L002003005-脚本及恶意网页病毒(一)

L002003005-脚本及恶意网页病毒(一) 课程编写 类别 内容 实验课题名称 L002003005-脚本及恶意网页病毒(一) 1、 了解什么是脚本 实验目的与要求 2、 了解什么是恶意网页病毒 3、 了解恶意网页病毒入侵的方式 VPC1(虚拟PC) 操作系统类型:windows 网络接口:本地连接 VPC1 连接要求 PC 网络接口，本地连接与实验网络直连 1、学生机要求安装java环境 实验环软件描述 2、安装windows xp的系统 境 1、 学生机与实验室网络直连; 实验环境描述 2、 VPC1与实验室网络直连; 3、 学生机与VPC1物理链路连通; 脚本 脚本(script)是使用一种特定的描述性语言，依据一定的格式编写的可执行文件，又称作宏或批处理文件。 脚本是批处理文件的延伸，是一种纯文本保存的程序，一般来说的计算机脚本程序是确定的一系列控制计算机进行运算操作动作的组合，在其中可以实现一定的逻辑分支等。 脚本简单地说就是一条条的文字命令，这些文字命令是可以看到的(如可以用记事本打开查看、编辑)，脚本程序在执行时，是由系统的一个解释器，将其一条条的翻译成机器可识别的指令，并按程序顺序执行。因为脚本在执行时多了一道翻译的过程，所以它比二进制程序执行效率要稍低一些。 脚本通常可以由应用程序临时调用并执行。各类脚本被广泛地应用于网页设计中，因为脚本不仅可以减小网页的规模和提高网页浏览速度，而且可以丰富网页的表现，如动画、声音等。举个最常见的例子，当点击网页上的Email地址时能自动调用Outlook Express或Foxmail这类邮箱软件，就是通过脚本功能来实现的。也正因为脚本的这些特点，往往被一些别有用心的人所利用。例如在脚本中加入一些破坏计算机系统的命令，这样当用户浏览网页时，一旦调用 这类脚本，便会使用户的系统受到攻击。所以用户应根据对所访问网页的信任程度选择安全等级，特别是对于那些本身内容就非法的网页，更不要轻易允许使用脚本。通过“安全设置”对话框，选择“脚本”选项下的各种设置就可以轻松实现对脚本的禁用和启用。 网页病毒 网页病毒是利用网页来进行破坏的病毒，它使用一些SCRIPT语言编写的一些恶意代码利用浏览器的漏洞来实现病毒植入。当用户登录某些含有网页病毒的网站时，网页病毒便被悄悄激活，这些病毒一旦激活，可以利用系统的一些资源进行破坏。轻则修改用户的注册表，使用户的首页、浏览器标题改变，重则可以关闭系统的很多功能，装上木马，染上病毒，使用户无法正常使用计算机系统，严重者则可以将用户的系统进行格式化。而这种网页病毒容易编写和修改，使用户防不胜防。 概述 目前的网页病毒都是利用JS.ActiveX、WSH共同合作来实现对客户端计算机，进行本地的写操作，如改写你的注册表，在你的本地计算机硬盘上添加、删除、更改文件夹或文件等操作。而这一功能却恰恰使网页病毒、网页木马有了可乘之机。 网页病毒的性质及特点 网页病毒使得各种非法恶意程序能够得以被自动执行，在于它完全不受用户的控制。你一旦浏览含有病毒的网页，即可以在你不知不觉的情况下马上中招，给用户的系统带来一般性的、轻度性的、严重恶性等不同程度的破坏。令你苦不堪言，甚至损失惨重无法弥补。 预备知识 网页病毒的攻击方式 既然是网页病毒，那么很简单的说，它就是一个网页，但在这个网页运行与本地时，它所执行的操作就不仅仅是下载后再读出，伴随着前者的操作背后，还有这病毒原体软件的下载，或是木马的下载，然后执行，悄悄地修改你的注册表，等等„那么，这类网页都有什么特征呢, (1)美丽的网页名称，以及利用浏览者的无知 (2)利用浏览者的好奇心 (3)无意识的浏览者 它主要是利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序，javascript脚本语言程序，ActiveX软件部件网络交互技术支持可自动执行的代码程序，以强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统资源盗取用户文件，或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。 