统的安全性和稳定性带来了很大的威胁。

因此，针对恶意代码的多种检测技术的研究备受关注。

1. 静态分析技术静态分析是指在不运行程序的情况下进行代码分析的技术。

通过对程序的代码进行分析，静态分析技术可以检测出程序中存在的漏洞和恶意代码。

首先，静态分析技术通过对程序进行反汇编，将程序的代码转换成易于阅读和分析的汇编代码。

然后，分析人员根据汇编代码中的指令、寄存器和内存地址等信息来推断程序的行为和功能，进而判断程序是否包含恶意代码。

静态分析技术是一种非常强大的检测恶意代码的方法，但也有其局限性。

因为程序的代码可以被加密和脱壳，这样的话，静态分析技术就无法读取代码，从而无法检测恶意代码。

2. 动态分析技术动态分析是指在运行程序时进行代码分析的技术。

动态分析技术可以模拟程序运行的环境，监控程序在执行过程中所产生的行为和结果，从而分析程序的行为和功能，并检测是否存在恶意代码。

相比静态分析技术，动态分析技术效果更好，因为它可以分析程序在不同的环境下的行为，可以识别出隐藏在程序代码中并不容易检测出的恶意行为。

动态分析技术的缺点是相对慢，这是因为动态分析技术需要在运行时监控程序的行为，从而增加了系统开销和性能损失。

3. 基于签名的检测技术基于签名的检测技术是指根据已知的模式或特征来识别恶意代码的技术。

这些模式或特征被称为“病毒特征库”，里面包含了许多恶意代码的签名。

基于签名的检测技术比较简单，并且能够检测出已知的恶意代码。

但是，这种技术无法检测出未知的恶意代码，并且很容易被绕过。

4. 基于行为的检测技术基于行为的检测技术是指通过监控程序运行时所产生的行为信息来识别恶意代码的技术。

这种技术能够检测出已知和未知的恶意代码，并且能够判断程序的行为是否可疑。

恶意代码分析实践恶意代码是指被设计用于攻击受害者计算机系统的代码。

随着网络技术的不断发展，恶意代码的威胁也越来越大。

对于企业和个人用户而言，恶意代码的危害不仅体现在数据丢失和系统崩溃上，更常常表现为个人隐私泄露、财产损失等。

因此，学习恶意代码分析技术，掌握如何处理恶意代码已经成为信息安全从业人员的必备技能。

恶意代码分类恶意代码可以分为多种类型，如病毒、蠕虫、木马、rootkit等。

病毒是指利用其他程序作为宿主来传播自己的一种恶意代码。

蠕虫是指通过网络自行复制、传播，不借助其他程序的自主传播性恶意代码。

木马是指植入在合法程序中，以达到窃取信息或控制计算机的目的。

rootkit是一种恶意代码，其目的是掩盖自身存在，躲避杀毒软件的扫描和检测。

在实际应用中，恶意代码种类繁多，需要根据具体情况进行分类。

恶意代码分析方法针对不同类型的恶意代码，可采取不同的分析方法。

恶意代码分析方法主要包括静态分析和动态分析两种。

静态分析是指对恶意代码进行反汇编、逆向工程等操作，通过静态分析功能找出代码的功能特征。

静态分析的主要优点在于可以避免对代码的运行进行破坏，但其不足是难以理解代码运作机理，同时可能遭到编写者的反分析攻击。

动态分析是指将恶意代码在虚拟环境中或“病毒沙盒”中运行，并观察其执行过程，以此找出代码的功能特征。

动态分析的主要优点在于可以确保恶意代码在被评估前不对实际环境产生影响，同时还可以更好地理解恶意代码执行的逻辑。

恶意代码样本获取和安全处理在进行恶意代码分析之前，必须获取相应的恶意代码样本。

样本获取的主要方法包括安装杀毒软件、收集各种网络资源、定期进行安全扫描等等。

在收集到样本后，需要对恶意样本进行处理，并注意细节，比如要在离线的机器上进行处理，防止样本对网络或处理机器产生副作用。

恶意代码分析工具随着恶意代码年复一年的增长，恶意代码分析工具也应运而生。

