恶意代码分析报告.doc

恶意代码分析报告 恶意代码实验报告 恶意代码实验报告 班 级：10网工三班 学生姓名：谢昊天 学号：1215134046 实验目的和要求： 1、了解恶意代码的实现机理； 2、了解常见恶意代码的编写原理； 3、掌握常见恶意代码运行机制； 实验内容与分析设计： 1.通过Java Script、Applet、ActiveX（三者选一）编辑的脚本程序修改IE浏览器： （1）默认主页被修改； （2）IE标题栏被添加非法信息； 2、编写一个脚本病毒，扫描是否存在U盘，如果存在，将自己写到U盘上，同时写一个调用自己的AutoRun.inf文件到U盘。 实验步骤与调试过程： 1．U盘病毒： （1）U盘病毒是借助windows自动播放的特性，让用户双击盘符时就可以立即激活制定的病毒。病毒首先将u盘写入病毒程序，然后更改病毒文件。如果病毒文件指向了病毒程序，那么windows就会运行这个程序引发病毒。一般病毒还会检测插入的u盘，并对其实行上述操作。编写一个脚本病毒，扫描是否存在U盘，如果存在，将自己写到U盘上，同时写一个调用自己的AutoRun.inf文件到U盘。 （2）编写好的程序，如果发现U盘就复制自己，如果U盘上呗激活了，就把自己复制到系统文件夹。 （3）编写代码实现如下功能：①.得到盘符类型；②.判断是否是可移动存储设备；③.得到自身文件路径；④.比较是否和U盘的盘符相同；⑤.如果相同说明在U盘上执行,复制到系统中去；⑥.得到系统目录；⑦.把自身文件复制到系统目录；⑧.如果不是则U盘上执行,则 11.写AutoRun.inf到U盘； ○12.感染U盘；⑨.还原U盘上的文件属性；⑩.删除原有文件；○ 13.把这两个文件设置成系统，隐藏属性； ○14.休眠60秒，60检测拷贝自身文件到U盘； ○ 一次。 2．浏览器恶意代码： (1).在运行中输入regedit，可以进入注册表。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Explorer中有相关配置。要重新设置浏览器的默认页在Main下的Default_Page_URL中修改即可。进入注册表，因为IE浏览器大部分配置信息都存储在注册表中；所以针对浏览器的攻击大多是通过修改注册表来实现的。 (2).进入浏览器部分配置在HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer下，比如浏览器右键的菜单在键值“MenuExt”下；（另外，在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer也有相关的配置。） (3).使用注册表编辑器IE部分设置，进行代码的编写； (4).进行检查测试； 实验结果： 1．编译执行U盘恶意代码，如果计算机上有U盘或者可移动硬盘，就会自动写入proj7_2文件和AutoRun.inf文件， 中毒的u盘换到一个没有中毒的感染的电脑上时，杀毒软件会查出。 2．浏览器恶意代码生成后，即程序执行成功以后，打开浏览器，进入浏览器的Internet 选项对话框，鼠标单击“使用默认页”时，就会出现程序设置的信息； 疑难小结： 通过本次试验，我对恶意代码有了进一步的了解，通过动手实现其设置恶意代码，我掌握了恶意代码工作原理、入侵过程及危害。从本次实验中我进一步的了解了恶意代码的隐藏功能、加密功能、触发条件、自动启动功能、自主攻击功能、自主攻击和繁殖功能、破坏功能。通过分析后可以解析出恶意嗲吗的大致结构。使用的系统调用，采用的技巧，如何将恶意代码的破坏行为转换为恶意代码清除行为，哪些代码可以被用作恶意代码的特征码以及如何防御这种恶意代码。例如，我们实验室的电脑上就有u盘病毒，每次我的u盘上都会感染，然后再到自己的电脑上给查杀了，这次实验后，使我了解到了u盘病毒的原理，对我以后对病毒的预防和查杀都有很大的帮助。通过本次试验使我更加深刻的理解了恶意代码的特点。同时，在实验过程中，回顾书本上的理论知识，巩固了我的知识。 主要算法和程序清单： U盘恶意代码； #include stdafx.h bool SaveToFile(char* Path,char* Data){ HANDLE hFile; hFile=CreateFile(Path, GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL,NULL); if(hFile==INVALID_HANDLE_VALUE){/*continue; //出错时处理*/} } { while(true) { UINT revtype; DWORD dwWrite; WriteFile(hFile,Data,strlen(Data),