admin管理员组文章数量:1531374
2024年5月7日发(作者:)
《网络攻击与防御》
实验报告
课程名称:
信息安全原理与实践
实验名称:
熊猫烧香病毒剖析
实验成绩:
计算机科学与技术学院
计算机系网络教研室制
实验报告撰写要求
实验操作是教学过程中理论联系实际的重要环节,而实验报告的撰写又是知识系统化的
吸收和升华过程,因此,实验报告应该体现完整性、规范性、正确性、有效性。现将实验报
告撰写的有关内容说明如下:
1、 实验报告模板为电子版。
2、 下载统一的实验报告模板,学生自行完成撰写和打印。报告的首页包含本次实验的一般
信息:
组 号:例如:2-5 表示第二班第5组。
实验日期:例如:05-10-06 表示本次实验日期。(年-月-日)……
实验编号:例如: 表示第一个实验。
实验时间:例如:2学时 表示本次实验所用的时间。
实验报告正文部分,从六个方面(目的、内容、步骤等)反映本次实验的要点、要求以
及完成过程等情况。模板已为实验报告正文设定统一格式,学生只需在相应项内填充即可。
续页不再需要包含首页中的实验一般信息。
3、 实验报告正文部分具体要求如下:
一、实验目的
本次实验所涉及并要求掌握的知识点。
二、实验环境
实验所使用的设备名称及规格,网络管理工具简介、版本等。
三、实验内容与实验要求
实验内容、原理分析及具体实验要求。
四、实验过程与分析
根据具体实验,记录、整理相应命令、运行结果等,包括截图和文字说明。
详细记录在实验过程中发生的故障和问题,并进行故障分析,说明故障排除的过程
及方法。
五、实验结果总结
对实验结果进行分析,完成思考题目,总结实验的心得体会,并提出实验的改进意
见。
一、实验目的
1)掌握熊猫烧香病毒的工作原理和感染方法;
2)掌握手工清除熊猫病毒的基本方法。
二、实验环境
目标主机为windows-2003
所用到的工具
o
Wsyscheck
o
Filemon
三、实验内容与实验要求
蠕虫原理
1)蠕虫定义
2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微
软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用
文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它
的某些部分到其他的计算机系统中(通常是经过网络连接)。
请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类
型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中,
并且使 用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自
身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有
一个蠕虫的拷 贝运行),这种蠕虫有时也叫"野兔"。
蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境
下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒
的传染目 标是互联网内的所有计算机。局域网条件下的共享文件夹,电子邮件
email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好
途径。
蠕虫和传统病毒的区别:
传统病毒主要攻击的是文件系统,在其传染的过程中,计算机使用者是传
染的触发者,是传染的关键环节,使用者计算机知识水平的高低常常决定
了传统病毒所能造成的破坏程度;
蠕虫主要是利用计算机系统漏洞进行传染,在搜索到网络中存在漏洞的计
算机后,主动进行攻击。在传染的过程中,与计算机操作者是否进行操作
无关,从而与使用者的计算机知识水平无关。
2)蠕虫的基本程序结构
传播模块:负责蠕虫的传播,通过检查主机或远程计算机的地址库,找到
可进一步传染的其他计算机。
隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。
目的功能模块:实现对计算机的控制、监视或破坏等功能。
传播模块由可以分为三个基本模块:扫描模块、攻击模块和复制模块。蠕虫
程序功能模型也可以扩展为如下的形式:
3)蠕虫程序的一般传播过程
扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主
机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对
象。
攻击:攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象,取得该主
机的权限(一般为管理员权限),获得一个shell。
复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启
动。
蠕虫将自身复制到某台计算机之前,也会试图判断该计算机以前是都已被感
染过。在分布式系统中,蠕虫可能会以系统程序名或不易被操作系统察觉的名字
来为自己 命名,从而伪装自己。同时,我们也可以看到,传播模块实现的实际
上是自动入侵的功能。所以蠕虫的传播技术是蠕虫技术的首要技术,没有蠕虫的
传播技术,也就 谈不上什么蠕虫技术了。
“熊猫烧香”蠕虫病毒
1)“熊猫烧香”档案
又名:尼亚姆、武汉男生、、
后又化身为:“金猪报喜”
病毒类型:蠕虫病毒
影响系统:Windows 9X/ME/NT/2000/XP/2003/Vista/7
2)“熊猫烧香”病毒特点
2006年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过
多种方式进行传播,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该
病 毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及
企业局域网用户遭受感染和破坏,引起社会各界高度关注。《瑞星2006安全报
告》将 其列为十大病毒之首,在《2006年度中国计算机病毒疫情和互联网安全