常用的恶意代码分析工具有IDA Pro、OllyDbg、Immunity Debugger、WireShark、Procmon等等。

恶意代码检测案例一、恶意代码检测解析1.1恶意代码检测原理通过HTTP协议，Get一个病毒文件或者恶意程序，通过响应的成功与否，判断防火墙对恶意代码的检查结果。

测试仪上传对应病毒文件设置对象通过http 协议get对应病毒文件或者恶意程序模拟整个流程测试防火墙等安全设备的防护能力。

1.2恶意代码检测用途通过模拟请求病毒文件或恶意软件测试防火墙等安全设备对于病毒文件或恶意程序的拦截防护能力。

二、恶意代码检测在supernova测试仪中可应用的场景2.1网关模式测试仪同时模拟客户端和服务器，测试流量穿过受测设备（防火墙、交换机、路由器等），得到受测设备的性能。

三、恶意代码检测用例功能介绍3.1.分配cpu核用例的运行需要分配cpu核数，最高性能需要分配一定的核数。

3.2限速配置恶意代码检测用例支持多种流量模型，包括固定速率：设置一个限速数值，运行过程中速率将一直保持该数值，上下浮动不超过1%；随机速率：限速方式为随机速率时，设置最小、最大限速数值，速率将按每秒从最小速率和最大速率之间随机速率值运行直到运行结束；梯形速率：限速方式为梯形速率时，设置一个限速数值，运行开始阶段速率将按时间或者百分比递增到该数值，中间过程将一直保持设置的限速数值，运行结束前速率按时间或者百分比递减至0，中间过程上下浮动不超过1%；雪崩速率：限速方式为雪崩速率时，设置最大、最小速率和保持时长，测试过程中速率将以最大速率保持一段时长，再以最小速率保持一段时长，交替进行；正弦速率：限速方式为正弦速率时，设置最大、最小速率和渐变时长，测试过程中速率会在每一个渐变时长内完成一次正弦变化；楼梯速率：限速方式为楼梯速率时，设置初始、最大、递增速率和保持时长，测试过程中速率将以初始速率保持一段时长，按递增速率每次递增并保持一段时长，最后按最大速率一直运行结束，形状类似楼梯。

支持应用层的限速，限速单位支持http请求数。

3.3抓包设置可以设置需要抓的协议类型，指定IP地址、端口、文件大小或者包数。

实验四恶意代码攻防实验【实验目的】通过本实验初步了解远程控制软件的编写方法，了解黑客利用流行的木马软件进行远程监控和攻击的方法，掌握常见工具的基本应用，包括如下几个方面：✓掌握基于Socket的网络编程。

✓了解缓冲区溢出攻击的基本实现方法。

✓了解恶意脚本攻击的基本实现方法。

✓了解网络病毒的基本特性。

实验过程中，学生需要将实验的结果记录下来，并回答相关思考题，填写到实验报告中。

【实验类型】综合型实验【实验内容】以下实验内容可根据实验室的具体情况和课时安排的变化进行适当的调整，实验内容中的思考题以书面形式解答并附在实验报告的后面。

需要注意的是，学生在实验过程中要严格按实验指导书的操作步骤和要求操作，且小组成员应紧密配合，以保证实验过程能够顺利完成。

本次实验的主要项目包括以下几个方面：☑溢出攻击模拟程序的编写、调试；☑跨站恶意脚本的运用；☑网页脚本攻击。

具体的实验内容和步骤如下：【实验环境】实验设备：Windows XP系统，VMWare系统，Windows 2000/XP虚拟机。

一、缓冲区溢出攻击编写简单的溢出攻击程序，编译后分别在实验主机和虚拟机中运行。

1．简单原理示例VC环境下编译以下代码：#include <stdio.h>#include <string.h>char name[]="abcdefghijklmnopqrstuvwxyz";int main() {char buffer[8];strcpy(buffer,name);return 0;}运行编译后的程序，会出现系统下图警告，点击“调试”按钮，根据返回的偏移值可推断出溢出的部位。

