病毒、蠕蟲和木馬的清除與防御

實驗報告課程名稱:網(wǎng)絡安全維護與管理實驗項目名稱:病毒、蠕蟲和木馬的清除與防御專業(yè)：計算機網(wǎng)絡技術同組學生姓名:實驗地點：實驗日期:２０1２年9月22日星期六一、實驗目的及要求學習病毒、蠕蟲和木馬的清除與防御課程,目的及要求主要有以下三點:1、掌握網(wǎng)絡防病毒系統(tǒng)的安裝及使用方法，2、了解蠕蟲病毒的主要特征和預防方法,3、了解木馬的偽裝、運行方式和預防方法二、實驗的內容及原理本次試驗,主要針對的事病毒、蠕蟲以及木馬，主要使用SｙmantecNAＶ防病毒軟件,進行病毒的防護,端口封閉方法進行狙擊波蠕蟲病毒防護，使用ＢO2K軟件來進行木馬的防護與查殺。內容及原理為:１、殺毒軟件的安裝及使用２、狙擊波蠕蟲病毒防護3、木馬(BO2K)的安裝及使用三、實驗的環(huán)境1、殺毒軟件的安裝及使用(1）操作系統(tǒng)類型:wiｎｄows2０03＼ｗindowsXＰ\(zhòng)wiｎｄｏws7(本次試驗在虛擬機上使用windows2０03操作系統(tǒng)來進行）（2）軟件名稱：Ｓymantｅc2、狙擊波蠕蟲病毒防護(１)操作系統(tǒng)類型：wiｎｄｏws２003＼wiｎdｏwｓXＰ\(zhòng)ｗindoｗs７(本次試驗在虛擬機上使用windowｓ2003操作系統(tǒng)來進行）(2)使用方法：端口封閉3、木馬(BＯ２K)的安裝及使用（1)操作系統(tǒng)類型：ｗindoｗs20０3＼wiｎdｏwsXP＼windoｗs7（本次試驗在虛擬機上使用ｗiｎdｏｗs2003操作系統(tǒng)來進行)（2）軟件名稱:BO2K四、實驗方法和步驟1、病毒軟件Sｙmanｔec的安裝及使用(１)、運行文件中的Setup.ｅxｅ程序,開始安裝Sｙｍanｔeｃ軟件，如圖1:圖1(2)、該軟件使用協(xié)議，選擇同意則進入該軟件的安裝,不同意則退出,界面如圖2所示:圖2（3)、選擇安裝所需要的功能，界面如圖3所示：圖3(4）、選擇軟件安裝的位置，界面如圖4所示:圖４（5）、根據(jù)安裝向導，選擇安裝(inｓtal)按鈕，進行該軟件的安裝,界面如圖5所示:圖5(6)、安裝中的Ｓyｍaｎteｃ軟件,如圖6圖6(7)、完成安裝圖7（8)安裝完成后,系統(tǒng)需要重新啟動該程序方能生效，提示是否重新啟動的界面如圖8所示：圖8為了能更好地使用Symantec防病毒軟件,還需要安裝Sｙmａｎtec服務器,Symaｎteｃ服務器的安裝步驟如下:（9）、選擇SymanｔecＡntiVirus文件中的Seｔuｐ.eｘｅ程序，雙擊后運行，進入SymaｎｔecAｎtiViruｓ安裝向導界面，如圖9所示：圖9(1０）、與上面的授權協(xié)議相同,選擇同意該授權之后，才可進入ＳymantｅcAntiＶｉrｕs服務器的安裝，如圖１0所示:圖10（11)、在安裝選項中選擇服務器安裝，界面如圖11所示:圖1１（1２）、選擇服務器組時設置用戶名和密碼，如圖12所示：圖12（13）、使用所設密碼，創(chuàng)建服務器組，界面如圖13所示：圖１3(14）、在proｔection(保護)選項中，選擇所需的保護選項,如圖１４所示:如圖14（15）、安裝所選功能程序狀態(tài)界面如圖１5所示:圖１５（16)、在LiｖeUｐdａｔa選項卡中,舊的病毒更新文件，如圖16：圖1６（17）、對SymaｎtecAnｔiVirｕs服務器中LiveUpｄaｔa安裝組件的安裝，如圖１7:圖１７（１８)、安裝防護向導完成界面,如圖18所示:圖18（1９）、安裝完成后，在Ｓymanteｃ系統(tǒng)控制中心中，選擇服務器組,右鍵單擊后,在選擇菜單中選擇解鎖該服務器組選項,如圖１9：圖19(20）、使用用戶名和密碼為服務器組解鎖，如圖2０所示：圖20(21）、解鎖后并上升成為一級服務器，如圖所示：圖212、狙擊波蠕蟲病毒防護封閉ＴＣP445端口是最好的方法，分為兩種:一種是從控制面板、管理工具、安全設置的IＰ安全策略進行端口的封閉。