1、图4图5用debug打开某个文件进入调试环境的方法是,在debug命令后键入这个文件的全路径和文件名,如图6、图7所示。图6图7显示寄存器命令:格式:r(检查和修改寄存器内的命令)使用方法:在debug操作提示符后键入r,然后回车即可。具体如图8、图9所示。图8图9退出debug环境的命令:q在debug操作提示符后键入q,然后回车即可。具体如图10、图11所示。图10图11汇编命令:A 地址,(从指定起始地址单元开始存放写入的汇编语言的指定语句)在debug的操作提示符后键入a和内存地址,然后回车即可,如图12、图13所示图12图13然后我们可以把一些汇编命令直接输入到相应的内存单元中,如图
2、14所示。图14比较命令:c 范围 地址在debug的操作提示符后键入c和内存范围及要比较的第二块内存单元的地址。具体可如图15、图16所示。图15图16显示命令:d 地址 或 d 范围例如:我们先在c盘的根目录下创建一个a.txt文件,文件内容如下图所示:则我们可以用debug打开这个文件,命令序列如下:C:debug c:a.txt-d ds:100 200得到的结果会如下图所示对debug的其他一些命令的使用请详见教材P198P207。4、实验思考题试述你对本次实验的体会及收获。实验2 典型病毒的检测1、实验目的掌握典型病毒的检测方法,掌握现今流行的熊猫烧香病毒的检测方法,掌握现今流行的
3、威金病毒的检测方法。2、实验环境微机1台(Windows9x2000XP操作系统),熊猫烧香病毒样本、威金病毒样本,熊猫烧香病毒专杀工具、威金病毒专杀工具,VMWare虚拟机软件。3、实验步骤与方法3.1、熊猫烧香病毒的检测1、备好病毒样本先准备一张含有熊猫烧香病毒的软盘或光盘,或带有熊猫烧香病毒的U盘。2、运行VMWare虚拟机软件。为了整个计算机本身的安全或整个实验室系统的安全,让实验在虚拟的环境下进行,3、检测干净系统4、种植熊猫烧香病毒插入含有熊猫烧香病毒的U盘、光盘或者软盘,点击含有熊猫烧香病毒文件夹下的setup.exe文件,这时就将熊猫烧香病毒种植到计算机系统中了。5、检测中毒后
4、的系统6、得出实验结论3.2、威金病毒的检测2、先准备一张含有威金病毒的软盘或光盘,或带有威金病毒的U盘。3、运行VMWare虚拟机软件。4、为了整个计算机本身的安全或整个实验室系统的安全,让实验在虚拟的环境下进行,5、检测干净系统6、种植威金病毒插入含有威金病毒的U盘、光盘或者软盘,点击含有威金病毒文件夹下的威金文件,这时就将威金病毒种植到计算机系统中了。7、检测中毒后的系统8、实验结论实验3 典型病毒的清除掌握典型病毒的清除,掌握现今流行的熊猫烧香病毒的清除方法,掌握现今流行的威金病毒的清除方法。微机1台(Windows9x2000XP操作系统),熊猫烧香病毒样本、威金病毒样本,熊猫烧香病
5、毒专杀工具、威金病毒专杀工具。3.1、熊猫烧香病毒的清除(1)熊猫症状表现为:(1.1)某些EXE文件的图标被改成一个座立的熊猫手里捧着三根香,因此得名,(1.2)隐藏文件属性无法修改,即显示所有隐藏文件的勾选去掉也不能显示隐藏文件;(1.3)双击分区盘符无法打开显示内容,必须通过右键打开才可以打开;如果你的电脑出现以上症状那一定是中着了!可以通过以下手工删除(删除前断开网络)(2)手工清除:(2.1) 清除病毒第一步:点击“开始-运行”,输入ntsd -c q -pn spoclsv.exe并确定,结束病毒的进程。(或进入到文件夹c:windows(Windows2000下为winnt, w
6、indowsXP下为windows)system32drivers中修改spoclsv.exe的文件名为其他的.exe文件),之后我们就可以进入到任务管理器和注册表中了。第二步:在注册表中寻找“HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVersionExplorerAdvancedFolderHiddenSHOWALL”,将CheckedValue的值改为1。打开“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCrrentVersionRun”,将svcshare的项目删除。第三步:删除硬盘各分区根目录
7、下的setup.exe和autorun.inf文件;删除掉C:Windowssystem32drivers下的spoclsv.exe文件。第四步:搜索硬盘上的网页格式文件,找到其中类似”“的文字,将其删除。被嵌入的代码可能是其他的网站。(2.2) 显示出被隐藏的系统文件 运行regedit HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL,将CheckedValue键值修改为1 这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个
8、无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了) 方法:删除此CheckedValue键值,单击右键 新建Dword值命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 在文件夹工具文件夹选项中将系统文件和隐藏文件设置为显示 重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。(3)如何防范”熊猫烧香“病毒第一,该病毒会利用IE,QQ,UC等的漏洞进行传播。所以需要即使安装他们的最新补丁程序。
9、第二,计算机应设置复杂的密码,以防止病毒通过局域网传播。第三,关闭系统的”自动运行“功能,防止病毒通过U盘,移动硬盘等侵入你的电脑。(4)附:结束进程的方法:调出windows任务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的*.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击任务栏,选择任务管理器。点击菜单查看(V)选择列(S).,在弹出的对话框中选择PID(进程标识符),并点击确定找到映象名称为*.exe,并且用户名不是SYSTEM的一项,记住其PID号.点击开始-“运行”,输入CMD,点击打开命令行控制台。输入ntsd c q -p (
10、PID),比如我的计算机上就输入ntsd c q -p 1132.3.2、威金病毒的清除病毒名称 “威金(Worm.Viking)” 病毒别名 Virus.Win32.Delf.62976 Kaspersky, W32/HLLP.Philis.j McAfee,W32.Looked symantec Net-Worm.Win32.Zorin.a 病毒型态 Worm (网络蠕虫) 影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003 一、worm.viking 病毒的特点:worm.viking 病毒的行为:该病毒为Windows平台下集成可执行文件感染
11、、网络感染、下载网络木马或其它病毒的复合型病毒,worm.viking 病毒运行后将自身伪装成系统正 常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时worm.viking病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的 网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。运行过程过感染用 户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。worm.viking 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。1、worm.v
12、iking病毒运行后将自身复制到Windows或相关文件夹下,名为rundl132.exe或者rundll32.exe。2、worm.viking病毒运行后,将病毒体复制到windows目录下为logo_1.exe、vdll.dll及zvdll.exe等文件。4、worm.viking病毒搜索所有可用分区中的大小为27kb-10mb的exe文件及RAR文件并感染,症状就是文件图标被修改,在所有文件夹中生成_desktop.ini 文件(属性:系统、隐藏)。5、worm.viking病毒会尝试修改%SysRoot%system32driversetchosts文件。6、worm.viking病毒
13、通过添加如下注册表项实现病毒开机自动运行: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun load=WINNTrundl132.exe HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows7、worm.viking病毒运行时尝试查找窗体名为:RavMonClass的程序,查找到窗体后发送消息关闭该程序。8、枚举以下杀毒软件进程名,查找到后终止其进程: Ravmon.exe Eghost.exe Mailmon.exe KAVPFW.EXE IPARMOR.EXE Ravmond.exe9、病毒尝试利用以下命令终止相关杀病毒软件:net stop Kin
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1