2．溢出攻击模拟示例实验需要使用以下工具：●OllyDB●Uedit首先写一个C++程序2.c，源码：#include "iostream.h"int main ( ){char name[8];cout<<"Please type your name: ";cin>>name;cout<<"Hello, ";cout<< name;cout<<"\n";return 0;}赋值一个名为name的字符类型数组（字符串），其内容空间为8个字节，运行程序时首先提示使用者输入你的名字，当输入后将该值吸入给name，然后以“Hello，你的名字\n”的方式输出。

恶意代码实验报告班级：10网工三班学生姓名：谢昊天学号：1215134046实验目的和要求：1、了解恶意代码的实现机理；2、了解常见恶意代码的编写原理；3、掌握常见恶意代码运行机制；实验内容与分析设计：1.通过Java Script、Applet、ActiveX（三者选一）编辑的脚本程序修改IE浏览器：（1）默认主页被修改；（2）IE标题栏被添加非法信息；2、编写一个脚本病毒，扫描是否存在U盘，如果存在，将自己写到U盘上，同时写一个调用自己的AutoRun.inf文件到U盘。

实验步骤与调试过程：1．U盘病毒：（1）U盘病毒是借助windows自动播放的特性，让用户双击盘符时就可以立即激活制定的病毒。

病毒首先将u盘写入病毒程序，然后更改病毒文件。

如果病毒文件指向了病毒程序，那么windows就会运行这个程序引发病毒。

一般病毒还会检测插入的u盘，并对其实行上述操作。

编写一个脚本病毒，扫描是否存在U盘，如果存在，将自己写到U盘上，同时写一个调用自己的AutoRun.inf文件到U盘。

（2）编写好的程序，如果发现U盘就复制自己，如果U盘上呗激活了，就把自己复制到系统文件夹。

（3）编写代码实现如下功能：①.得到盘符类型；②.判断是否是可移动存储设备；③.得到自身文件路径；④.比较是否和U盘的盘符相同；⑤.如果相同说明在U盘上执行,复制到系统中去；⑥.得到系统目录；⑦.把自身文件复制到系统目录；⑧.如果不是则U盘上执行,则感染U盘；⑨.还原U盘上的文件属性；⑩.删除原有文件；○11.写AutoRun.inf到U盘；○12.拷贝自身文件到U盘；○13.把这两个文件设置成系统，隐藏属性；○14.休眠60秒，60检测一次。

2．浏览器恶意代码：(1).在运行中输入regedit，可以进入注册表。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Explorer中有相关配置。

要重新设置浏览器的默认页在Main下的Default_Page_URL中修改即可。

恶意代码的检测课程设计一、课程目标知识目标：1. 让学生理解恶意代码的概念、类型及特点；2. 让学生掌握恶意代码检测的基本原理和技术方法；3. 让学生了解我国网络安全法律法规，认识到防范恶意代码的重要性。

技能目标：1. 培养学生运用所学知识对恶意代码进行识别和检测的能力；2. 培养学生运用相关工具软件对恶意代码进行分析和处理的能力；3. 培养学生团队协作、沟通交流的能力，能够共同解决恶意代码检测过程中遇到的问题。

情感态度价值观目标：1. 培养学生热爱网络安全事业，增强网络安全意识；2. 培养学生积极探究、勇于实践的精神，面对恶意代码检测的挑战；3. 培养学生遵纪守法，自觉维护网络安全的道德观念。

本课程针对高年级学生，结合其知识水平、学习能力和兴趣特点，注重理论联系实际，以实践操作为主。

通过本课程的学习，使学生能够具备一定的恶意代码检测能力，为我国网络安全事业贡献力量。

同时，课程目标分解为具体的学习成果，便于后续教学设计和评估。

二、教学内容1. 恶意代码概述- 恶意代码的定义与分类- 恶意代码的发展趋势与危害2. 恶意代码检测原理- 特征检测技术- 行为检测技术- 安全沙箱技术3. 恶意代码检测方法- 静态检测方法- 动态检测方法- 混合检测方法4. 恶意代码检测工具与实战- 常用检测工具介绍与使用方法- 恶意代码检测实战案例分析5. 网络安全法律法规与伦理道德- 我国网络安全法律法规简介- 网络安全伦理道德教育教学内容根据课程目标进行选择和组织，注重科学性和系统性。

