篇一:实验八 脚本病毒
实验八 脚本病毒
一、 实验目的
1.了解脚本病毒的工作原理;
2.观察病毒感染现象并手工查杀病毒。
二、 实验环境
1.本练习由单人为一组进行。
2.首先使用“快照X”恢复Windows系统环境。
三、 实验原理
恶意脚本是指一切以制造危害或者损害系统功能为目的而从软件系统中增加、改变或删除的任何脚本。
VBS病毒是用VB Script编写而成,该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。
2000年5月4日,在欧美爆发了“爱虫”网络蠕虫病毒,造成了比“美丽莎”病毒破坏性更大的经济损失。这个病毒是通过Microsoft Outlook电子邮件系统传播的,邮件的主题为“I LOVE YOU”,并包含一个附件。一旦在Microsoft Outlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。 这个病毒属于vbs脚本病毒,可以通过html,irc,email进行大量的传播。
svir.vbs病毒具备“爱虫”病毒的部分功能,是以“爱虫”病毒为基础,减弱其破坏性,并将感染范围控制到一定的范围内的模拟病毒。
四、 实验步骤
1.网页恶意代码
(1) 恶意网页1
新建记事本HostilityCode1.txt,在文本中编写如下代码,保存代码并退出,更改扩展名.txt为.html,双击HostilityCode1.html页面,观察页面效果。(如果打开页面时出现安全警告,单击右键选择“允许阻止的内容”) <HTML>
<BODY>
<SCRIPT>
var color = new Array
color[1]= " black"
color[2]= " white"
for(x=0;x<3;x++)
{document.bgColor = color[x]
if(x==2)
{ x=0
}
}
</SCRIPT>
</BODY>
</HTML>
页面效果: 。
并说明其实现原理:。
(2) 恶意网页2
新建记事本HostilityCode2.txt,在文本中编写如下代码,保存代码并退出,更改扩展名.txt为.html,双击HostilityCode2.html页面,观察页面效果。 <html>
<head>
<title>no</title>
<script language=" JavaScript" >
function openwindow()
{
for(i=0;i<1000;i++)
window.open(" http://10.0.0.50") }
</script>
</head>
<body onload=" openwindow()" >
</body>
</html>
页面效果:
并说明其实现原理: 。
2. svir.vbs病毒专杀工具设计
(1) 观察svir.vbs病毒感染现象
①查看病毒要感染和修改的目标项。
进入实验平台,点击工具栏中的“实验目录”按钮,进入脚本病毒实验目录,使用UltraEdit或记事本打开svir.vbs病毒文件查看其源码。
由病毒源码可知,病毒首先要复制自己的副本到指定目录,然后在注册表中添加启动项,再感染指定目录下的文件,最后显示发作信息。因此我们要查看这些相关项在病毒发作前的状态。根据病毒源码,查看如下项:
? 系统目录下的病毒副本
在“C:\WINDOWS”目录及其子文件夹中搜索是否有文件“MSKernel32.vbs”。 ? 注册表中的开机启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
? 指定感染目录下的文件
查看C:\JLCSS\TOOLS\Virus\ScriptVir\中的子目录及不同类型的文件是否都变成以“.vbs”结尾的脚本文件。
②双击“svir.vbs”运行病毒文件。
③重复查看病毒要感染和修改的目标项是否有被病毒感染的现象。
④重启计算机观察是否有病毒发作现象。
(2) 手工查杀病毒
①结束病毒进程。
打开“任务管理器”结束Windows脚本宿主进程。
“svir.vbs”是用VBS脚本语言编写的,它是通过Windows脚本宿主“wscript.exe”程序解释执行的,所以结束病毒进程就是结束“wscript.exe”进程。
