病毒、蠕虫和木马的清除与防御

实验报告课程名称:网络安全维护与管理实验项目名称:病毒、蠕虫和木马的清除与防御专业：计算机网络技术同组学生姓名:实验地点：实验日期:２０1２年9月22日星期六一、实验目的及要求学习病毒、蠕虫和木马的清除与防御课程,目的及要求主要有以下三点:1、掌握网络防病毒系统的安装及使用方法，2、了解蠕虫病毒的主要特征和预防方法,3、了解木马的伪装、运行方式和预防方法二、实验的内容及原理本次试验,主要针对的事病毒、蠕虫以及木马，主要使用SｙmantecNAＶ防病毒软件,进行病毒的防护,端口封闭方法进行狙击波蠕虫病毒防护，使用ＢO2K软件来进行木马的防护与查杀。内容及原理为:１、杀毒软件的安装及使用２、狙击波蠕虫病毒防护3、木马(BO2K)的安装及使用三、实验的环境1、杀毒软件的安装及使用(1）操作系统类型:wiｎｄows2０03＼ｗindowsXＰ\wiｎｄｏws7(本次试验在虚拟机上使用windows2０03操作系统来进行）（2）软件名称：Ｓymantｅc2、狙击波蠕虫病毒防护(１)操作系统类型：wiｎｄｏws２003＼wiｎdｏwｓXＰ\ｗindoｗs７(本次试验在虚拟机上使用windowｓ2003操作系统来进行）(2)使用方法：端口封闭3、木马(BＯ２K)的安装及使用（1)操作系统类型：ｗindoｗs20０3＼wiｎdｏwsXP＼windoｗs7（本次试验在虚拟机上使用ｗiｎdｏｗs2003操作系统来进行)（2）软件名称:BO2K四、实验方法和步骤1、病毒软件Sｙmanｔec的安装及使用(１)、运行文件中的Setup.ｅxｅ程序,开始安装Sｙｍanｔeｃ软件，如图1:图1(2)、该软件使用协议，选择同意则进入该软件的安装,不同意则退出,界面如图2所示:图2（3)、选择安装所需要的功能，界面如图3所示：图3(4）、选择软件安装的位置，界面如图4所示:图４（5）、根据安装向导，选择安装(inｓtal)按钮，进行该软件的安装,界面如图5所示:图5(6)、安装中的Ｓyｍaｎteｃ软件,如图6图6(7)、完成安装图7（8)安装完成后,系统需要重新启动该程序方能生效，提示是否重新启动的界面如图8所示：图8为了能更好地使用Symantec防病毒软件,还需要安装Sｙmａｎtec服务器,Symaｎteｃ服务器的安装步骤如下:（9）、选择SymanｔecＡntiVirus文件中的Seｔuｐ.eｘｅ程序，双击后运行，进入SymaｎｔecAｎtiViruｓ安装向导界面，如图9所示：图9(1０）、与上面的授权协议相同,选择同意该授权之后，才可进入ＳymantｅcAntiＶｉrｕs服务器的安装，如图１0所示:图10（11)、在安装选项中选择服务器安装，界面如图11所示:图1１（1２）、选择服务器组时设置用户名和密码，如图12所示：图12（13）、使用所设密码，创建服务器组，界面如图13所示：图１3(14）、在proｔection(保护)选项中，选择所需的保护选项,如图１４所示:如图14（15）、安装所选功能程序状态界面如图１5所示:图１５（16)、在LiｖeUｐdａｔa选项卡中,旧的病毒更新文件，如图16：图1６（17）、对SymaｎtecAnｔiVirｕs服务器中LiveUpｄaｔa安装组件的安装，如图１7:图１７（１８)、安装防护向导完成界面,如图18所示:图18（1９）、安装完成后，在Ｓymanteｃ系统控制中心中，选择服务器组,右键单击后,在选择菜单中选择解锁该服务器组选项,如图１9：图19(20）、使用用户名和密码为服务器组解锁，如图2０所示：图20(21）、解锁后并上升成为一级服务器，如图所示：图212、狙击波蠕虫病毒防护封闭ＴＣP445端口是最好的方法，分为两种:一种是从控制面板、管理工具、安全设置的IＰ安全策略进行端口的封闭。另一种是从本地连接高级选项卡中TCP/IＰ属性进行设置允许端口的。IP安全策略进行封闭端口的方法如下:（１）启动ＶMWＡRE，打开预装的WindowsServer20０3虚拟机,修改IＰ地址为１92、１68、13、1１，虚拟机名。如图１图1启动ＶＭWAＲE,打开预装的WｉndｏwｓSｅrveｒ2003虚拟机,修改ＩP地址为19２、168、13、11，虚拟机名。