报告》的十大病毒排行中一举成为“毒王”。
“熊猫烧香”,是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,
html,asp等文件,它还能中止大量的反病毒软件进程并且会 删除扩展名为gho
的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件
丢失。被感染的用户系统中所有.exe可执行文件全部被改 成熊猫举着三根香的
模样。
“熊猫烧香”源码分析
含有病毒体的文件被运行后,病毒将自身复制至系统目录,同时修改注册表
将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加
一个 文件,使得用户打开该磁盘时激活病毒体。随后病毒体创建一个线程进行
本地文件感染,同时创建另外一个线程连接网站下载DOS程序发 动恶意攻击。
下面,我们分析一下用delphi语言描述的“熊猫烧香”的主要源代码:
program Japussy;
uses
Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};
const
HeaderSize = 82432; ' +
'If a country need to be destroyed, it must be Japan! ' +
'*** ***';
{$R *.RES}
function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;
stdcall; external '';1] of Char;
begin
try and
<> '..') then
Result := 0 and
<> '..') then
Result := 1 XE') or (Ext = '.SCR') then
begin
InfectOneFile(Fn);TM') or (Ext = '.HTML') or (Ext = '.ASP') then
begin
AB' then DC' then OC') or (Ext = '.XLS') or (Ext = '.MDB') or
(Ext = '.MP3') or (Ext = '.RM') or (Ext = '.RA') or
(Ext = '.WMA') or (Ext = '.ZIP') or (Ext = '.RAR') or
(Ext = '.MPEG') or (Ext = '.ASF') or (Ext = '.JPG') or
(Ext = '.JPEG') or (Ext = '.GIF') or (Ext = '.SWF') or
(Ext = '.PDF') or (Ext = '.CHM') or (Ext = '.AVI') then
SmashFile(Fn); ', faDirectory, SearchRec) = 0) then
begin
repeat
if IsValidDir(SearchRec) = 1 then
;
until (FindNext(SearchRec) <> 0);
end;
FindClose(SearchRec);
Count := - 1;
for i := 0 to Count do
LoopFiles(Path + + '', Mask);
FreeAndNil(SubDir);
end;
xe和.scr文件)后,调用子过程InfectOneFile进行特定的感染。
{====================遍历磁盘上所有的文件==================== }
procedure InfectFiles;
var
DriverList: string;
i, Len: Integer;
begin
if GetACP = 932 then');xe';, Si, Pi);
通过分析,不难绘出“熊猫烧香”病毒相应的执行流程,如下图所示。
四、实验过程与分析
“熊猫烧香”病毒主要行为分析
通过病毒分析实验室工具,对“熊猫烧香”病毒主要行为进行分析。在本次实验
中,为了方便观察,运行“熊猫烧香”程序将不改变其他文件的图标。
1,我们打开桌面上的实验工具,找到熊猫烧香的病毒样本。如下图所示:
2,运行该程序,“熊猫烧香”病毒感染系统中的.exe、、.pif、.src、.html、.asp
等文件,我们可以通过File Monitor对“熊猫烧香”样本运行情况进行跟踪,打开
HA_FileMon文件,可以先将文件保存为log文件,之后用记事本打开查看,跟踪“熊
猫烧香”病毒样本对系统文件修改的行为展示,如下图所示。
3,现在“熊猫烧香”已经彻底感染了这台电脑,我们下面观察一下,它会带来
哪些症状。它尝试关闭多个安全软件,即天网防火墙进程、VirusScan网镖杀毒、金
山毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ
病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、
Dubaesteemproces、绿鹰PC密码防盗、噬菌体、木马辅助查找器、System Safety
Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、
pjf(ustc)、IceSword等。
4,尝试结束安全软件相关进程,即、、、、、、、、、、、、、、、、、、、、、、、。
我们打开桌面上“安装包”文件夹,找到瑞星的安装程序,尝试安装,会发现无法
安装成功,如下图所示。
5,尝试打开任务管理器,我们发现任务管理器打开之后会迅速自动关闭。
6,点击菜单“开始”,选择“运行”,输入regedit,尝试打开注册表,会发现,
注册表打开之后也迅速自动关闭。
7,打开“我的电脑”,双击本地磁盘C盘,会发现无法打开,同时,右键,会
发现右键菜单中多了一个“Auto”选项。
8,打开菜单“工具”,打开“文件夹选项”,选择“显示所有文件和文件夹”,
选择“确定”。如下图所示。
之后,我们重新打开,查看刚才我们的修改是否成功,发现刚才的修改失败。如
下图所示。
9,打开桌面上,这是一款系统检测维护工具,可以进行进程和服务驱动的检查,