②删除系统目录中的病毒副本。
在C:\WINDOWS目录及其子文件夹中搜索文件MSKernel32.vbs,并删除。
③修改注册表。
打开“注册表编辑器”找到注册表项
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run\MSKernel32,将其删除。
④恢复被感染的文件。
在病毒发作后,指定感染目录下病毒要感染项都生成以原文件名命名,以“vbs”为扩展名的病毒副本,原来的文件被修改了文件属性,成为了隐藏文件。
? 删除病毒文件
在病毒指定感染目录及其子目录中,删除所有被病毒感染后生成的以“.vbs”为扩展名的文件。
? 恢复文件属性
打开“资源管理器”,单击“工具”| “文件夹选项”| “查看” , 选中“显示所有文件和文件夹”,单击“确定”后显示被隐藏起来的文件。
右键单击隐藏文件选择“属性”,在“常规”选项卡 中 取消对“隐藏”的选择 , 单击“确定”恢复文件属性。
五.思考题
1.根据实验原理编程实现针对“svir.vbs”脚本病毒的专杀工具。要求专杀工具能够实现如下功能:
(1)删除病毒在系统目录中创建的副本;
(2)删除病毒在注册表中创建的开机启动项;
(3)删除病毒在指定目录中感染的文件,并恢复被隐藏的原文件的属性;
(4)结束病毒发作时弹出的消息框进程。
提示:在IE浏览器地址栏中输入ftp://172.16.0.254(管理平台IP地址),鼠标右键菜单中选择“登录”项,在弹出的“登录身份”对话框中添加用户名(source)和密码(sourcepass),单击“登录”按钮登录。其中10-4为脚本病毒专杀工具参考源码文件。
篇二:L002003012-脚本病毒编写实验
篇三:实验4 VB脚本病毒
XI`AN TECHNOLOGICAL UNIVERSITY
实验报告
实验目的
1.了解VB脚本病毒的工作原理
2.了解VB脚本病毒常见的感染目标和感染方式
3.掌握编写VB脚本病毒专杀工具的一般方法
实验原理
一.脚本病毒概述
脚本程序的执行环境需要WSH(WINDOWS SCRIPT HOST,WINDOWS脚本宿主)环境,WSH为宿主脚本创建环境。即当脚本到达计算机时,WSH充当主机的部分,它使对象和服务可用于脚本,并提供一系列脚本执行指南。 脚本病毒的主要特点:
(1)由于脚本是直接解释执行,可以直接通过自我复制的方式感染其它同类文件,并且使异常处理变得非常容易。
(2)脚本病毒通过HTML文档、EMAIL附件或其它方式,可以在很短的时间内传遍世界各地,通常是使用在邮件附件中安置病毒本体的方法,然后利用人们的好奇心,通过邮件主题或邮件内容诱骗人们点击附件中的病毒体而被感染。
(3)新型的邮件病毒邮件正文即为病毒,用户接收到带毒邮件后,即使不将邮件打开,只要将鼠标指向邮件,通过预览功能病毒也会被自动激活。
(4)病毒源码容易被获取,变种多。
(5)欺骗性强。
二.爱虫病毒分析
1.病毒简介
“爱虫”(VBS.LOVELETTER)病毒从2000年5月4日开始在欧洲大陆迅速传播,并向全世界蔓延。其传播原理是通过MICROSOFT OUTLOOK将名为“LOVE-LETTER-FOR-YOU.TXT.VBS”的邮件发送给用户地址薄里所有的地址。 当病毒运行后会在系统中留下以下文件:
(1)\WINDOWS\WIN32DLL.VBS;
(2)\SYSTEM\MSKERNEL.VBS;
(3)\SYSTEM\LOVE-LETTER_FOR_YOU.TXT.VBS。
2.病毒的杀毒步骤
(1)在WINDOWS下查看进程列表中是否有WSCRIPT这个文件,如有此文件说明已经感染。将该文件“结束任务”。
(2)进入C:\WINDOWS\SYSTEM中,运行MSCONFIG.EXE选择“启动”模板,将所有的后缀为“*.VBS”的文件选择为禁用状态。
(3)在保证内存中无WSCRIPT这个文件后,重启计算机。
(4)查找一个叫WIN-BUGFIX.EXE的文件并删除它,如果安装了MIRC则删除SCRIPT.INI文件,删除含LOVE-LETTER-FOR-YOU.TXT附件的EMAIL。
(5)打开注册表编辑器并删除下列键值:
3.病毒各模块功能介绍