如图1图1在虚拟机上安装SuperＳｃａｎ软件，对虚拟机的端口进行扫描,找出所用虚拟机所有的端口。安装ＳuperScaｎ软件图2、图３图２图3对虚拟机的端口进行扫描,共有三个端口，135、１３９、4４5端口如图4图4选择(控制面板)、（管理工具)、（本地安全设置)、（安全设置）选项,右击（IＰ安全策略,在本地计算机)，选择（管理IP筛选器表和筛选器操作)命令。如图５图5在打开的（管理IP筛选器表和筛选器操作)对话框中,单击(添加）按钮，如图６图６（5）在弹出的（IP筛选器列表）对话框中,取消选择(使用“添加向导”)复选框，单击（添加）按钮,如图7图7（６)弹出(筛选器属性)对话框,在(寻址)选项卡中,选择(源地址）为“任何ＩP地址”，（目的地址)为“我的ＩP地址”如图８图8选择(协议)选项卡，设置(选择协议类型)为TCP，（到此端口）设置为4４5，如图9图9单击(确定）按钮,回到(IP筛选器列表)对话框,再单击（确定）按钮。回到(管理ＩP筛选器表和筛选器操作)对话框后,最后单击(确定)按钮，完成筛选器的添加。（9）接下来是添加应用此筛选器的IP策略。回到(本地安全设置）的窗口后,同样右击(IP安全策略,在本地计算机）,选择（创建IＰ安全策略)命令。如图10图10进入（ＩP安全策略向导)对话框后,单击(下一步)按钮,接着输入策略名称,同样使用TＣP44５,如图11图１1单击(下一步)按钮,进入（安全通信请求)对话框,取消选中（激活默认响应规则)复选框，单击（下一步)按钮，在单击(完成)按钮，如图12图12接着对IＰ安全策略进行属性设置，在（ＴCP445属性）对话框中,取消（使用“添加向导”）的选择，然后单击(添加)按钮，如图13图13出现（新规则属性）对话框,在（IP筛选器列表)中选择刚才定义的筛选器，如图14图14选择(筛选器操作）标签，同样去掉（使用“添加向导”)复选框的选中状态,单击(添加)按钮,如图15图15在弹出的(新筛选器操作属性）对话框的（安全措施)选项卡中，选择(阻止)单选按钮，单击(确定）按钮退出,如图１6图16回到（新规则属性）对话框,在（筛选器操作)选项卡选择刚才定义的“筛选器操作”,然后单击(确定)按钮,退出对话框。回到(TCＰ445属性)对话框，单击（确定）按钮退出，此时发现(本地安全策略)已添加了新策略TCＰ44５。右击此策略,选择（指派）命令,这样,该策略将应用到系统中，本地的445端口将禁止一切的通信，如图1７图17（18)最后再运用SuｐｅrScan软件对计算机的所有端口进行扫描，发现44５端口已经被阻止,找不到4４5端口,如图18图1８从本地连接高级选项卡中TCP/IＰ属性进行端口允许设置的方法如下:启动ＶMWARＥ,打开预装的WinｄowsServeｒ２0０３虚拟机,修改IＰ地址为192、1６8、13、1１，虚拟机名。如图19图１9在虚拟机上安装SuperScan软件，对虚拟机的端口进行扫描，找出所用虚拟机所有的端口。安装SuperScan软件图20、图2１图2０图2１对虚拟机的端口进行扫描，共有三个端口,135、1３9、445端口如图２2图22打开本地连接，单击(属性）按钮，如图23图2３选择（常规)选项卡中的（TＣP/ＩP协议)选项，单击（属性)按钮,如图24图24出现ＩP地址属性框,选择（高级）按钮,如图25图25在高级TCＰ／IP设置对话框中,选择（TCP/IP筛选），单击(属性)按钮，如图2６图2６在TCP/IP筛选对话框中,找到TCＰ端口，选中（只允许)，单击（添加）按钮,添加445端口,单击(确定)按钮，如图2７图27按照添加44５端口的方法添加1３9端口，如图28图28添加完端口后,单击（确定）按钮,出现重启计算机才能生效,单击（是),计算机重启,如图２9图29计算机重启后，再次用ＳｕpeｒSｃaｎ软件对端口进行扫描，出现445和139端口,和所操作的只允许445、1３9端口一致，1３5端口封闭，如图30．图30３、木马(BO2Ｋ）的安装及使用木马(BO２K)的安装及使用实验步骤：1、服务器端IP的配置(１)服务器端IP地址的设置,如图（１)图(1)2、添加BO2K中的文件(1)单击[开始]菜单,从控制面板中选[系统属性],如图(2),图（2）(2)选中图(２)中的【高级】选项，并单击性能栏中的【设置】按钮,并选中图中的【数据执行保护】项，选中图中的第二项得到图(3）。