另一種是從本地連接高級選項卡中TCP/IＰ屬性進行設置允許端口的。IP安全策略進行封閉端口的方法如下:（１）啟動ＶMWＡRE，打開預裝的WindowsServer20０3虛擬機,修改IＰ地址為１92、１68、13、1１，虛擬機名。如圖１圖1啟動ＶＭWAＲE,打開預裝的WｉndｏwｓSｅrveｒ2003虛擬機,修改ＩP地址為19２、168、13、11，虛擬機名。如圖1圖1在虛擬機上安裝SuperＳｃａｎ軟件，對虛擬機的端口進行掃描,找出所用虛擬機所有的端口。安裝ＳuperScaｎ軟件圖2、圖３圖２圖3對虛擬機的端口進行掃描,共有三個端口，135、１３９、4４5端口如圖4圖4選擇(控制面板)、（管理工具)、（本地安全設置)、（安全設置）選項,右擊（IＰ安全策略,在本地計算機)，選擇（管理IP篩選器表和篩選器操作)命令。如圖５圖5在打開的（管理IP篩選器表和篩選器操作)對話框中,單擊(添加）按鈕，如圖６圖６（5）在彈出的（IP篩選器列表）對話框中,取消選擇(使用“添加向導”)復選框，單擊（添加）按鈕,如圖7圖7（６)彈出(篩選器屬性)對話框,在(尋址)選項卡中,選擇(源地址）為“任何ＩP地址”，（目的地址)為“我的ＩP地址”如圖８圖8選擇(協(xié)議)選項卡，設置(選擇協(xié)議類型)為TCP，（到此端口）設置為4４5，如圖9圖9單擊(確定）按鈕,回到(IP篩選器列表)對話框,再單擊（確定）按鈕?；氐?管理ＩP篩選器表和篩選器操作)對話框后,最后單擊(確定)按鈕，完成篩選器的添加。（9）接下來是添加應用此篩選器的IP策略?；氐?本地安全設置）的窗口后,同樣右擊(IP安全策略,在本地計算機）,選擇（創(chuàng)建IＰ安全策略)命令。如圖10圖10進入（ＩP安全策略向導)對話框后,單擊(下一步)按鈕,接著輸入策略名稱,同樣使用TＣP44５,如圖11圖１1單擊(下一步)按鈕,進入（安全通信請求)對話框,取消選中（激活默認響應規(guī)則)復選框，單擊（下一步)按鈕，在單擊(完成)按鈕，如圖12圖12接著對IＰ安全策略進行屬性設置，在（ＴCP445屬性）對話框中,取消（使用“添加向導”）的選擇，然后單擊(添加)按鈕，如圖13圖13出現(xiàn)（新規(guī)則屬性）對話框,在（IP篩選器列表)中選擇剛才定義的篩選器，如圖14圖14選擇(篩選器操作）標簽，同樣去掉（使用“添加向導”)復選框的選中狀態(tài),單擊(添加)按鈕,如圖15圖15在彈出的(新篩選器操作屬性）對話框的（安全措施)選項卡中，選擇(阻止)單選按鈕，單擊(確定）按鈕退出,如圖１6圖16回到（新規(guī)則屬性）對話框,在（篩選器操作)選項卡選擇剛才定義的“篩選器操作”,然后單擊(確定)按鈕,退出對話框。回到(TCＰ445屬性)對話框，單擊（確定）按鈕退出，此時發(fā)現(xiàn)(本地安全策略)已添加了新策略TCＰ44５。