返回
网络攻防实验报告

网络攻防实验报告

ID:48318429

大小:2.37 MB

页数:8页

时间:2020-01-10

网络攻防实验报告_第1页
网络攻防实验报告_第2页
网络攻防实验报告_第3页
网络攻防实验报告_第4页
网络攻防实验报告_第5页
资源描述:

《网络攻防实验报告》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、实验报告模板队别七院三旅一营学号7012013296姓名刘式景实验日期2016年10月5日实验项目一、恶意代码手工查杀实验二、SQL注入攻击成绩【实验目的】(简要描述实验目的)采用免杀、混淆等技术的恶意代码有可能突破安全软件的防护而运行在目标主机中。即使用户感受到系统出现异常,但是仅仅通过杀毒软件等也无法检测与根除恶意代码,此时需要用户凭借其它系统工具和对操作系统的了解对恶意代码手工查杀。本实验假设在已经确定木马进程的前提下,要求学生借助进程检测和注册表检测等系统工具,终止木马进程运行,消除木马程序

2、造成的影响,从而实现手工查杀恶意代码的过程。【实验结果及分析】(需要有结果截图)一、恶意代码手工查杀实验1、虚拟机快照为防止虚拟机破坏后无法恢复,应先将干净的虚拟机进行快照设置。点击菜单“虚拟机”“快照”“拍摄快照”,创建一个干净的虚拟机快照。2.创建被感染的系统环境由于恶意代码采用了免杀技术,因此能够成功绕过防病毒等安全软件检测,等用户感到系统异常时,通常恶意代码已经在主机系统内加载运行。为了尽量模拟一个逼真的用户环境,我们在搭建好的虚拟机中运行木马宿主程序“radar0.exe”。运行完后,可以

3、看见,“radar0.exe”自动删除。3.木马进程的定位用户对系统的熟悉程度决定了发现系统异常继而查找恶意代码的早晚。在本例中,明显可以感受到系统运行速度变慢,打开任务管理器,可以观察到有一个“陌生”的进程(非系统进程或安装软件进程)“wdfmgr.exe”占用CPU比率很高。为了确定该进程为木马进程,可以通过查找该进程的静态属性如创建时间、开发公司、大小等,以及通过对该进程强制终止是否重启等现象综合判断。在本例中,“Wdfmgr.exe”为木马radar.exe运行后新派生的木马进程。4.记录程

4、序行为打开工具“ProcMon.exe”,为其新增过滤规则“ProcessName”“is”“wdfmgr.exe”,然后开始监控。点击“Add”将过滤规则加入,可以看到ProcMon开始监控“wdfmgr.exe”进程的行为。需要注意的是,有时为了保证观察到的行为完备性,会先启动ProcMon工具,然后再启动被监控进程。为了分别观察该进程对文件系统和注册表的操作,点击菜单“Tools”à“FileSummary”,观察对文件系统的修改。同样,如果需要观察注册表变化,可以选择“Registryfil

5、e”5.分析结果1)文件操作打开目标进程对文件系统操作的记录。在文件统计信息对话框中,可以分别以修改文件全路径、所在目录、类型等为索引进行查看,这里以类型进行查看。点击“ByExtention”,可以看到,左侧中列举了操作文件的各种类型,右框窗口显示了对每种类型的文件按操作类型进行了统计,包括“Open”(打开)、“Close”(关闭)“Read”(读)“Write”(写)等类型。对于恶意代码,我们更关心它创建了什么新的文件,因为这些文件将关系到它的启动、保护等核心技术,因此关注“Write”文件写

6、的操作。在该实验中,被写入的文件有“inf”和“exe”两种类型。点击左侧窗口将两种类型展开,可以看到其写入的文件分别是:C:autorun.infE:autorun.infC:tldr.exeE:tldr.exe显然,这是类似于U盘启动式的病毒方法,通过autorun.inf的配置使得用户打开磁盘时执行相应的可执行文件,从autorun.inf的内容中也可以印证。2)注册表操作与文件操作统计相似,通过菜单的相应条目打开ProcMon记录的目标进程对注册表的操作。对注册表的操作,我们也更

7、关心恶意代码新增和修改的注册表项,两者在统计图上均可归属于Write操作类型。在统计的167个修改的注册表项中,大致可以分为如下三类:一是与系统安全有关,如防火墙设置、UAC设置、安全软件设置等;二是与恶意代码自启动相关,如HKLMSoftwareMicrosoftWindowsCurrentVersionRun项、系统服务项等;三是恶意代码可能用到的数据,可以通过在某些注册表项下新增等。无论是对文件系统还是注册表的修改,都需要记录下来,以便为将来还原系统做好准备。6.终止进程启动Pro

8、cessExplorer,进入进程管理界面。选中目标进程,右键选择菜单“KillProcess”能够终止进程。如果要查看进程加载的动态链接库,可以选择工具栏中的“ViewDLL”。当被终止进程重新启动(或以新进程启动)时,该项可用于查找系统进程中可疑动态链接库,以确定哪个是保护木马进程的动态库。需要指明的是,只有当守护线程和木马进程同时被终止后,才能开始还原工作。7.还原系统当恶意代码的进程被完全终止后,系统还原的工作就可以开始了。这里需要说明,这里的还原是指从系统中

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。