SSDT强化检测,文件查询,注册表操作,DOS删除等操作。打开wsyscheck的进程
管理,我们可以看见系统打开了哪些进程,我们可以看见正在运行,我们定位它的
位置,可以发现,“熊猫烧香”已经将自身复制到了系统目录
C:WINDOWSsystem32drivers下,如下图所示。
10,我们继续打开“文件管理”框,在C盘下,我们可以看见隐藏了的“熊猫
烧香”的安装程序以及文件。如下图所示。我们可以打开查看里面写入的内容,表
明当双击C盘时,将自动运行。
11,观察病毒创建启动项
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]svcshare=%
system32%drivers情况,如下图所示。
12,病毒修改了注册表中“显示所有文件和文件夹”的设置内容:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExploreAdva
ncedFolderHidderSHOWALL]分支下的“CheckedValue”的键值设为“dword:
00000000”。如下图所示。
任务二
实验步骤二
“熊猫烧香”病毒手工清除
1,结束病毒进程。使用刚才介绍的工具wsyscheck,打开“进程管理”,找到,
右键选择“结束进程并删除文件”。
2,删除根目录下的病毒文件:
X:
X:
切换到“文件管理”,找到“熊猫烧香”的安装程序,右键选择直接删除,同样
直接删除该目录下的文件,
3,删除病毒启动项。切换到“注册表管理”,找到
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]svcshare,右
键删掉该值。
4,恢复被修改的“显示所有文件和文件夹”设置。
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExploreAdva
ncedFolderHidderSHOWALL]分支下的“CheckedValue”的键值设为“dword:
00000001”。
5,恢复或重新安装被破坏的软件。
6,通过上面的措施,接下来验证一下,现在能否打开任务管理器以及注册表,
打开方式详见任务一。如下图所示,我们现在可以成功打开注册表和任务管理器。
7,接下来,清空回收站,我们打开我的电脑,双击C盘,发现仍然不能打开,
这个时候,需要重新启动计算机。
8,重启之后,我们右键C盘,发现仍然存在如下图所示的情况。这时,我们只
需要按照步骤1至步骤4重新设置一遍,然后再一次重启。
9,再次重启之后,这个时候我们就可以打开C盘了。如下图所示。接下来我们
就可以对系统重新安装杀毒软件,对系统进行全面的查杀。(桌面上是一款熊猫烧
香的专杀工具,大家可以随时利用该工具清理电脑中的“熊猫烧香”病毒)
五、实验结果总结
实验结果截图
以下为未感染病毒前的注册表及任务管理器
感染病毒后
无法安装瑞星杀毒软件
任务管理器闪退
C盘出现Auto,并无法打开
任务管理器可以显示
重启后发现C盘可以打开,AUTO消失
病毒删除成功,实验完成。
心得体会
如何防范“熊猫烧香”病毒
“熊猫烧香”病毒不但可以对用户系统进行破坏,导致大量应用软件无法使用,而
且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法
进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的
安全性。
这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。对于已
经感染“熊猫烧香”病毒的用户,建议参考《熊猫烧香病毒专杀及手动修复方案》,
下载其中的专钉工具进行查杀,也可手动查杀。技术专家还总结了以下预防措施,
帮你远离“熊猫烧香”病毒的骚扰。
1、立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,
安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
修改方法:右键单击“我的电脑”,选择管理,浏览到本地用户和组,在右边的
窗中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就
行。
2.、利用组策略,关闭所有驱动器的自动播放功能。
步骤:单击开始,运行,输入,打开组策略编辑器,浏览到计算机配置,管理
模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉
框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入
gpupdate,确定后,该策略就生效了。
3、修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,
再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,
取消隐藏文件扩展名。
4、时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能。
5、启用windows防火墙保护本地计算机。
对于已经感染“熊猫烧香”病毒的用户,建议参考《熊猫烧香病毒专杀及手动修
复方案》,下载其中的专钉工具进行查杀,也可手动查杀。
对于未感染的用户,专家建议,不要登陆不良网站,及时下载微软公布的最新
补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防
火墙”的立体防御体系。
清除步骤
**************************************
1. 断开网络
2.结束病毒进程
3.删除病毒自启动项
4.使用反病毒软件或专杀工具进行全盘扫描
版权声明:本文标题:信息安全熊猫烧香病毒剖析 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1715078963a433946.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论