病毒行為分析

本文格式為Word版，下載可任意編輯——病毒行為分析

XX郵電學(xué)院

計(jì)算機(jī)病毒試驗(yàn)報(bào)告書

院系名稱：專業(yè)名稱班

級(jí)：

通信與信息工程學(xué)院

信息安全安全0804班余偉東（0608-3121）2023年06月23日

學(xué)生姓名：試驗(yàn)時(shí)間：

一.病毒體隱蔽性分析1.查看隱蔽/顯示文件功能

（1）主機(jī)A在D盤根目錄下新建“temp.txt〞并將其屬性改為“隱蔽〞，刷新后查看文件是否顯示否（是/否）。

（2）主機(jī)A在D盤的窗口中點(diǎn)擊“工具〞|“文件夾選項(xiàng)〞|“查看〞|選中“顯示所有文件和文件夾〞，查看隱蔽的“temp.txt〞文件是否顯示是（是/否）。

（3）主機(jī)A在D盤的窗口中點(diǎn)擊“工具〞|“文件夾選項(xiàng)〞|“查看〞|“還原為默認(rèn)值〞，將文件夾選項(xiàng)還原為最初的默認(rèn)值。2.病毒對(duì)注冊(cè)表的操作分析

（1）主機(jī)A開啟注冊(cè)表編輯器，使用“查找〞功能，在“HKEY_LOCAL_MACHINE〞探尋關(guān)鍵字“showall〞，找到注冊(cè)表項(xiàng)

“HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL〞，查看“CheckedValue〞值，“CheckedValue〞的值為1。

（2）主機(jī)A點(diǎn)擊工具欄“Regshot〞按鈕運(yùn)行Regshot工具，在“比較記錄另存為〞選項(xiàng)中選擇“HTML文檔〞，在“輸出路徑〞選項(xiàng)中，主機(jī)A通過網(wǎng)上鄰居，將路徑指向主機(jī)B中的D:\\Work目錄。點(diǎn)擊“攝取[1]〞按鈕選擇攝取，對(duì)當(dāng)前注冊(cè)表生成快照。

（3）主機(jī)A點(diǎn)擊工具欄“JLCSS_Virus〞按鈕，運(yùn)行病毒文件后點(diǎn)擊“攝取[2]〞按鈕選擇攝取，對(duì)運(yùn)行病毒程序后的注冊(cè)表生成快照。

（4）主機(jī)A點(diǎn)擊“比較〞按鈕，獲取病毒運(yùn)行前后的變化，比較文件~res.htm將會(huì)保存至主機(jī)B中的D:\\Work目錄下。

（5）主機(jī)B查看~res.htm文件，分析運(yùn)行病毒文件前后注冊(cè)表的變化。

「注」本步驟是針對(duì)病毒的隱蔽性進(jìn)行研究，故只分析注冊(cè)表中與文件隱蔽相關(guān)的鍵值。分析注冊(cè)表變化結(jié)果可知，病毒添加了自身安裝過程中在注冊(cè)表中產(chǎn)生的鍵值，在“%SystemRoot%\\system32\\〞下釋放了病毒文件inetrvs，修改了“顯示所有文件和文件夾〞功能相關(guān)的注冊(cè)表中“CheckedValue〞的值，通過對(duì)比主機(jī)A在運(yùn)行病毒前的

“CheckedValue〞值，運(yùn)行病毒后“CheckedValue〞的值為0。3.再次驗(yàn)證隱蔽/顯示文件功能是否正常

（1）主機(jī)A在D盤的窗口中點(diǎn)擊“工具〞|“文件夾選項(xiàng)〞|“查看〞|選中“顯示所有文件和文件夾〞查看隱蔽的“temp.txt〞文件是否顯示否（是/否）。（2）主機(jī)A再次開啟注冊(cè)表項(xiàng)

“HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL〞，將其“CheckedValue〞值修改改為1，F(xiàn)5刷新注冊(cè)表后再次查看顯示所有文件和文件夾功能是否正常，“temp.txt〞文件是否能正常顯示是（是/否）。

總結(jié)：病毒對(duì)注冊(cè)表操作要實(shí)現(xiàn)的目的為：選擇“顯示所有文件和文件夾〞后依舊無(wú)法查看隱蔽文件.test/.doc文件。

