信息技術(shù)安全原理實(shí)驗(yàn)

1、信息專業(yè)實(shí)驗(yàn)報(bào)告課 程_ 信息系統(tǒng)安全 實(shí)驗(yàn)名稱 現(xiàn)代計(jì)算機(jī)病毒及防范 系 別_信息管理與信息系統(tǒng)_日 期 2011 年 10 月 20 日專業(yè)班級(jí)_組別_實(shí)驗(yàn)報(bào)告日期 2011 年 10月 25 日學(xué) 號(hào)_2009840006_ 姓名_報(bào)告退發(fā)( 訂正 、 重做 )同 組 人_教 師 審 閱 簽 字 一. 題目 二. 環(huán)境三. 邏輯框圖(程序)四. 程序源代碼 C:>debug moreaaa-u-u0CA4:0100 B8371E MOV AX,1E37 ;注意前三個(gè)字節(jié)的內(nèi)容0CA4:0103 BA3008 MOV DX,08300CA4:0106 3BC4 CMP AX,SP0C

2、A4:0108 7369 JNB 01730CA4:010A 8BC4 MOV AX,SP0CA4:010C 2D4403 SUB AX,03440CA4:010F 90 NOP0CA4:0110 25F0FF AND AX,FFF00CA4:0113 8BF8 MOV DI,AX0CA4:0115 B9A200 MOV CX,00A20CA4:0118 90 NOP0CA4:0119 BE7E01 MOV SI,017E0CA4:011C FC CLD0CA4:011D F3 REPZ0CA4:011E A5 MOVSW0CA4:011F 8BD8 MOV BX,AX-rAX=0000 BX

3、=0000 CX=09F1 DX=0000 SP=FFFE BP=0000 SI=0000 DI=0000DS=0CA4 ES=0CA4 SS=0CA4 CS=0CA4 IP=0100 NV UP EI PL NZ NA PO NC0CA4:0100 B8371E MOV AX,1E37-a af10CA4:0AF1 mov ah,00CA4:0AF3 int 16 ；等待按鍵0CA4:0AF5 cmp al,1b ；等待ESC鍵0CA4:0AF7 jnz af10CA4:0AF9 mov word ptr 100,37b8 ；恢復(fù)程序開(kāi)始的三個(gè)字節(jié)0CA4:0AFF mov byte ptr

4、 102,1e0CA4:0B04 push cs ；進(jìn)棧CS:1000CA4:0B05 mov si,1000CA4:0B08 push si0CA4:0B09 retf ;RetF回到CS:100，程序開(kāi)始處0CA4:0B0A-a 1000CA4:0100 jmp af1 ；將程序開(kāi)頭改成跳轉(zhuǎn)到修改的模塊0CA4:0103-rcxCX 09F1:a0a-wWriting 00A0A bytes-q五. 實(shí)驗(yàn)數(shù)據(jù)、結(jié)果分析 （1）編寫(xiě)可執(zhí)行文件病毒 步驟：?jiǎn)?dòng)命令解釋程序cmd,輸入debug moreaaa,在debug下運(yùn)行一個(gè)moreaaa的文件。 -u；反編譯成匯編語(yǔ)言程碼 -r；通過(guò)

5、r命令顯示所有寄存器的內(nèi)容及寄存器存儲(chǔ)區(qū)域中的標(biāo)志。 按步驟講命令寫(xiě)完后，如果運(yùn)行moreaaa,無(wú)論你怎么按鍵盤(pán)，屏幕都不會(huì)動(dòng)，當(dāng)你按下ESC鍵后黑屏才能消失。（2） 收集資料，解析一種最新病毒的關(guān)鍵技術(shù)，并總結(jié)現(xiàn)代病毒技術(shù)及其發(fā)展趨勢(shì)。 解析病毒震蕩波殺手 1、病毒運(yùn)行過(guò)程 病毒運(yùn)行后將自己復(fù)制到%WINDIR%system目錄下，文件名：svchost.exe并在注冊(cè)表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun及HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVer

