计算机病毒和入侵检测实验报告二

计算机病毒和入侵检测实验报告二

一．网页恶意代码

1．恶意网页1

新建记事本HostilityCode1.txt，在文本中编写如下代码，保存代码并退出，更改扩展名.txt 为.html，双击HostilityCode1.html页面，观察页面效果。

页面效果：黑色和白色的页面不停的闪烁和切换。

并说明其实现原理:通过运行一个死的for循环(从0增加到2,然后再把变量设置回0)，来不断的改变页面背景。

2．恶意网页2

新建记事本HostilityCode2.txt，在文本中编写如下代码，保存代码并退出，更改扩展名.txt 为.html，双击HostilityCode2.html页面，观察页面效果。

页面效果:不断的弹出WEB网页。

并说明其实现原理：网页一打开就加载openwindows()函数,_在当前主机上打开1000个网页。

二．svir.vbs病毒专杀工具设计

1．观察svir.vbs病毒感染现象

（1）查看病毒要感染和修改的目标项。

进入实验平台，点击工具栏中的“实验目录”按钮，进入脚本病毒实验目录，使用UltraEdit或记事本打开svir.vbs病毒文件查看其源码。

由病毒源码可知，病毒首先要复制自己的副本到指定目录，然后在注册表中添加启动项，再感染指定目录下的文件，最后显示发作信息。因此我们要查看这些相关项在病毒发作前的状态。根据病毒源码，查看如下项：

●系统目录下的病毒副本

在“C:\WINDOWS”目录及其子文件夹中搜索是否有文件“MSKernel32.vbs”。

●注册表中的开机启动项

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32

●指定感染目录下的文件

查看C:\JLCSS\TOOLS\Virus\ScriptVir\中的子目录及不同类型的文件是否都变成以“.vbs”结尾的脚本文件。

（2）双击“svir.vbs”运行病毒文件。

（3）重复查看病毒要感染和修改的目标项是否有被病毒感染的现象。

（4）重启计算机观察是否有病毒发作现象。

2．手工查杀病毒

（1）结束病毒进程。

打开“任务管理器”结束Windows脚本宿主进程。

“svir.vbs”是用VBS脚本语言编写的，它是通过Windows脚本宿主“wscript.exe”程序解释执行的，所以结束病毒进程就是结束“wscript.exe”进程。

（2）删除系统目录中的病毒副本。

在C:\WINDOWS目录及其子文件夹中搜索文件MSKernel32.vbs，并删除。

（3）修改注册表。

打开“注册表编辑器”找到注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\CurrentVersion\Run\MSKernel32，将其删除。

（4）恢复被感染的文件。

在病毒发作后，指定感染目录下病毒要感染项都生成以原文件名命名，以“vbs”为扩展名的病毒副本，原来的文件被修改了文件属性，成为了隐藏文件。

●删除病毒文件

在病毒指定感染目录及其子目录中，删除所有被病毒感染后生成的以“.vbs”为扩展名的文件。

●恢复文件属性

打开“资源管理器”，单击“工具”| “文件夹选项”| “查看” ，选中“显示所有文件和文件夹”，单击“确定”后显示被隐藏起来的文件。

右键单击隐藏文件选择“属性”，在“常规”选项卡中取消对“隐藏”的选择，单击“确定”恢复文件属性。

3．设计脚本病毒专杀工具查杀病毒

（1）根据实验原理介绍的相关知识编程实现针对“svir.vbs”的专杀工具。要求专杀工具能够实现如下功能：

●删除病毒在系统目录中创建的副本。

●删除病毒在注册表中创建的开机启动项。

●删除病毒在指定目录中感染的文件，并恢复被隐藏的原文件的属性。

●结束病毒发作时弹出的消息框进程。

（2）运行病毒文件“svir.vbs”。

（3）运行专杀工具对病毒“svir.vbs”进行查杀。

设计思路:

a. 结束病毒进程

在查杀病毒时应该首先结束病毒的进程再进行其它操作，但我们现在查杀的是脚本病毒，使用的工具也是脚本语言，它们都是由Windows脚本宿主“wscript.exe”解释执行的，所以如果我们首先就将此进程结束，则专杀工具程序的其它部分就不能工作了。因此在查杀脚本病毒时要在专杀程序其它模块的工作完成后，再结束此进程。

我们可以通过下列代码结束指定的进程。

首先通过GetObject("winmgmts:")获得WMI对象，WMI(Windows Management Instrumentation)技术是微软提供的Windows下的系统管理工具。在WMI对象下有很多的子项，在这里我们要获得系统中所有的进程列表子项中名为“wscript.exe”的进程，然后使用Terminate 方法结束此进程。

b. 删除病毒文件

下面代码用于删除指定目录中的指定文件。

ExpandEnvironmentStrings方法用于返回环境变量的扩展值，%SystemRoot%即是

“C:\WINDOWS”目录。GetFile方法用于在指定的路径中返回相应的对象，然后使用此对象的Delete方法将指定文件删除。