三.病毒運(yùn)行過程分析

主機(jī)A使用“快照X〞恢復(fù)Windows系統(tǒng)環(huán)境。

主機(jī)A點(diǎn)擊工具欄“SSM〞按鈕，運(yùn)行SSM工具，點(diǎn)擊工具欄“JLCSS_Virus〞按鈕運(yùn)行病毒，可觀測(cè)到SSM捕獲到如下進(jìn)程變化：

圖37-1-2系統(tǒng)調(diào)用javaw.exe進(jìn)程

圖37-1-3javaw.exe調(diào)用病毒樣本

圖37-1-4病毒調(diào)用IEXPLORE.EXE進(jìn)程

其中前兩個(gè)圖表現(xiàn)了通過管理平臺(tái)工具按鈕運(yùn)行病毒執(zhí)行體的過程。而圖37-1-4則說明JLCSS_Virus.exe病毒運(yùn)行了iexplore.exe，對(duì)IE進(jìn)行了感染。四.病毒感染性分析

主機(jī)A使用“快照X〞恢復(fù)Windows系統(tǒng)環(huán)境。

（1）主機(jī)A點(diǎn)擊工具欄“OllyDBG〞按鈕，運(yùn)行OllyDBG，加載JLCSS_Virus.exe病毒樣本，路徑為“C:\\ExpNIS\\AntiVir-Lab\\Virus\\JLCSS_Virus〞。

依次點(diǎn)擊“插件〞|“超級(jí)字符串參考+〞|“查找ASCII〞，查看病毒匯編里患有的ASCII字符串，查找結(jié)果如圖37-1-5所示：

圖37-1-5字符串查找結(jié)果（2）主機(jī)A對(duì)字符串進(jìn)行分析：

●病毒中含有*.htm、*.html、*.asp、*.aspx、*.php、*.jsp等字符串；●病毒在C盤下生成了“jilu.txt〞文件；

●病毒生成了網(wǎng)絡(luò)地址為“http://.〞的iframe腳本。

（3）主機(jī)A運(yùn)行JLCSS_Virus.exe。

（4）主機(jī)A開啟C盤，在地址欄中輸入“C:\\jilu.txt〞查看文件內(nèi)容。

（5）主機(jī)A分析文件內(nèi)容，發(fā)現(xiàn)該文件保存的內(nèi)容是一些文件的地址，并且這些文件的類型全部為步驟（2）中提到的類型。

（6）通過上述分析，我們有理由懷疑*.htm、*.html、*.asp、*.aspx、*.php、*.jsp就是該病毒感染的文件類型，而“jilu.txt〞就是記錄有哪些文件被感染，我們來證明一下猜想，主機(jī)B在瀏覽器中輸入“http://主機(jī)A的IP地址〞，待網(wǎng)頁(yè)解析完畢后（病毒完成對(duì)本機(jī)所有文件的感染時(shí)間約為兩分鐘，不同環(huán)境的時(shí)間可能略有不同），在彈出的頁(yè)面中單擊右鍵，選擇“查看源文件〞將代

碼拉至最終一行，查看是否被插入了惡意鏈接（是/否）。

總結(jié)：該病毒對(duì)各種類型的網(wǎng)頁(yè)進(jìn)行了感染，在網(wǎng)頁(yè)文件中插入了一個(gè)iframe框架，這個(gè)框架設(shè)置寬度高度均為0，可以達(dá)到隱蔽該惡意網(wǎng)頁(yè)的目的，當(dāng)受害者訪問被感染的網(wǎng)頁(yè)后，網(wǎng)頁(yè)就會(huì)同時(shí)訪問隱蔽在其中的惡意網(wǎng)頁(yè)。五.病毒行為總結(jié)

通過以上四個(gè)試驗(yàn)步驟，可以歸納得到JLCSS_Virus.exe病毒的行為如下：

●病毒的進(jìn)程名稱是JLCSS_Virus.exe。

●病毒在磁盤根目錄下生成了history文件，文件記錄了相關(guān)感染文件列表?！癫《靖牧薟indows窗口的標(biāo)題欄名稱為已種毒JLCSS_Virus。●病毒隱蔽了txtdoc等類型的文件（至少說出兩種）。

●病毒拷貝自身到系統(tǒng)目錄下，全路徑為：%SystemRoot%＼system32＼inetrvs。

「注」在代碼資源中提供了JLCSS_Virus.exe病毒源碼，有興趣的同學(xué)可以對(duì)該病毒的源碼進(jìn)行分析。

試驗(yàn)心得：通過這次試驗(yàn)，我充分認(rèn)識(shí)到病毒理論知識(shí)的重要性，并且親身實(shí)踐操作各種軟件，對(duì)病