计算机病毒（蠕虫病毒）原理及对抗的实验报告.docxVIP

计算机病毒原理与对抗 实验报告—蠕虫病毒 院 （系）： 专 业： 班 级： 学 生： 学 号： 指导教师： 2016年 5 月 一．实验目的 1.了解计算机蠕虫的定义 2.了解计算机蠕虫攻击原理 3.了解漏洞溢出原理养成良好的编程习惯 4.尝试编写计算机蠕虫专杀工具 二．实验原理 1．蠕虫定义 计算机蠕虫，就是通常我们所说的计算机蠕虫病毒，因其与计算机病毒有着很大的不同，因此我们在这里将其称之为计算机蠕虫，而不说它是蠕虫病毒。 a．计算机蠕虫与计算机病毒的定义 计算机蠕虫是这样一个程序，他能在计算机中独立的运行，并将自身的一个拷贝传播到另一个计算机上。 计算机病毒是一段代码，他能把自身加到其他程序，包括操作系统上。它不能独立的运行，而需要有它的宿主程序的运行来激活它。 b．计算机蠕虫与计算机病毒的区别 c．计算机蠕虫的主要工作方式 计算机蠕虫的一般工作方式是：“扫描-攻击-复制”。 （1）扫描 一般计算机蠕虫通过根据宿主机上的IP按照一定规律生成IP地址进行网段扫描，当发现存活主机后开始攻击。由于这一阶段计算机蠕虫向网络中发送大量的探测数据，所以很容易造成网络堵塞，这也是蠕虫病毒的最大危害之一。 （2）攻击 当计算机蠕虫发现存活主机后，通过向存活主机发送漏洞溢出数据（代码），来对存活主机进行漏洞溢出，当溢出成功后，基本上就获得了溢出主机的控制权，继而向存活主机拷贝自己的副本。 （3）复制 计算机蠕虫通过向存活主机拷贝自己的方式实现自身的繁殖。 d．计算机蠕虫技术 通过上面的介绍，不难发现，计算机蠕虫实际上和计算机病毒有着根本的不同，其存在的目的只是复制自己，它也是计算机应用技术的产物，现在的计算机蠕虫编写者已将计算机蠕虫技术和计算机病毒技术融合，进而产生了极具破坏型的计算机蠕虫病毒，这些新型的蠕虫病毒，专以窃取破坏他人计算机上的信息为目的，通过感染目的主机，在目的主机上留下足够权限的后门，以供攻击者进一步控制目的主机使用。这种计算机蠕虫病毒的流行给社会经济带来了极大的危害。但同时我们也看到，有一些善意的计算机蠕虫病毒的存在，像“冲击波清除者”这样的计算机蠕虫，利用“冲击波”蠕虫病毒的传播方式进行传播，当进入目标主机后，它会主动修复当前主机的漏洞，并在一特定时间后删除病毒自身文件。虽然像“冲击波清除者”这样的病毒是善意的，但由于它在网络中的扫描，还是会给计算机网络通信带来严重的负担。 2．缓冲区溢出 通过向程序的缓冲区（堆、栈等）中写入超出其长度的数据，造成缓冲区溢出。缓冲区的溢出可以破坏程序执行流程，使程序转向执行其它指令。利用缓冲区溢出可以达到攻击主机的目的。 缓冲区溢出的根本原因在于语言本身的一些特性。从数据结构的角度来说，最根本的原因是由于指针、数组的存在，导致了一系列存储操作上的问题。而直接的原因则是“没有对数组的越界加以监视和限制”。程序编写者的经验不足或粗心大意使得缓冲区溢出几乎无处不在，导致程序不够健壮，为缓冲区溢出攻击留下了隐患。 3．实验蠕虫病毒工作原理 由于计算机蠕虫是利用系统漏洞进行传播的，当计算机漏洞还没有相关补丁的时候，就只能靠手工手段来清除蠕虫病毒了，一个专杀工具可以节省多次手工操作的麻烦。 一般来讲，每一种蠕虫病毒都存在一些特征，利用这些特征，很容易就可以实现病毒的清除。实验中我们利用virus_main.exe来模拟计算机蠕虫病毒，virus_body.exe来模拟有溢出漏洞的程序。该病毒具有如下特点： 在感染的主机上开启3001端口。在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run下建立一个名为LookAtMe的启动键值，用来在每次计算机启动是加载程序的执行，并且计算机蠕虫程序体始终都是一个叫virus_main.exe的可执行文件。病毒在运行期间还会向网络中发送ARP探测请求，来寻找下一个攻击目标，如探测到存活主机，它会向目标存活主机的3000端口发送溢出代码，溢出成功后，在目标主机上开启3001端口准备接受蠕虫拷贝程序。 下面是实验中杀毒例程的流程图： 三．实验步骤 1．验证病毒感染过程 （1）确定主机A与B处于同一网段内。 （2）主机A进入实验平台，单击工具栏“实验目录”按钮进入蠕虫病毒实验目录，执行漏洞程序test_virus_bod