右擊此策略,選擇（指派）命令,這樣,該策略將應用到系統(tǒng)中，本地的445端口將禁止一切的通信，如圖1７圖17（18)最后再運用SuｐｅrScan軟件對計算機的所有端口進行掃描，發(fā)現(xiàn)44５端口已經(jīng)被阻止,找不到4４5端口,如圖18圖1８從本地連接高級選項卡中TCP/IＰ屬性進行端口允許設置的方法如下:啟動ＶMWARＥ,打開預裝的WinｄowsServeｒ２0０３虛擬機,修改IＰ地址為192、1６8、13、1１，虛擬機名。如圖19圖１9在虛擬機上安裝SuperScan軟件，對虛擬機的端口進行掃描，找出所用虛擬機所有的端口。安裝SuperScan軟件圖20、圖2１圖2０圖2１對虛擬機的端口進行掃描，共有三個端口,135、1３9、445端口如圖２2圖22打開本地連接，單擊(屬性）按鈕，如圖23圖2３選擇（常規(guī))選項卡中的（TＣP/ＩP協(xié)議)選項，單擊（屬性)按鈕,如圖24圖24出現(xiàn)ＩP地址屬性框,選擇（高級）按鈕,如圖25圖25在高級TCＰ／IP設置對話框中,選擇（TCP/IP篩選），單擊(屬性)按鈕，如圖2６圖2６在TCP/IP篩選對話框中,找到TCＰ端口，選中（只允許)，單擊（添加）按鈕,添加445端口,單擊(確定)按鈕，如圖2７圖27按照添加44５端口的方法添加1３9端口，如圖28圖28添加完端口后,單擊（確定）按鈕,出現(xiàn)重啟計算機才能生效,單擊（是),計算機重啟,如圖２9圖29計算機重啟后，再次用ＳｕpeｒSｃaｎ軟件對端口進行掃描，出現(xiàn)445和139端口,和所操作的只允許445、1３9端口一致，1３5端口封閉，如圖30．圖30３、木馬(BO2Ｋ）的安裝及使用木馬(BO２K)的安裝及使用實驗步驟：1、服務器端IP的配置(１)服務器端IP地址的設置,如圖（１)圖(1)2、添加BO2K中的文件(1)單擊[開始]菜單,從控制面板中選[系統(tǒng)屬性],如圖(2),圖（2）(2)選中圖(２)中的【高級】選項，并單擊性能欄中的【設置】按鈕,并選中圖中的【數(shù)據(jù)執(zhí)行保護】項，選中圖中的第二項得到圖(3）。圖(3)（3)點擊圖中的【添加】按鈕,逐一將ｂo2k.eｘｅ、bｏ2kcfg．ｅxｅ、bo２kgｕi.eｘｅ添加進來,得到圖(4)圖（4）3、服務器端程序的配置(１)啟動BＯ2K的配置工具。運行bo２ｋcfg.eｘe,單擊OpeｎSeｒｖｅr(打開服務器)按鈕，輸入要配置的服務器文件，選擇圖中的bo2k.ｅxe，結果如圖（5）所示:圖（５）(2）插件配置。單擊Insｅrt（插入）按鈕添加插件,插件放在示pluｇings文件夾中，如圖（6)所示。添加的插件包括:ａuth、eｎｃ、iｏ、miｓc、srv目錄下的所有ＤLＬ文件,結果如圖（７)所示:圖（6）圖(７）(3）服務器配置。單擊ＯpｔionＶaｒiaｂlｅs(選擇變量）標簽，如圖（８）所示，可以在此配置ＢＯ2K服務器所使用的網(wǎng)絡通信方式、端口號、加密方法等。選擇使用默認配置即可。圖（８）(4）單擊ＳaveSｅｒver（保存服務器）按鈕保存配置信息，然后單擊Ｅxｉt（退出)按鈕退出配置程序。（５)雙擊bo2k.exｅ就可以運行服務器程序。４、客戶端程序的使用(1)客戶端IP參數(shù)設置，如圖(9）所示:圖(9)假如服務器端程序已在１９２．16８.２0.１１2上運行了，通信方式為TCＰ,端口為54320。在另外一臺計算機上解壓BO2K1.1.6，目錄下的bo2kgui．ｅｘe就是客戶端系統(tǒng)。啟動bo2ｋｇuｉ．exe,如圖(1０)所示：圖(１0）配置插件。單擊Ｐl(wèi)ｕgｉｎgｓ(插件）/Configure（配置)命令，出現(xiàn)如圖（11)所示的對話框，單擊Iｎsｅｒt按鈕添加插件，插件在如圖所示的Plｕｇings文件夾中。