爱虫病毒的结构化做得很好,各个模块功能非常独立,彼此并不相互依赖,流程也非常清楚,下面对每个函数过程的功能作一简单介绍。
(1)MAIN
爱虫病毒的主模块,它集成调用其它各个模块。
(2)REGRUNS
该模块主要用来修改注册表RUN下面的启动项指向病毒文件、修改下载目录,并负责随机从给定的4个网址中下载WIN-BUGFIX.EXE文件,并使启动项指向该文件。
(3)HTML
该模块主要用来生成LOVE-LETTER-FOR-YOU.HTM文件,该HTM文件执行后会执行里面的病毒代码,并在系统目录生成一个病毒副本MSKERNEL32.VBS文件。
(4)SPREADTOEMAIL
该模块主要用于将病毒文件作为附件发送给OUTLOOK地址薄中的所有用户,也是破坏性最大的一个模块。
(5)LISTADRIV
该模块主要用于搜索本地磁盘,并对磁盘文件进行感染。它调用了FOLDERLIST()函数,该函数主要用来遍历整个磁盘,对目标文件进行感染。
4.脚本病毒的预防和清除
脚本病毒的运行和传播有如下特点:
(1)VBS代码是通过WINDOWS SCRIPT HOST来解释执行的。
(2)VBS病毒的运行需要其关联程序WSCRIPT.EXE的支持。
(3)大部分VBS病毒运行的时候需要用到一个对象:FILESYSTEMOBJECT。
(4)通过网页传播的脚本病毒需要ACTIVEX的支持。
(5)通过EMAIL传播的病毒需要OE的自动发送邮件功能支持。 防范脚本病毒措施有:
(1)卸载WINDOWS SCRIPTING HOST
打开“控制面板”|“添加/删除程序”|“WINDOWS安装程序”|“附件”|取消“WINDOWS SCRIPTING HOST”一项。
(2)禁用文件系统对象FILESYSTEMOBJECT
用REGSVR32 SCRRUN.DLL /U这条命令就可以禁止文件系统对象。其中REGSVR32是WINDOWS\SYSTEM下的可执行文件。或者直接查找SCRRUN.DLL文件删除或者改名。
(3)在WINDOWS目录中,找到WSCRIPT.EXE,更改名称或者删除。
(4)设置浏览器。首先打开浏览器,单击菜单栏里“INTERNET选项”安全选项卡里的“自定义级别”按钮。把“ACTIVEX控件及插件”的一切设为禁用。
(5)禁止OE的自动收发邮件功能。
三.SVIR病毒专杀设计分析
1.SVIR.VBS脚本病毒特征
SVIR.VBS病毒具备爱虫病毒的部分功能,是以爱虫病毒为基础,减弱其破坏性,并将感染范围控制到一定的范围内的模拟病毒。使用记事本打开文件C:\EXPNIS\ANTIVIR-LAB\VIRUS\SCRIPTVIR\SVIR.VBS根据爱虫病毒原理和源代码中的相关注释了解它的工作原理和感染现象。
实验步骤
一.svir.vbs病毒专杀工具设计
1.观察svir.vbs病毒感染现象
(1)查看病毒要感染和修改的目标项。
进入实验平台,点击工具栏中的“实验目录”按钮,进入脚本病毒实验目录,
使用UltraEdit或记事本打开svir.vbs病毒文件查看其源码。
由病毒源码可知,病毒首先要复制自己的副本到指定目录,然后在注册表中添加启动项,再感染指定目录下的文件,最后显示发作信息。因此我们要查看这些相关项在病毒发作前的状态。根据病毒源码,查看如下项:
● 系统目录下的病毒副本
在“C:\WINDOWS”目录及其子文件夹中搜索是否有文件“MSKernel32.vbs”。
● 注册表中的开机启动项
注册表键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下是否有MSKernel32项。
● 指定感染目录下的文件
查看目录C:\ExpNIS\AntiVir-Lab\Virus\ScriptVir\VBA\中的子目录及不同类型的文件是否都变成以“.vbs”结尾的脚本文件。
(2)双击“svir.vbs”运行病毒文件。
(3)重复查看病毒要感染和修改的目标项是否有被病毒感染的现象
。
《脚本病毒》
由:免费论文网互联网用户整理提供,链接地址:
http://m.csmayi.cn/meiwen/32954.html
转载请保留,谢谢!
- 上一篇:赵县梨花节
- 下一篇:牙周病的形成