本章节内容安排和进度如下：第1周：恶意代码概述第2周：恶意代码检测原理第3周：恶意代码检测方法第4周：恶意代码检测工具与实战第5周：网络安全法律法规与伦理道德教学内容与课本紧密关联，确保学生能够掌握恶意代码检测的基本知识和技能。

同时，通过实战案例分析和伦理道德教育，提高学生的实践能力和道德素养。

三、教学方法本章节采用以下多样化的教学方法，以激发学生的学习兴趣和主动性：1. 讲授法：- 通过生动的语言和丰富的案例，为学生讲解恶意代码的基本概念、检测原理和方法。

实验：脚本与恶意代码编写1.1 通过网页方式在硬盘中建立文件 1.2 通过网页方式修改文件的内容1、打开记事本，输入实验一的代码。

并保存。

2、将上面编写代码的文本文件改名为“创建.htm”3、用浏览器运行这个“创建.htm”。

4、打开“我的电脑”，双击c盘。

5、看看，c盘上是否有一个叫“test.htm”的文件？如果没有这个文件，请你仔细检查你的代码。

6、打开test..htm文件，记录下这个文件里的内容。

1、打开记事本，输入实验二的代码。

并保存。

2、将上面编写代码的文本文件改名为“修改.htm”3、用浏览器运行这个“修改.htm”。

4、打开“我的电脑”，双击c盘。

5、打开test..htm文件，记录下这个文件里的内容。

和刚才的test.htm的内容比较一下，内容还一样嘛？1.3 通过网页方式把文件复制到指定的目录 1.4 通过网页方式删除文件1、打开记事本，输入实验三的代码。

并保存。

2、将上面编写代码的文本文件改名为“复制.htm”3、用浏览器运行这个“复制.htm”。

4、看看电脑桌面里有没有多一个文件？1、打开记事本，输入实验四的代码。

并保存。

2、将上面编写代码的文本文件改名为“删除.htm”3、用浏览器运行这个“删除.htm”。

4、看看电脑桌面里有没有少一个文件？实验一、脚本与恶意代码之一——磁盘文件对象1.1通过网页方式在磁盘中建立文件语法结构：Object.createtextfile(filename[,overwrite[,unicode]])参数：Object：必选项，应为FileSystemObject或Folder对象的名称。