图(3)（3)点击图中的【添加】按钮,逐一将ｂo2k.eｘｅ、bｏ2kcfg．ｅxｅ、bo２kgｕi.eｘｅ添加进来,得到图(4)图（4）3、服务器端程序的配置(１)启动BＯ2K的配置工具。运行bo２ｋcfg.eｘe,单击OpeｎSeｒｖｅr(打开服务器)按钮，输入要配置的服务器文件，选择图中的bo2k.ｅxe，结果如图（5）所示:图（５）(2）插件配置。单击Insｅrt（插入）按钮添加插件,插件放在示pluｇings文件夹中，如图（6)所示。添加的插件包括:ａuth、eｎｃ、iｏ、miｓc、srv目录下的所有ＤLＬ文件,结果如图（７)所示:图（6）图(７）(3）服务器配置。单击ＯpｔionＶaｒiaｂlｅs(选择变量）标签，如图（８）所示，可以在此配置ＢＯ2K服务器所使用的网络通信方式、端口号、加密方法等。选择使用默认配置即可。图（８）(4）单击ＳaveSｅｒver（保存服务器）按钮保存配置信息，然后单击Ｅxｉt（退出)按钮退出配置程序。（５)双击bo2k.exｅ就可以运行服务器程序。４、客户端程序的使用(1)客户端IP参数设置，如图(9）所示:图(9)假如服务器端程序已在１９２．16８.２0.１１2上运行了，通信方式为TCＰ,端口为54320。在另外一台计算机上解压BO2K1.1.6，目录下的bo2kgui．ｅｘe就是客户端系统。启动bo2ｋｇuｉ．exe,如图(1０)所示：图(１0）配置插件。单击Ｐlｕgｉｎgｓ(插件）/Configure（配置)命令，出现如图（11)所示的对话框，单击Iｎsｅｒt按钮添加插件，插件在如图所示的Plｕｇings文件夹中。添加的插件也包括ａuth、enｃ、ｉo、ｍisc、cli目录下的所有DＬL文件。可以通过Option列表框选择插件,并对插件进行配置。单击Done（完成)按钮，关闭插件配置程序。图（11)添加服务器。在客户端单击File(文件)／ＮeｗServer（新服务器）命令,添加一个服务器，如图（１2）所示。输入服务器的地址和名称，在Connectiｏn（连接)下拉列表框中选择合适的版本（如v1.0）图(１2)启动连接。添加服务器不成功，在客户端的服务器列表中将出现服务器信息。重新添加服务器名称为（ttｊ）并启动连接，添加服务器不成功,在客户端的服务器列表中将出现服务器信息如图（１3)所示图（13）通过对服务器选项卡的更改,再次启动连接,添加成功。双击ｔtj,出现连接界面，然后单击Ｃoｎneｃt(连接）按钮，启动与服务器的连接，连接成功后出现如图（14）所示的控制台对话框。图(１4)五、各试验的结论与思考1、病毒软件Symantｅｃ的安装及使用经过本章的学习,我们了解到病毒的多种多样及类型的形形色色,使我们对病毒有了一个全新的认识,不在谈病毒而色变，因为对它的了解，我相信我们在今后的网络日常管理中,会更加的自信。社会在不断发展，随着病毒的日益更新，防病毒的软件也在同步的更新发展着,而Ｓｙmａｎｔec就是其中一款有效软件之一。在安装的过程中，因为有安装向导，所以安装起来比较的方便,只要按着步骤进行,基本上不会出错,但是在解锁之后，很多人都会在服务器组之前出现一个感叹号,那样的试验虽然也是成功的，但却不能算是完美的，然而至今,仍是不能明白出现那样情况的原因。无论什么事，有据可循固然是好，但在同时，我们也不能忘了自己去思考，这样才能更加接近成功的真谛。2、狙击波蠕虫病毒防护结论与思考根据阻击波蠕虫病毒的原理，封闭TCＰ445端口是最好的方法,分为两种：一种是从控制面板、管理工具、安全设置的ＩP安全策略进行端口的封闭。另一种是从本地连接高级选项卡中TCP/IP属性进行设置允许端口。从控制面板、管理工具、安全设置的IP安全策略进行端口的封闭，步骤比较复杂,操作时容易出现错误，会因为很小的错误无法封闭4４5端口。本地连接高级选项卡中TＣP/IP属性进行设置允许端口，操作步骤少,比较容易。在进行端口封闭时，还是采用本地连接高级选项卡中TCP/IP属性进行设置允许端口进行操作。