网页病毒种类 根据目前互联网上流行的常见网页病毒的作用对象及表现特征，归纳为以下两大种类: 一、通过Java Script、Applet、ActiveX编辑的脚本程序修改IE浏览器: 1.默认主页被修改; 2.默认首页被修改; 3.默认的微软主页被修改; 4.主页设置被屏蔽锁定，且设置选项无效不可改回; 5.默认的IE搜索引擎被修改; 6 IE标题栏被添加非法信息 7.OE标题栏被添加非法信息; 8.鼠标右键菜单被添加非法网站广告链接; 9.鼠标右键弹出菜单功能被禁用失常; 10 IE收藏夹被强行添加非法网站的地址链接; 11.在IE工具栏非法添加按钮; 12.锁定地址下拉菜单及其添加文字信息; 13 IE菜单“查看”下的“源文件”被禁用; 二、通过Java Script、Applet、ActiveX编辑的脚本程序修改用户操作系统: 1.开机出现对话框; 2.系统正常启动后，但IE被锁定网址自动调用打开; 3.格式化硬盘 4.暗藏“万花谷”蛤蟆病毒，全方位侵害封杀系统，最后导致瘫痪崩溃; 5.非法读取或盗取用户文件; 6.锁定禁用注册表; 7.注册表被锁定禁用之后，编辑*.reg注册表文件打开方式错乱; 8.时间前面加广告; 9.启动后首页被再次修改; 10.更改“我的电脑”下的一系列文件夹名称 1、 了解什么是脚本 实验内容 2、 了解什么是恶意网页病毒 3、 了解恶意网页病毒入侵的方式 1、 学生单击实验拓扑按钮，进入实验场景，进入目标主机，(第一次启动目标主机，还需要安装java空间)，如图 所示: 实验步骤 2、 学生输入账号administrator，密码123456，登录到实验场景中的目标主机。如图所示: 3、 接下来，我们在桌面上找到并打开 “病毒分析与防范”-> “01初级实验” - > “病毒样本” -> “2 脚本及 恶意网页病毒防范演示” -> “实验一” 为了方便我们了解脚本及恶意网页病毒的原理，实验一中放置了实验 需要的脚本。如图所示: 注:上图为创建、拷贝、删除、修改的.TXT文件脚本。 4、 打开创建.txt文件，我们将看到执行脚本的内容。如图所示: 注:此脚本说明，在C盘下创建一个test.htm格式的文件。 5、 打开C盘，查看C盘下是否有test.htm文件，如图所示: 注:此操作在C盘下没有test.htm文件。 6、 修改创建.TXT文件的格式为.HTM，并点击打开运行。如图所示: 点击“确定”，然后允许阻止的内容。 注:运行以后脚本将执行完毕，C盘内将建立以个test.htm文件。 7、 重新查看C盘，是否有test.htm格式的文件。如图所示: 8、 打开实验一中的修改.TXT脚本文件，此文件主要是对test.htm内容进行修改。如图所示: 9、 修改“修改.txt”文件格式为“修改.htm”，点击并运行。如图所示: 点击“确定” 允许阻止的内容。 点击“是” 10、 运行完毕以后，点击C盘中的test.htm文件，出现下图所示页面，说明修改成功。 11、 实验一种包含4个脚本，拷贝.txt脚本意思为将test.htm拷贝到桌面上去，删除.txt脚本意思为将桌面上的 test.htm格式文件删除。同学们可按照以上创建.txt、修改.txt的步骤进行操作。 12、 实验完毕，关闭虚拟机和所有窗口。