实验2-病毒行为分析实验

病毒实验11

病毒行为特征分析实验

说明：

这是手工杀毒实验系列之二，因为找不到行为可控的病毒做实验，就继续用上兴木马做实验，

一、实验目的

1 进一步使用对比分析法分析上兴木马的行为。体会现代木马的技术特征。

2 学会使用 Sreng

二、实验任务

在虚拟机里上兴软件配置好服务端， SRENG软件进行系统诊断，分析用不同配置方式配置服务端的情况下，分析病毒行为特征。

三、实验环境

1台windows xp sp3机器，虚拟机上运行windowsxp sp2。

三、运用到的软件

上兴、SRENG,Ultraeditcompare

四、知识点

同前一实验

五、运用到的软件

上兴远程控制,SRENG,ultracompare

软件简介

上兴控制软件：远程控制木马

SREng：

全名System Repair Engineer(SREng):一般翻译为系统修复工程师，是世界上最先进的系统辅助分析工具之一。 SREng的日志能提供更详细的诊断信息。因为下载的软件有使用期限问题，该软件需实验时重新下载，SREng官方下载地址 http://www.kztechs.com/sreng/download.html

ultraedit compare 是文件比较工具，也可用其他软件。

六、实验步骤

所有实现在xp虚拟机里进行[或就在真实机里做]

每次木马执行分析完后，做下一实验时，还原干净的虚拟机 或保证木马没有后，再做后面的出实验。杀的方法见前一实验。

下图是配置上兴木马服务端的配置界面，要求你们，在不同配置情况下[各单选框分别 选中和不选中情况的各种情况]，在自己的出机器里执行，分析执行后的木马行为。[正常情况 应是你同学配服务端，你不知道他怎么配的 你来分析木马行为。现在你自己配的，当然知道怎么分析怎么杀，考试时 你就不知道到底是什么病毒了]

实验 一：不更改服务端任何配置[同前一实验]

步骤1:用SRENG获取中木马前的干净系统诊断报告log1

步骤2:生成木马服务端 什么

步骤3:对中木马后的虚拟机用SRENG获取系统诊断报告log2

步骤4:用ultracompare比较两次的诊断日志，获取木马存在的特征

步骤5:用语言给出木马行为的特征[参考实验指导书最后的 如何描述病毒的行为特征的规范格式。

注意木马种植后 IE浏览器对木马的作用 要描述出] 并给出关键截图。

并给出你的杀的出办法。

实验 二：将 “使用IE浏览器进程服务端”的勾去掉 再重做实验一

用SRENG获取系统诊断报告log3

Ultracompare比较log3和log1

用语言给出木马行为的特征 有什么变化，并给出关键截图。

并给出你的杀的出办法。

还原干净的虚拟机 做后面的实验3

实验 三：

将 “使用IE浏览器进程服务端”的勾还原打上

将“插system32目录的文件系统” 勾打上

再重做实验一

用SRENG获取系统诊断报告log4

Ultracompare比较log4和log1

用语言给出木马行为的特征 有什么变化，并给出关键截图。

并给出你的杀的出办法。

还原干净的虚拟机 做后面的实验4

实验 四：

将“插system32目录的文件系统” 勾还原 不选

将“使用无木马启动特征”勾 选中打上

再重做实验一

用SRENG获取系统诊断报告log5

Ultracompare比较log5和log1

用语言给出木马行为的特征 有什么变化，并给出关键截图。

还原干净的虚拟机 做后面的实验5

实验 五：

将“使用无木马启动特征”勾还原 不选

将“2k/xp/2003下隐藏进程”勾打上

再重做实验一

用SRENG获取系统诊断报告log6

Ultracompare比较log6和log1

用语言给出木马行为的特征 有什么变化，并给出关键截图。

并给出你的杀的出办法。

实验六

Calc.exe对木马起什么作用，请用截图说明

附熊猫烧香病毒行为说明的例子：

1、病毒体执行后，将自身拷贝到系统目录：

%SystemRoot%\system32\FuckJacks.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"

2、添加注册表启动项目确保自身在系统重启动后被加载：

键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键名：FuckJacks

键值："C:\WINDOWS\system32\FuckJacks.exe"

键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键名：svohost

键值："C:\WINDOWS\system32\FuckJacks.exe"

3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。

C:\autorun.inf 1KB RHS

C:\setup.exe 230KB RHS

4、关闭众多杀毒软件和安全工具。

5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。

6、刷新bbs.qq.com，某QQ秀链接。

7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。

实验 一：不更改服务端任何配置

杀的出办法。

v

本文来源：https://www.2haoxitong.net/k/doc/a7c44c46336c1eb91a375db9.html