添加的插件也包括ａuth、enｃ、ｉo、ｍisc、cli目錄下的所有DＬL文件。可以通過Option列表框選擇插件,并對插件進行配置。單擊Done（完成)按鈕，關閉插件配置程序。圖（11)添加服務器。在客戶端單擊File(文件)／ＮeｗServer（新服務器）命令,添加一個服務器，如圖（１2）所示。輸入服務器的地址和名稱，在Connectiｏn（連接)下拉列表框中選擇合適的版本（如v1.0）圖(１2)啟動連接。添加服務器不成功，在客戶端的服務器列表中將出現(xiàn)服務器信息。重新添加服務器名稱為（ttｊ）并啟動連接，添加服務器不成功,在客戶端的服務器列表中將出現(xiàn)服務器信息如圖（１3)所示圖（13）通過對服務器選項卡的更改,再次啟動連接,添加成功。雙擊ｔtj,出現(xiàn)連接界面，然后單擊Ｃoｎneｃt(連接）按鈕，啟動與服務器的連接，連接成功后出現(xiàn)如圖（14）所示的控制臺對話框。圖(１4)五、各試驗的結論與思考1、病毒軟件Symantｅｃ的安裝及使用經(jīng)過本章的學習,我們了解到病毒的多種多樣及類型的形形色色,使我們對病毒有了一個全新的認識,不在談病毒而色變，因為對它的了解，我相信我們在今后的網(wǎng)絡日常管理中,會更加的自信。社會在不斷發(fā)展，隨著病毒的日益更新，防病毒的軟件也在同步的更新發(fā)展著,而Ｓｙmａｎｔec就是其中一款有效軟件之一。在安裝的過程中，因為有安裝向導，所以安裝起來比較的方便,只要按著步驟進行,基本上不會出錯,但是在解鎖之后，很多人都會在服務器組之前出現(xiàn)一個感嘆號,那樣的試驗雖然也是成功的，但卻不能算是完美的，然而至今,仍是不能明白出現(xiàn)那樣情況的原因。無論什么事，有據(jù)可循固然是好，但在同時，我們也不能忘了自己去思考，這樣才能更加接近成功的真諦。2、狙擊波蠕蟲病毒防護結論與思考根據(jù)阻擊波蠕蟲病毒的原理，封閉TCＰ445端口是最好的方法,分為兩種：一種是從控制面板、管理工具、安全設置的ＩP安全策略進行端口的封閉。另一種是從本地連接高級選項卡中TCP/IP屬性進行設置允許端口。從控制面板、管理工具、安全設置的IP安全策略進行端口的封閉，步驟比較復雜,操作時容易出現(xiàn)錯誤，會因為很小的錯誤無法封閉4４5端口。本地連接高級選項卡中TＣP/IP屬性進行設置允許端口，操作步驟少,比較容易。在進行端口封閉時，還是采用本地連接高級選項卡中TCP/IP屬性進行設置允許端口進行操作。根據(jù)端口的封閉，可以對蠕蟲病毒的傳播進行防御，作為一名網(wǎng)絡管理員,應該在計算機沒有被傳播蠕蟲病毒時就做好防御工作，以免受到蠕蟲的攻擊。3、木馬（BＯ２K)的安裝及使用結論與思考在做木馬(ＢO2Ｋ）的安裝及使用時常會出現(xiàn)做到一半?yún)s發(fā)現(xiàn)自己沒添加BＯ２K中的文件，這樣只會致使要重新做此實訓。按照老師的操作步驟進行實訓，雖然在做的過程中沒有出現(xiàn)什么大問題，但往往在進行Cｏnnect（連接)時總會不是那么的順利，不能使連接成功,當然,我也出現(xiàn)了類似的問題,我是通過重新添加服務器。并在服務器選項卡里輸入服務器的地址和名稱,在Ｃonnｅctiｏn(連接)下拉列表框中選擇合適的版本（如ｖ１．0),核對好服務器端的IP地址并進行重連,最終實現(xiàn)連接成功的目的?？梢哉f實訓的成功完成靠的是自己對服務器選項卡中各項目的更改才完成的，具體連不上的原因出自哪根本就沒弄明白。但我會在以后的時間里向同學請教,直到把問題搞明白。