实验3-熊猫烧香(共5页).docx

《实验3-熊猫烧香(共5页).docx》由会员分享，可在线阅读，更多相关《实验3-熊猫烧香(共5页).docx（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上实验3 熊猫烧香病毒分析与手工清除一、实验目的（1）了解熊猫烧香病毒对系统注册表、文件系统的破坏；（2）熟悉和掌握计算机病毒的感染分析法，及手工清除PE病毒的基本方法。二、实验内容与要求（1）利用注册表监视软件监视、记录熊猫烧香病毒对注册表的修改行为。（2）熊猫烧香病毒启动后，启动注册表编辑器RegEdit.exe和任务管理器taskmgr.exe，观察病毒对这两个系统工具软件的处理。（3）在C盘根目录下新建123.txt文件，打开该文件，在其中随意输入n的字符后保存并关闭文件。将该文件重命名为123.gho。启动熊猫烧香病毒，观察文件123.gho的变化，观察、记录

2、硬盘中exe文件的图标的变化。（4）参照课本相关章节中PE病毒分析与清除的相关内容，分析某一PE文件被熊猫烧香病毒感染前后的变化，并借助PE文件工具软件手工清除该PE文件中的熊猫烧香。三、实验环境与工具操作系统：基于虚拟机的Windows XP/Windows Vista/Windows 7工具软件： LordPE，PEditor，Winhex或其它PE工具软件四、实验步骤（1）熊猫烧香病毒对注册表的修改行为：在Run子键中设置了自动加载选项：HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionRun svcshare - C:WIN

3、DOWSSystem32Driversspoclsv.exe（2）熊猫烧香病毒启动后，病毒对注册表编辑器RegEdit.exe和任务管理器taskmgr.exe的处理：RegEdit.exe和taskmgr.exe的图形界面出现后立马直接关闭。接着出现病毒运行的图标。如下图：再打开注册表编辑器，发现了注册表的折叠杯打开了,结果就是之前检测到熊猫烧香修改的HKEY_LOCAL_MACHINESoftware MicrosoftWindows NTCurrent VersionImage File Execution Options(3)在C盘根目录下新建123.txt文件，打开该文件，在其中随意

4、输入n的字符后保存并关闭文件。将该文件重命名为123.gho。启动熊猫烧香病毒，观察文件123.gho的变化，观察、记录硬盘中exe文件的图标的变化:启动病毒后123.gho文件立刻消失，硬盘中exe文件的图标都修改为熊猫烧香图标。如下图：4）参照课本相关章节中PE病毒分析与清除的相关内容，分析某一PE文件被熊猫烧香病毒感染前后的变化，并借助PE文件工具软件手工清除该PE文件中的熊猫烧香。程序感染病毒前：感染病毒后：画红线的为有区别的地方，修改感染后的数据使与感染前的数据一样，然后删除多余的节点，最后重建程序即可。则重建后的程序则转换为：|但是双击后运行错误如下图：3）启动熊猫烧香病毒，观察文件123.gho的变化，观察、记录硬盘中exe文件的图标的变化。：系统中所有的exe文件图标都变成了熊猫烧香的样子，下面是我QQ游戏的变化：专心-专注-专业