6、sionRu中加入自己的鍵值：Generic Host Service，病毒也將自己注冊(cè)成服務(wù)以這些方式達(dá)到隨系統(tǒng)啟動(dòng)而運(yùn)行的目的。病毒將建立一些病毒使用的互斥量，使中了該病毒的系統(tǒng)將對(duì)一些病毒有免疫力。這些互斥量為：Jobaka3、Jobaka3l、SkynetSasserVersionWithPingFast、JumpallsNlsTillt當(dāng)病毒發(fā)現(xiàn)系統(tǒng)進(jìn)程存在以下進(jìn)程名時(shí)將殺死該進(jìn)程：msblast.exe、avserve.exe、avserve2.exe、skynetave.exe接著病毒將啟動(dòng)一些功能線程實(shí)現(xiàn)病毒的一些動(dòng)作。1.tftp服務(wù)器：病毒將監(jiān)聽(tīng)69端口，實(shí)現(xiàn)一個(gè)tftp服

7、務(wù)器。用來(lái)在利用漏洞攻擊成功時(shí)把病毒文件傳到被攻擊系統(tǒng)上以達(dá)到傳播的目標(biāo)。2.利用漏洞對(duì)和當(dāng)前系統(tǒng)存在連接的系統(tǒng)進(jìn)行攻擊病毒得到所有已和當(dāng)前系統(tǒng)建立TCP聯(lián)接的系統(tǒng)位置，并嘗試?yán)寐┒碝S-4011對(duì)其進(jìn)行攻擊。3.后門(mén)：病毒在監(jiān)聽(tīng)TCP的 3332端口，以實(shí)現(xiàn)一個(gè)后門(mén)服務(wù)。4.對(duì)局域網(wǎng)進(jìn)行攻擊病毒得到當(dāng)前系統(tǒng)的IP位置，并以此為基數(shù)進(jìn)行計(jì)算，嘗試?yán)寐┒碝S-4011對(duì)其得到的ip位置進(jìn)行攻擊。5.Dos攻擊當(dāng)系統(tǒng)時(shí)間為5月18號(hào)以后時(shí)，病毒將對(duì)aaairnaaaa或aaabbcaaa，aaabbcnewsaaa發(fā)動(dòng)dos攻擊.6.病毒還將在%WINDIR%目錄下生成一個(gè)名為：cyclone

8、.txt的文件文件內(nèi)容為：Hi,My name is Cyclone and I live in Iran, and I want to speak with you about problems that we have in iran: A.In Iran we don't have any kind of freedom, because we have islamic republic in iran: 目前產(chǎn)生的都是些復(fù)合型病毒，入侵手段多樣化，傳播多樣化。比如IE漏洞下載病毒木馬包，U盤(pán)傳播病毒下載器或程序，病毒自身尋找系統(tǒng)漏洞傳播。安裝惡意插件或替換系統(tǒng)文件（3） 談?wù)勀銓?duì)現(xiàn)代反病毒技術(shù)的發(fā)展趨勢(shì)的看法，并盡可能例舉現(xiàn)代惡意程序的種類、特點(diǎn)、危害和防范策略。 種類：廣告軟件、后門(mén)程序、啟動(dòng)扇區(qū)病毒、僵尸網(wǎng)絡(luò)、撥號(hào)器、分布式拒絕服務(wù)等等。 特點(diǎn)：強(qiáng)制安裝、捆綁安裝、無(wú)法卸載、修改IE設(shè)置、彈出窗口等。 防范：防止病毒的侵入就要比病毒入侵后再去發(fā)現(xiàn)和消除它更重要，為了將病毒拒之門(mén)外，就要做好以下防御措施： 1、樹(shù)立病毒防范意識(shí)，從思想上重視計(jì)算機(jī)病毒可能會(huì)給計(jì)算機(jī)安全帶來(lái)的危害。 2、安裝正版的殺毒軟件和防火墻，并及時(shí)升級(jí)到最新版本。 3、及時(shí)對(duì)系統(tǒng)和應(yīng)用程序進(jìn)行升級(jí)和功能更新操作系統(tǒng)