Filename：必选项，指明所要创建文件的字符串表达式。

Overwrite：可选项。

布尔值，指明能否覆盖已有的文件，如果可以覆盖文件，这个值为true，否则为false。

如果忽略此参数，则表示已有文件不能被覆盖。

Unicode：可选项。

布尔值，指明文件是否已unicode或ASCII文件方式创建。

恶意代码分析报告概述：恶意代码是一种在计算机系统中引入恶意行为的代码，其目的是损害系统、窃取敏感信息或进行其他非法活动。

本报告通过对一种恶意代码进行分析，旨在揭示其工作原理、目的和传播方式，从而提供对恶意代码的更深入了解和有效应对方法。

报告内容：1.恶意代码名称和描述：-恶意代码被命名为"XYZ恶意代码"，类型属于一种蠕虫病毒。

-该恶意代码通过电子邮件附件的方式传播，诱使用户点击打开并感染计算机。

2.传播方式：-钓鱼邮件常常伪装成用户熟悉的机构、公司或个人发送，并使用社会工程学手法引发用户兴趣或恐慌，诱导用户主动打开附件。

3.功能和目的：-一旦用户打开附件，XYZ恶意代码开始悄悄地在用户计算机上运行。

-XYZ恶意代码通过远程控制服务器，获取用户计算机的控制权，实现从远程执行命令，并进一步利用用户计算机进行非法活动。

-XYZ恶意代码的目的包括但不限于：窃取用户隐私信息（如登录凭证、信用卡信息等）、发起网络攻击、滥发垃圾邮件等。

4.工作原理与分析：-XYZ恶意代码利用了漏洞（如操作系统漏洞或应用程序漏洞）来获取系统权限，并将自己添加到系统启动项或注册表中以实现自启动。

-XYZ恶意代码采用了加密通讯和假装合法流量等方式，使其行为更隐秘，并减少被检测和拦截的可能性。

5.恶意代码挖掘和应对措施：-更新和维护系统：及时安装操作系统和应用程序的安全补丁，以阻断恶意代码利用已知漏洞入侵系统的可能。

-杀毒软件和反恶意代码工具：安装和更新专业的杀毒软件和反恶意代码工具，可以实时监测和阻止恶意代码的传播和感染。

-教育与培训：提高用户的安全意识，警惕不明邮件、可疑附件和链接，避免点击风险邮件。

-网络隔离和防火墙：设置网络防火墙，划定安全网络和外部网络的边界，限制可能潜藏的恶意代码入侵范围。

结论：XYZ恶意代码是一种通过电子邮件附件传播的蠕虫病毒，具有潜在的危害。

了解其传播方式、目的和工作原理，以及采取有效的应对措施，对保护计算机和网络安全至关重要。

恶意代码的检测课程设计一、课程目标知识目标：1. 学生理解恶意代码的定义、类型及其危害。

2. 学生掌握恶意代码检测的基本原理和常用方法。

3. 学生了解当前恶意代码检测技术的发展趋势。

技能目标：1. 学生能运用所学知识，分析并识别常见的恶意代码。

2. 学生能运用检测工具进行恶意代码检测，并分析检测结果。

3. 学生具备一定的恶意代码防范意识和能力。

情感态度价值观目标：1. 培养学生对网络安全重要性的认识，提高网络安全意识。

2. 激发学生探索网络安全的兴趣，培养创新精神和实践能力。

3. 增强学生的社会责任感，使他们认识到防范恶意代码是维护网络安全的重要举措。

课程性质分析：本课程为计算机科学与技术相关专业的选修课程，旨在帮助学生掌握恶意代码检测的基本知识，提高网络安全技能。

学生特点分析：学生为高中年级，具备一定的计算机和网络基础，对网络安全感兴趣，但可能对恶意代码的认识有限。

教学要求：1. 注重理论与实践相结合，提高学生的实际操作能力。

2. 结合案例分析，激发学生的学习兴趣，提高课堂参与度。

3. 强化网络安全意识，培养学生防范恶意代码的责任感。

二、教学内容1. 恶意代码概述- 恶意代码的定义与分类- 恶意代码的发展历程- 恶意代码的危害及影响2. 恶意代码检测原理- 特征码检测技术- 行为监控检测技术- 智能检测技术3. 常见恶意代码分析- 计算机病毒- 木马- 蠕虫- 勒索软件4. 恶意代码检测工具及使用方法- 杀毒软件- 防护软件- 恶意代码分析平台5. 恶意代码检测实践操作- 恶意代码样本收集- 检测工具使用与操作- 检测结果分析与报告6. 恶意代码防范策略- 系统安全设置- 软件安全措施- 用户安全意识培养7. 恶意代码检测发展趋势- 云计算与恶意代码检测- 大数据与恶意代码检测- 人工智能在恶意代码检测中的应用本教学内容将按照以上大纲进行，结合教材章节，有序组织教学，确保学生掌握恶意代码检测的相关知识和技能。

软件安全课程实验报告实验三实验三恶意代码特征提取一、实验内容1）理解基于最长公共子序列的协议特征提取方法（1）掌握网络恶意代码特征的提取流程（2）学习最长公共子序列的提取2）实现字符串最长公共子序列的提取算法（1）利用动态规划的方法实现字符串最长公共子序列的提取（2）依据输入的字符串构建L(m,n)数组，利用L(m,n)数组查找两个字符串直接的最长公共子序列二、实验要求1．实验数据准备。