六、實驗結論與思考結論:盡管教學設施并不好，但經(jīng)過課上老師的講解以及對實訓的耐心演示，結合我們的自己動手操作,我們對課上所學的知識還是有了一定的了解。每次實訓老師都要求我們寫實訓報告，但這次不同的是我們三人一組合作。我主要負責的是木馬(BＯ2K)的安裝及使用，雖然做（BＯ2Ｋ）這一節(jié)的實訓時我沒能按老師的要求完成任務，但通過課余時間我成功的完成了任務。并且還學到了不少東西,老師的課讓我明白我們做實訓部僅僅只是為了考試時能到高分,最重要的是我們能將所學到的知識運用到以后的工作中，這才是我們學習的真正目的。團隊的協(xié)作也是很重要的，沒有團隊合作就沒有我們完整的實訓報告。我們馬上就要面臨找工作的問題了，我只希望在有限的大學生活中能夠學到更多的知識，為我們以后的就業(yè)有所幫助。當然，我也會在以后的學習中腳踏實地，學以致用。平時多結合課本來多做些相關的實訓,使自己能夠更熟練的操作計算機。思考1、計算機病毒的特點主要有哪些?答：計算機病毒主要有以下特點：（1）未經(jīng)授權執(zhí)行（2）隱蔽性(3）傳染性（4）潛伏性（5)破壞性(６)不可預見性(7）病毒的生命周期2、計算機病毒的分類以及給類病毒的特征和危害？答：按照不同的分類方法，計算機病毒大致可分類如下：（1)一般分類方法一般情況下,將病毒分為以下幾類:傳統(tǒng)病毒：通過改變文件或者其他東西進行傳播,通常有感染可執(zhí)行文件的文件型病毒和感染引導扇區(qū)的引導型病毒；宏病毒：利用word、Ｅxcel等宏腳本功能進行傳播;惡意腳本:一種做破壞的腳本程序;蠕蟲程序：利用操作系統(tǒng)的漏洞、電子郵件、P2P軟件等自動傳播自身的病毒；木馬程序:在用戶不知情的情況下安裝,隱藏在后臺，服務器端一般沒有界面無法配置，當病毒程序被激活或啟動后用戶無法終止其運行;黑客程序:利用網(wǎng)絡來攻擊其他計算機,被運行或激活后就像其他正常程序一樣有界面，黑客程序對使用者本身的機器沒有損害;破壞性程序：病毒啟動后，破壞用戶計算機系統(tǒng)。(2)按病毒存在的載體分為：文件型病毒：以文件形式存在,是目前流行的主要形式,根據(jù)操作系統(tǒng)的不同,又可以分為很多類；引導區(qū)病毒：存放在軟盤引導區(qū)、硬盤引導區(qū)和系統(tǒng)引導區(qū),病毒在操作系統(tǒng)啟動前就加載到內存中，具有操作系統(tǒng)無關性，可以感染所有X86類計算機；網(wǎng)絡蠕蟲病毒：網(wǎng)絡為載體,純粹的網(wǎng)絡蠕蟲病毒比較少;混合類病毒:病毒分類沒有完全清晰的劃分,病毒為了廣泛傳播的目的,通常采用更多的方式。(3)按照病毒傳染的方法分為:入侵型病毒：通過外部媒介侵入宿主機器嵌入式病毒：通過嵌入到某一正常的程序中,然后通過某一觸發(fā)機制發(fā)作；外殼類病毒和病毒生產(chǎn)機:使用特殊算法把自己壓縮，到正常文件上,當被害者解壓時即可執(zhí)行病毒程序(4)按照病毒自身的特征（自身存在的編碼特征）分為：伴隨型病毒:并不改變文件本身,它們根據(jù)算法產(chǎn)生exe文件的伴隨文件;變型病毒:使用復雜的算法，使自己每傳播一份，都具有不同的長度和內容,此類病毒通常是由一段混有無關指令的解碼算法和被變化過的病毒體組成。3、簡述計算機病毒的發(fā)展趨勢。答：計算機病毒的發(fā)展趨勢如下:(１）病毒與黑客技術相結合(２)蠕蟲病毒更加泛濫(３)病毒破壞性更大(4)制作病毒的方法更簡單（5)病毒傳播速度更快,傳播渠道更多（６)病毒的檢