计算机病毒防护技术病毒检测及清除实验Word文档格式.docx

1、图4图5用debug打开某个文件进入调试环境的方法是，在debug命令后键入这个文件的全路径和文件名，如图6、图7所示。图6图7显示寄存器命令：格式：r（检查和修改寄存器内的命令）使用方法：在debug操作提示符后键入r，然后回车即可。具体如图8、图9所示。图8图9退出debug环境的命令：q在debug操作提示符后键入q，然后回车即可。具体如图10、图11所示。图10图11汇编命令：A 地址，（从指定起始地址单元开始存放写入的汇编语言的指定语句）在debug的操作提示符后键入a和内存地址，然后回车即可，如图12、图13所示图12图13然后我们可以把一些汇编命令直接输入到相应的内存单元中，如图

2、14所示。图14比较命令：c 范围 地址在debug的操作提示符后键入c和内存范围及要比较的第二块内存单元的地址。具体可如图15、图16所示。图15图16显示命令：d 地址 或 d 范围例如：我们先在c盘的根目录下创建一个a.txt文件，文件内容如下图所示：则我们可以用debug打开这个文件，命令序列如下：C:debug c:a.txt-d ds:100 200得到的结果会如下图所示对debug的其他一些命令的使用请详见教材P198P207。4、实验思考题试述你对本次实验的体会及收获。实验2 典型病毒的检测1、实验目的掌握典型病毒的检测方法，掌握现今流行的熊猫烧香病毒的检测方法，掌握现今流行的

3、威金病毒的检测方法。2、实验环境微机1台（Windows9x2000XP操作系统），熊猫烧香病毒样本、威金病毒样本，熊猫烧香病毒专杀工具、威金病毒专杀工具，VMWare虚拟机软件。3、实验步骤与方法3.1、熊猫烧香病毒的检测1、备好病毒样本先准备一张含有熊猫烧香病毒的软盘或光盘，或带有熊猫烧香病毒的U盘。2、运行VMWare虚拟机软件。为了整个计算机本身的安全或整个实验室系统的安全，让实验在虚拟的环境下进行，3、检测干净系统4、种植熊猫烧香病毒插入含有熊猫烧香病毒的U盘、光盘或者软盘，点击含有熊猫烧香病毒文件夹下的setup.exe文件，这时就将熊猫烧香病毒种植到计算机系统中了。5、检测中毒后

4、的系统6、得出实验结论3.2、威金病毒的检测2、先准备一张含有威金病毒的软盘或光盘，或带有威金病毒的U盘。3、运行VMWare虚拟机软件。4、为了整个计算机本身的安全或整个实验室系统的安全，让实验在虚拟的环境下进行，5、检测干净系统6、种植威金病毒插入含有威金病毒的U盘、光盘或者软盘，点击含有威金病毒文件夹下的威金文件，这时就将威金病毒种植到计算机系统中了。7、检测中毒后的系统8、实验结论实验3 典型病毒的清除掌握典型病毒的清除，掌握现今流行的熊猫烧香病毒的清除方法，掌握现今流行的威金病毒的清除方法。微机1台（Windows9x2000XP操作系统），熊猫烧香病毒样本、威金病毒样本，熊猫烧香病

5、毒专杀工具、威金病毒专杀工具。3.1、熊猫烧香病毒的清除（1）熊猫症状表现为:（1.1）某些EXE文件的图标被改成一个座立的熊猫手里捧着三根香,因此得名,（1.2）隐藏文件属性无法修改，即显示所有隐藏文件的勾选去掉也不能显示隐藏文件；（1.3）双击分区盘符无法打开显示内容，必须通过右键打开才可以打开；如果你的电脑出现以上症状那一定是中着了！可以通过以下手工删除（删除前断开网络）（2）手工清除：（2.1） 清除病毒第一步：点击“开始-运行”，输入ntsd -c q -pn spoclsv.exe并确定，结束病毒的进程。（或进入到文件夹c:windows（Windows2000下为winnt, w

6、indowsXP下为windows）system32drivers中修改spoclsv.exe的文件名为其他的.exe文件），之后我们就可以进入到任务管理器和注册表中了。第二步：在注册表中寻找“HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVersionExplorerAdvancedFolderHiddenSHOWALL”,将CheckedValue的值改为1。打开“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCrrentVersionRun”，将svcshare的项目删除。第三步：删除硬盘各分区根目录

7、下的setup.exe和autorun.inf文件；删除掉C:Windowssystem32drivers下的spoclsv.exe文件。第四步：搜索硬盘上的网页格式文件，找到其中类似”“的文字，将其删除。被嵌入的代码可能是其他的网站。（2.2） 显示出被隐藏的系统文件 运行regedit HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL，将CheckedValue键值修改为1 这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个

8、无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了） 方法：删除此CheckedValue键值，单击右键 新建Dword值命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 在文件夹工具文件夹选项中将系统文件和隐藏文件设置为显示 重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。（3）如何防范”熊猫烧香“病毒第一，该病毒会利用IE，QQ，UC等的漏洞进行传播。所以需要即使安装他们的最新补丁程序。

9、第二，计算机应设置复杂的密码，以防止病毒通过局域网传播。第三，关闭系统的”自动运行“功能，防止病毒通过U盘，移动硬盘等侵入你的电脑。（4）附：结束进程的方法：调出windows任务管理器（Ctrl+Alt+Del）,发现通过简单的右击当前用户名的*.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击任务栏，选择任务管理器。点击菜单查看（V）选择列（S）.，在弹出的对话框中选择PID（进程标识符），并点击确定找到映象名称为*.exe，并且用户名不是SYSTEM的一项，记住其PID号.点击开始-“运行”，输入CMD，点击打开命令行控制台。输入ntsd c q -p （

10、PID），比如我的计算机上就输入ntsd c q -p 1132.3.2、威金病毒的清除病毒名称 “威金（Worm.Viking）” 病毒别名 Virus.Win32.Delf.62976 Kaspersky, W32/HLLP.Philis.j McAfee,W32.Looked symantec Net-Worm.Win32.Zorin.a 病毒型态 Worm （网络蠕虫） 影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003 一、worm.viking 病毒的特点:worm.viking 病毒的行为：该病毒为Windows平台下集成可执行文件感染

11、、网络感染、下载网络木马或其它病毒的复合型病毒，worm.viking 病毒运行后将自身伪装成系统正 常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时worm.viking病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的 网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。运行过程过感染用 户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。worm.viking 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。1、worm.v

12、iking病毒运行后将自身复制到Windows或相关文件夹下，名为rundl132.exe或者rundll32.exe。2、worm.viking病毒运行后，将病毒体复制到windows目录下为logo_1.exe、vdll.dll及zvdll.exe等文件。4、worm.viking病毒搜索所有可用分区中的大小为27kb-10mb的exe文件及RAR文件并感染，症状就是文件图标被修改，在所有文件夹中生成_desktop.ini 文件（属性:系统、隐藏）。5、worm.viking病毒会尝试修改%SysRoot%system32driversetchosts文件。6、worm.viking病毒

13、通过添加如下注册表项实现病毒开机自动运行: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun load=WINNTrundl132.exe HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows7、worm.viking病毒运行时尝试查找窗体名为:RavMonClass的程序，查找到窗体后发送消息关闭该程序。8、枚举以下杀毒软件进程名，查找到后终止其进程: Ravmon.exe Eghost.exe Mailmon.exe KAVPFW.EXE IPARMOR.EXE Ravmond.exe9、病毒尝试利用以下命令终止相关杀病毒软件：net stop Kin