计算机病毒防护技术病毒检测及清除实验Word文档格式.docx

计算机病毒防护技术病毒检测及清除实验Word文档格式.docx

《计算机病毒防护技术病毒检测及清除实验Word文档格式.docx》由会员分享，可在线阅读，更多相关《计算机病毒防护技术病毒检测及清除实验Word文档格式.docx（14页珍藏版）》请在冰豆网上搜索。

图4

图5

用debug打开某个文件进入调试环境的方法是，在debug命令后键入这个文件的全路径和文件名，如图6、图7所示。

图6

图7

显示寄存器命令：

格式：

r（检查和修改寄存器内的命令）

使用方法：

在debug操作提示符后键入r，然后回车即可。

具体如图8、图9所示。

图8

图9

退出debug环境的命令：

q

在debug操作提示符后键入q，然后回车即可。

具体如图10、图11所示。

图10

图11

汇编命令：

A地址，（从指定起始地址单元开始存放写入的汇编语言的指定语句）

在debug的操作提示符后键入a和内存地址，然后回车即可，如图12、图13所示

图12

图13

然后我们可以把一些汇编命令直接输入到相应的内存单元中，如图14所示。

图14

比较命令：

c范围地址

在debug的操作提示符后键入c和内存范围及要比较的第二块内存单元的地址。

具体可如图15、图16所示。

图15

图16

显示命令：

d地址或d范围

例如：

我们先在c盘的根目录下创建一个a.txt文件，文件内容如下图所示：

则我们可以用debug打开这个文件，命令序列如下：

C:

\>

debugc:

\a.txt

-dds:

100200

得到的结果会如下图所示

对debug的其他一些命令的使用请详见教材P198～P207。

4、实验思考题

试述你对本次实验的体会及收获。

实验2典型病毒的检测

1、实验目的

掌握典型病毒的检测方法，掌握现今流行的熊猫烧香病毒的检测方法，掌握现今流行的威金病毒的检测方法。

2、实验环境

微机1台（Windows9x\2000\XP操作系统），熊猫烧香病毒样本、威金病毒样本，熊猫烧香病毒专杀工具、威金病毒专杀工具，VMWare虚拟机软件。

3、实验步骤与方法

3.1、熊猫烧香病毒的检测

1、备好病毒样本

先准备一张含有熊猫烧香病毒的软盘或光盘，或带有熊猫烧香病毒的U盘。

2、运行VMWare虚拟机软件。

为了整个计算机本身的安全或整个实验室系统的安全，让实验在虚拟的环境下进行，

3、检测干净系统

4、种植熊猫烧香病毒

插入含有熊猫烧香病毒的U盘、光盘或者软盘，点击含有熊猫烧香病毒文件夹下的setup.exe文件，这时就将熊猫烧香病毒种植到计算机系统中了。

5、检测中毒后的系统

6、得出实验结论

3.2、威金病毒的检测

2、先准备一张含有威金病毒的软盘或光盘，或带有威金病毒的U盘。

3、运行VMWare虚拟机软件。

4、为了整个计算机本身的安全或整个实验室系统的安全，让实验在虚拟的环境下进行，

5、检测干净系统

6、种植威金病毒

插入含有威金病毒的U盘、光盘或者软盘，点击含有威金病毒文件夹下的威金文件，这时就将威金病毒种植到计算机系统中了。

7、检测中毒后的系统

8、实验结论

实验3典型病毒的清除

掌握典型病毒的清除，掌握现今流行的熊猫烧香病毒的清除方法，掌握现今流行的威金病毒的清除方法。

微机1台（Windows9x\2000\XP操作系统），熊猫烧香病毒样本、威金病毒样本，熊猫烧香病毒专杀工具、威金病毒专杀工具。

3.1、熊猫烧香病毒的清除

（1）熊猫症状表现为:

（1.1）某些EXE文件的图标被改成一个座立的熊猫手里捧着三根香,因此得名,

（1.2）隐藏文件属性无法修改，即显示所有隐藏文件的勾选去掉也不能显示隐藏文件；

（1.3）双击分区盘符无法打开显示内容，必须通过右键打开才可以打开；

如果你的电脑出现以上症状那一定是中着了！

可以通过以下手工删除（删除前断开网络）

（2）手工清除：

（2.1）清除病毒

第一步：

点击“开始--运行”，输入"

ntsd-cq-pnspoclsv.exe"

并确定，结束病毒的进程。

（或进入到文件夹c:

\windows（Windows2000下为winnt,windowsXP下为windows）\system32\drivers中修改spoclsv.exe的文件名为其他的.exe文件），之后我们就可以进入到任务管理器和注册表中了。

第二步：

在注册表中寻找“HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”,将CheckedValue的值改为1。

打开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CrrentVersion\Run”，将svcshare的项目删除。

第三步：

删除硬盘各分区根目录下的"

setup.exe"

和"

autorun.inf"

文件；

删除掉C:

\Windows\system32\drivers下的spoclsv.exe文件。

第四步：

搜索硬盘上的网页格式文件，找到其中类似”<

iframesrc="

height="

0"

frameborder="

>

<

/iframe>

“的文字，将其删除。

被嵌入的代码可能是其他的网站。

（2.2）显示出被隐藏的系统文件

运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

　　这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！

我们将这个改为1是毫无作用的。

（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）

　　方法：

删除此CheckedValue键值，单击右键新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

　　在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。

（3）如何防范”熊猫烧香“病毒

第一，该病毒会利用IE，QQ，UC等的漏洞进行传播。

所以需要即使安装他们的最新补丁程序。

第二，计算机应设置复杂的密码，以防止病毒通过局域网传播。

第三，关闭系统的”自动运行“功能，防止病毒通过U盘，移动硬盘等侵入你的电脑。

（4）附：

结束进程的方法：

调出windows任务管理器（Ctrl+Alt+Del）,发现通过简单的右击当前用户名的***.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;

鼠标右键点击"

任务栏"

，选择"

任务管理器"

。

点击菜单"

查看（V）"

－>

"

选择列（S）..."

，在弹出的对话框中选择"

PID（进程标识符）"

，并点击"

确定"

找到映象名称为"

***.exe"

，并且用户名不是"

SYSTEM"

的一项，记住其PID号.点击"

开始"

-->

“运行”，输入"

CMD"

，点击"

打开命令行控制台。

输入"

ntsd–cq-p（PID）"

，比如我的计算机上就输入"

ntsd–cq-p1132"

.

3.2、威金病毒的清除

病毒名称“威金（Worm.Viking）”

病毒别名Virus.Win32.Delf.62976[Kaspersky],W32/HLLP.Philis.j[McAfee],W32.Looked[symantec]Net-Worm.Win32.Zorin.a

病毒型态Worm（网络蠕虫）

影响平台Windows95/98/ME,WindowsNT/2000/XP/2003

一、worm.viking病毒的特点:

worm.viking病毒的行为：

该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，worm.viking病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时worm.viking病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。

运行过程过感染用 

户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。

worm.viking病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、worm.viking病毒运行后将自身复制到Windows或相关文件夹下，名为rundl132.exe或者rundll32.exe。

2、worm.viking病毒运行后，将病毒体复制到windows目录下为logo_1.exe、vdll.dll及zvdll.exe等文件。

4、worm.viking病毒搜索所有可用分区中的大小为27kb-10mb的exe文件及RAR文件并感染，症状就是文件图标被修改，在所有文件夹中生成_desktop.ini文件（属性:

系统、隐藏）。

5、worm.viking病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。

6、worm.viking病毒通过添加如下注册表项实现病毒开机自动运行:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"

load"

="

\\WINNT\\rundl132.exe"

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]

7、worm.viking病毒运行时尝试查找窗体名为:

RavMonClass"

的程序，查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名，查找到后终止其进程:

Ravmon.exe

Eghost.exe

Mailmon.exe

KAVPFW.EXE

IPARMOR.EXE

Ravmond.exe

9、病毒尝试利用以下命令终止相关杀病毒软件：

netstop"

Kin