利用ASCII字符集作为输入集，不考虑多字节编码的中文、英文字符集。

2．程序的输入部分：2个字符串。

输出部分：这2个字符串的最长公共子序列，如有多个一同给出。

3．实验结果和实验数据一起给出。

三、实验结果1. 设计的算法流程图2. 算法说明由最长公共子序列问题的最优子结构性质可知，要找出X=<x1, x2, …, xm>和Y=<y1, y2, …, yn>的最长公共子序列，可按以下方式递归地进行：当xm=yn 时，找出Xm-1和Yn-1的最长公共子序列，然后在其尾部加上xm(=yn)即可得X 和Y的一个最长公共子序列。

当xm≠yn时，必须解两个子问题，即找出Xm-1和Y的一个最长公共子序列及X和Yn-1的一个最长公共子序列。

这两个公共子序列中较长者即为X和Y的一个最长公共子序列。

实现思路：（1）用动态规划思想实现（2）回溯输出所有的LCS。

3. 关键的数据结构存放回溯二维数组，也就是动态规划的数组。

4. 实验结果5. 程序源码# coding=utf-8class LCS():def input(self, x, y):#读入待匹配的两个字符串if type(x) != str or type(y) != str:print 'input error'return Noneself.x = xself.y = ydef Compute_LCS(self):xlength = len(self.x)ylength = len(self.y)self.direction_list = [None] * xlength #这个二维列表存着回溯方向for i in xrange(xlength):self.direction_list[i] = [None] * ylengthself.lcslength_list = [None] * (xlength + 1)#这个二维列表存着当前最长公共子序列长度for j in xrange(xlength + 1):self.lcslength_list[j] = [None] * (ylength + 1)for i in xrange(0, xlength + 1):self.lcslength_list[i][0] = 0for j in xrange(0, ylength + 1):self.lcslength_list[0][j] = 0#下面是进行回溯方向和长度表的赋值for i in xrange(1, xlength + 1):for j in xrange(1, ylength + 1):if self.x[i - 1] == self.y[j - 1]:self.lcslength_list[i][j] =self.lcslength_list[i - 1][j - 1] + 1self.direction_list[i - 1][j - 1] = 0 # 左上elif self.lcslength_list[i - 1][j] >self.lcslength_list[i][j - 1]:self.lcslength_list[i][j] =self.lcslength_list[i - 1][j]self.direction_list[i - 1][j - 1] = 1 # 上elif self.lcslength_list[i - 1][j] <self.lcslength_list[i][j - 1]:self.lcslength_list[i][j] =self.lcslength_list[i][j - 1]self.direction_list[i - 1][j - 1] = -1 # 左else:self.lcslength_list[i][j] =self.lcslength_list[i - 1][j]self.direction_list[i - 1][j - 1] = 2 # 左或上self.lcslength = self.lcslength_list[-1][-1]return self.direction_list, self.lcslength_listdef printLCS(self, curlen, i, j, s):if i == 0 or j == 0:return Noneif self.direction_list[i - 1][j - 1] == 0:if curlen == self.lcslength:s += self.x[i - 1]for i in range(len(s)-1,-1,-1):print s[i],print '\n'elif curlen < self.lcslength:s += self.x[i-1]self.printLCS(curlen + 1, i - 1, j - 1, s) elif self.direction_list[i - 1][j - 1] == 1:self.printLCS(curlen,i - 1, j,s)elif self.direction_list[i - 1][j - 1] == -1:self.printLCS(curlen,i, j - 1,s)else:self.printLCS(curlen,i - 1, j,s)self.printLCS(curlen,i, j - 1,s)def returnLCS(self):#回溯的入口self.printLCS(1,len(self.x), len(self.y),'')if __name__ == '__main__':p = LCS()p.input('abcbdab', 'bdcaba')pute_LCS()p.returnLCS()。