病毒实验11
病毒行为特征分析实验
说明:
这是手工杀毒实验系列之二,因为找不到行为可控的病毒做实验,就继续用上兴木马做实验,
一、实验目的
1 进一步使用对比分析法分析上兴木马的行为。体会现代木马的技术特征。
2 学会使用 Sreng
二、实验任务
在虚拟机里上兴软件配置好服务端, SRENG软件进行系统诊断,分析用不同配置方式配置服务端的情况下,分析病毒行为特征。
三、实验环境
1台windows xp sp3机器,虚拟机上运行windowsxp sp2。
三、运用到的软件
上兴、SRENG,Ultraeditcompare
四、知识点
同前一实验
五、运用到的软件
上兴远程控制,SRENG,ultracompare
软件简介
上兴控制软件:远程控制木马
SREng:
全名System Repair Engineer(SREng):一般翻译为系统修复工程师,是世界上最先进的系统辅助分析工具之一。 SREng的日志能提供更详细的诊断信息。因为下载的软件有使用期限问题,该软件需实验时重新下载,SREng官方下载地址 http://www.kztechs.com/sreng/download.html
ultraedit compare 是文件比较工具,也可用其他软件。
六、实验步骤
所有实现在xp虚拟机里进行[或就在真实机里做]
每次木马执行分析完后,做下一实验时,还原干净的虚拟机 或保证木马没有后,再做后面的出实验。杀的方法见前一实验。
下图是配置上兴木马服务端的配置界面,要求你们,在不同配置情况下[各单选框分别 选中和不选中情况的各种情况],在自己的出机器里执行,分析执行后的木马行为。[正常情况 应是你同学配服务端,你不知道他怎么配的 你来分析木马行为。现在你自己配的,当然知道怎么分析怎么杀,考试时 你就不知道到底是什么病毒了]
实验 一:不更改服务端任何配置[同前一实验]
步骤1:用SRENG获取中木马前的干净系统诊断报告log1
步骤2:生成木马服务端 什么
步骤3:对中木马后的虚拟机用SRENG获取系统诊断报告log2
步骤4:用ultracompare比较两次的诊断日志,获取木马存在的特征
步骤5:用语言给出木马行为的特征[参考实验指导书最后的 如何描述病毒的行为特征的规范格式。
注意木马种植后 IE浏览器对木马的作用 要描述出] 并给出关键截图。
并给出你的杀的出办法。
实验 二:将 “使用IE浏览器进程服务端”的勾去掉 再重做实验一
用SRENG获取系统诊断报告log3
Ultracompare比较log3和log1
用语言给出木马行为的特征 有什么变化,并给出关键截图。
并给出你的杀的出办法。
还原干净的虚拟机 做后面的实验3
实验 三:
将 “使用IE浏览器进程服务端”的勾还原打上
将“插system32目录的文件系统” 勾打上
再重做实验一
用SRENG获取系统诊断报告log4
Ultracompare比较log4和log1
用语言给出木马行为的特征 有什么变化,并给出关键截图。
并给出你的杀的出办法。
还原干净的虚拟机 做后面的实验4
实验 四:
将“插system32目录的文件系统” 勾还原 不选
将“使用无木马启动特征”勾 选中打上
再重做实验一
用SRENG获取系统诊断报告log5
Ultracompare比较log5和log1
用语言给出木马行为的特征 有什么变化,并给出关键截图。
还原干净的虚拟机 做后面的实验5
实验 五:
将“使用无木马启动特征”勾还原 不选
将“2k/xp/2003下隐藏进程”勾打上
再重做实验一
用SRENG获取系统诊断报告log6
Ultracompare比较log6和log1
用语言给出木马行为的特征 有什么变化,并给出关键截图。
并给出你的杀的出办法。
实验六
Calc.exe对木马起什么作用,请用截图说明
附熊猫烧香病毒行为说明的例子:
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:FuckJacks
键值:"C:\WINDOWS\system32\FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:svohost
键值:"C:\WINDOWS\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
实验 一:不更改服务端任何配置
杀的出办法。
v
本文来源:https://www.2haoxitong.net/k/doc/a7c44c46336c1eb91a375db9.html
文档为doc格式