计算机病毒入侵与检测.docVIP

大连理工大学 本科实验报告 课程名称：计算机病毒与入侵检测 学院（系）： 软件学院 专 业： 网络安全 班 级： 网络0901 学 号： 200992389 学生姓名： 郭鹏飞 2011年 9 月 19 日 本练习由单人为一组进行。??? 首先使用“快照X”恢复Windows系统环境。一．网页恶意代码1．恶意网页1??? 新建记事本HostilityCode1.txt，在文本中编写如下代码，保存代码并退出，更改扩展名.txt为.html，双击HostilityCode1.html页面，观察页面效果。HTMLBODYSCRIPT?var color = new Array?color[1]=”black”?color[2]=”white”?for(x=0;x3;x++)?{??document.bgColor = color[x]??if(x==2)??{???x=0}}/SCRIPT/BODY/HTML??? 页面效果：____________________。??? 并说明其实现原理：____________________。2．恶意网页2??? 新建记事本HostilityCode2.txt，在文本中编写如下代码，保存代码并退出，更改扩展名.txt为.html，双击HostilityCode2.html页面，观察页面效果。htmlheadtitleno/titlescript language=”JavaScript”function openwindow(){for(i=0;i1000;i++)window.open(“0”)}/script/headbody onload=”openwindow()”/body/html ??? 页面效果：____________________。??? 并说明其实现原理：_______window.open函数____________。二．svir.vbs病毒专杀工具设计1．观察svir.vbs病毒感染现象??? （1）查看病毒要感染和修改的目标项。??? 进入实验平台，点击工具栏中的“实验目录”按钮，进入脚本病毒实验目录，使用UltraEdit或记事本打开svir.vbs病毒文件查看其源码。??? 由病毒源码可知，病毒首先要复制自己的副本到指定目录，然后在注册表中添加启动项，再感染指定目录下的文件，最后显示发作信息。因此我们要查看这些相关项在病毒发作前的状态。根据病毒源码，查看如下项：?????????? 系统目录下的病毒副本??? 在“C:\WINDOWS”目录及其子文件夹中搜索是否有文件“MSKernel32.vbs”。?????????? 注册表中的开机启动项??? HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32?????????? 指定感染目录下的文件??? 查看C:\JLCSS\TOOLS\Virus\ScriptVir\中的子目录及不同类型的文件是否都变成以“.vbs”结尾的脚本文件。??? （2）双击“svir.vbs”运行病毒文件。??? （3）重复查看病毒要感染和修改的目标项是否有被病毒感染的现象。??? （4）重启计算机观察是否有病毒发作现象。2．手工查杀病毒??? （1）结束病毒进程。??? 打开“任务管理器”结束Windows脚本宿主进程。??? “svir.vbs”是用VBS脚本语言编写的，它是通过Windows脚本宿主“wscript.exe”程序解释执行的，所以结束病毒进程就是结束“wscript.exe”进程。??? （2）删除系统目录中的病毒副本。??? 在C:\WINDOWS目录及其子文件夹中搜索文件MSKernel32.vbs，并删除。??? （3）修改注册表。??? 打开“注册表编辑器”找到注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32，将其删除。??? （4）恢复被感染的文件。??? 在病毒发作后，指定感染目录下病毒要感染项都生成以原文件名命名，以“vbs”为扩展名的病毒副本，原来的文件被修改了文件属性，成为了隐藏文件。?????????? 删除病毒文件??? 在病毒指定感染目录及其子目录中，删除所有被病毒感染后生成的以“.vbs”为扩展名的文件。?????????? 恢