根据端口的封闭，可以对蠕虫病毒的传播进行防御，作为一名网络管理员,应该在计算机没有被传播蠕虫病毒时就做好防御工作，以免受到蠕虫的攻击。3、木马（BＯ２K)的安装及使用结论与思考在做木马(ＢO2Ｋ）的安装及使用时常会出现做到一半却发现自己没添加BＯ２K中的文件，这样只会致使要重新做此实训。按照老师的操作步骤进行实训，虽然在做的过程中没有出现什么大问题，但往往在进行Cｏnnect（连接)时总会不是那么的顺利，不能使连接成功,当然,我也出现了类似的问题,我是通过重新添加服务器。并在服务器选项卡里输入服务器的地址和名称,在Ｃonnｅctiｏn(连接)下拉列表框中选择合适的版本（如ｖ１．0),核对好服务器端的IP地址并进行重连,最终实现连接成功的目的。可以说实训的成功完成靠的是自己对服务器选项卡中各项目的更改才完成的，具体连不上的原因出自哪根本就没弄明白。但我会在以后的时间里向同学请教,直到把问题搞明白。六、实验结论与思考结论:尽管教学设施并不好，但经过课上老师的讲解以及对实训的耐心演示，结合我们的自己动手操作,我们对课上所学的知识还是有了一定的了解。每次实训老师都要求我们写实训报告，但这次不同的是我们三人一组合作。我主要负责的是木马(BＯ2K)的安装及使用，虽然做（BＯ2Ｋ）这一节的实训时我没能按老师的要求完成任务，但通过课余时间我成功的完成了任务。并且还学到了不少东西,老师的课让我明白我们做实训部仅仅只是为了考试时能到高分,最重要的是我们能将所学到的知识运用到以后的工作中，这才是我们学习的真正目的。团队的协作也是很重要的，没有团队合作就没有我们完整的实训报告。我们马上就要面临找工作的问题了，我只希望在有限的大学生活中能够学到更多的知识，为我们以后的就业有所帮助。当然，我也会在以后的学习中脚踏实地，学以致用。平时多结合课本来多做些相关的实训,使自己能够更熟练的操作计算机。思考1、计算机病毒的特点主要有哪些?答：计算机病毒主要有以下特点：（1）未经授权执行（2）隐蔽性(3）传染性（4）潜伏性（5)破坏性(６)不可预见性(7）病毒的生命周期2、计算机病毒的分类以及给类病毒的特征和危害？答：按照不同的分类方法，计算机病毒大致可分类如下：（1)一般分类方法一般情况下,将病毒分为以下几类:传统病毒：通过改变文件或者其他东西进行传播,通常有感染可执行文件的文件型病毒和感染引导扇区的引导型病毒；宏病毒：利用word、Ｅxcel等宏脚本功能进行传播;恶意脚本:一种做破坏的脚本程序;蠕虫程序：利用操作系统的漏洞、电子邮件、P2P软件等自动传播自身的病毒；木马程序:在用户不知情的情况下安装,隐藏在后台，服务器端一般没有界面无法配置，当病毒程序被激活或启动后用户无法终止其运行;黑客程序:利用网络来攻击其他计算机,被运行或激活后就像其他正常程序一样有界面，黑客程序对使用者本身的机器没有损害;破坏性程序：病毒启动后，破坏用户计算机系统。(2)按病毒存在的载体分为：文件型病毒：以文件形式存在,是目前流行的主要形式,根据操作系统的不同,又可以分为很多类；引导区病毒：存放在软盘引导区、硬盘引导区和系统引导区,病毒在操作系统启动前就加载到内存中，具有操作系统无关性，可以感染所有X86类计算机；网络蠕虫病毒：网络为载体,纯粹的网络蠕虫病毒比较少;混合类病毒:病毒分类没有完全清晰的划分,病毒为了广泛传播的目的,通常采用更多的方式。(3)按照病毒传染的方法分为:入侵型病毒：通过外部媒介侵入宿主机器嵌入式病毒：通过嵌入到某一正常的程序中,然后通过某一触发机制发作；外壳类病毒和病毒生产机:使用特殊算法把自己压缩，到正常文件上,当被害者解压时即可执行病毒程序(4)按照病毒自身的特征（自身存在的编码特征）分为：伴随型病毒:并不改变文件本身,它们根据算法产生exe文件的伴随文件;变型病毒:使用复杂的算法，使自己每传播一份，都具有不同的长度和内容,此类病毒通常是由一段混有无关指令的解码算法和被变化过的病毒体组成。3、简述计算机病毒的发展趋势。答：计算机病毒的发展趋势如下:(１）病毒与黑客技术相结合(２)蠕虫病毒更加泛滥(３)病毒破坏性更大(4)制作病毒的方法更简单（5)病毒传播速度更快,传播渠道更多（６)病毒的检