病毒行為分析

本文格式為Word版，下載可任意編輯——病毒行為分析

XX郵電學院

計算機病毒試驗報告書

院系名稱：專業(yè)名稱班

級：

通信與信息工程學院

信息安全安全0804班余偉東（0608-3121）2023年06月23日

學生姓名：試驗時間：

一.病毒體隱蔽性分析1.查看隱蔽/顯示文件功能

（1）主機A在D盤根目錄下新建“temp.txt〞并將其屬性改為“隱蔽〞，刷新后查看文件是否顯示否（是/否）。

（2）主機A在D盤的窗口中點擊“工具〞|“文件夾選項〞|“查看〞|選中“顯示所有文件和文件夾〞，查看隱蔽的“temp.txt〞文件是否顯示是（是/否）。

（3）主機A在D盤的窗口中點擊“工具〞|“文件夾選項〞|“查看〞|“還原為默認值〞，將文件夾選項還原為最初的默認值。2.病毒對注冊表的操作分析

（1）主機A開啟注冊表編輯器，使用“查找〞功能，在“HKEY_LOCAL_MACHINE〞探尋關鍵字“showall〞，找到注冊表項

“HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL〞，查看“CheckedValue〞值，“CheckedValue〞的值為1。

（2）主機A點擊工具欄“Regshot〞按鈕運行Regshot工具，在“比較記錄另存為〞選項中選擇“HTML文檔〞，在“輸出路徑〞選項中，主機A通過網上鄰居，將路徑指向主機B中的D:\\Work目錄。點擊“攝取[1]〞按鈕選擇攝取，對當前注冊表生成快照。

（3）主機A點擊工具欄“JLCSS_Virus〞按鈕，運行病毒文件后點擊“攝取[2]〞按鈕選擇攝取，對運行病毒程序后的注冊表生成快照。

（4）主機A點擊“比較〞按鈕，獲取病毒運行前后的變化，比較文件~res.htm將會保存至主機B中的D:\\Work目錄下。

（5）主機B查看~res.htm文件，分析運行病毒文件前后注冊表的變化。

「注」本步驟是針對病毒的隱蔽性進行研究，故只分析注冊表中與文件隱蔽相關的鍵值。分析注冊表變化結果可知，病毒添加了自身安裝過程中在注冊表中產生的鍵值，在“%SystemRoot%\\system32\\〞下釋放了病毒文件inetrvs，修改了“顯示所有文件和文件夾〞功能相關的注冊表中“CheckedValue〞的值，通過對比主機A在運行病毒前的

“CheckedValue〞值，運行病毒后“CheckedValue〞的值為0。3.再次驗證隱蔽/顯示文件功能是否正常

（1）主機A在D盤的窗口中點擊“工具〞|“文件夾選項〞|“查看〞|選中“顯示所有文件和文件夾〞查看隱蔽的“temp.txt〞文件是否顯示否（是/否）。（2）主機A再次開啟注冊表項

“HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL〞，將其“CheckedValue〞值修改改為1，F(xiàn)5刷新注冊表后再次查看顯示所有文件和文件夾功能是否正常，“temp.txt〞文件是否能正常顯示是（是/否）。

總結：病毒對注冊表操作要實現(xiàn)的目的為：選擇“顯示所有文件和文件夾〞后依舊無法查看隱蔽文件.test/.doc文件。

三.病毒運行過程分析

主機A使用“快照X〞恢復Windows系統(tǒng)環(huán)境。

主機A點擊工具欄“SSM〞按鈕，運行SSM工具，點擊工具欄“JLCSS_Virus〞按鈕運行病毒，可觀測到SSM捕獲到如下進程變化：

圖37-1-2系統(tǒng)調用javaw.exe進程

圖37-1-3javaw.exe調用病毒樣本

圖37-1-4病毒調用IEXPLORE.EXE進程

其中前兩個圖表現(xiàn)了通過管理平臺工具按鈕運行病毒執(zhí)行體的過程。而圖37-1-4則說明JLCSS_Virus.exe病毒運行了iexplore.exe，對IE進行了感染。四.病毒感染性分析

主機A使用“快照X〞恢復Windows系統(tǒng)環(huán)境。

（1）主機A點擊工具欄“OllyDBG〞按鈕，運行OllyDBG，加載JLCSS_Virus.exe病毒樣本，路徑為“C:\\ExpNIS\\AntiVir-Lab\\Virus\\JLCSS_Virus〞。

依次點擊“插件〞|“超級字符串參考+〞|“查找ASCII〞，查看病毒匯編里患有的ASCII字符串，查找結果如圖37-1-5所示：

圖37-1-5字符串查找結果（2）主機A對字符串進行分析：

●病毒中含有*.htm、*.html、*.asp、*.aspx、*.php、*.jsp等字符串；●病毒在C盤下生成了“jilu.txt〞文件；

●病毒生成了網絡地址為“http://.〞的iframe腳本。

（3）主機A運行JLCSS_Virus.exe。

（4）主機A開啟C盤，在地址欄中輸入“C:\\jilu.txt〞查看文件內容。

（5）主機A分析文件內容，發(fā)現(xiàn)該文件保存的內容是一些文件的地址，并且這些文件的類型全部為步驟（2）中提到的類型。

（6）通過上述分析，我們有理由懷疑*.htm、*.html、*.asp、*.aspx、*.php、*.jsp就是該病毒感染的文件類型，而“jilu.txt〞就是記錄有哪些文件被感染，我們來證明一下猜想，主機B在瀏覽器中輸入“http://主機A的IP地址〞，待網頁解析完畢后（病毒完成對本機所有文件的感染時間約為兩分鐘，不同環(huán)境的時間可能略有不同），在彈出的頁面中單擊右鍵，選擇“查看源文件〞將代

碼拉至最終一行，查看是否被插入了惡意鏈接（是/否）。

總結：該病毒對各種類型的網頁進行了感染，在網頁文件中插入了一個iframe框架，這個框架設置寬度高度均為0，可以達到隱蔽該惡意網頁的目的，當受害者訪問被感染的網頁后，網頁就會同時訪問隱蔽在其中的惡意網頁。五.病毒行為總結

通過以上四個試驗步驟，可以歸納得到JLCSS_Virus.exe病毒的行為如下：

●病毒的進程名稱是JLCSS_Virus.exe。

●病毒在磁盤根目錄下生成了history文件，文件記錄了相關感染文件列表?！癫《靖牧薟indows窗口的標題欄名稱為已種毒JLCSS_Virus?！癫《倦[蔽了txtdoc等類型的文件（至少說出兩種）。

●病毒拷貝自身到系統(tǒng)目錄下，全路徑為：%SystemRoot%＼system32＼inetrvs。

「注」在代碼資源中提供了JLCSS_Virus.exe病毒源碼，有興趣的同學可以對該病毒的源碼進行分析。

試驗心得：通過這次試驗，我充分認識到病毒理論知識的重要性，并且親身實踐操作各種軟件，對病