计算机病毒防护技术实验报告.doc
《计算机病毒防护技术实验报告.doc》由会员分享,可在线阅读,更多相关《计算机病毒防护技术实验报告.doc(19页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、计算机病毒防护技术实验报告学院: 计算机科学与技术 班级: 20210616 姓名: 曾江东 学号: 2021061624 成绩: 2021年10月实验1 典型病毒的检测1.1 实验名称熊猫烧香病毒的检测1.2 实验目的掌握典型病毒的检测方法,掌握熊猫烧香病毒的检测方法,掌握威金病毒的检测方法。1.3 实验环境微机1台Windows 9x2000XP操作系统,熊猫烧香病毒样本、威金病毒样本,熊猫烧香病毒专杀工具、威金病毒专杀工具,VMWare虚拟机软件。1.4 实验内容及要求1.4.1 熊猫烧香病毒的检测1、 备好病毒样本先准备一张含有熊猫烧香病毒的软盘或光盘,或带有熊猫烧香病毒的U盘。2、
2、运行VMWare虚拟机软件。为了整个计算机本身的平安或整个实验室系统的平安,让实验在虚拟的环境下进行,3、 检测干净系统4、 种植熊猫烧香病毒插入含有熊猫烧香病毒的U盘、光盘或者软盘,点击含有熊猫烧香病毒文件夹下的文件,这时就将熊猫烧香病毒种植到计算机系统中了。5、 检测中毒后的系统6、 得出实验结论1.3.2 威金病毒的检测1、 备好病毒样本2、 先准备一张含有威金病毒的软盘或光盘,或带有威金病毒的U盘。3、 运行VMWare虚拟机软件。4、 为了整个计算机本身的平安或整个实验室系统的平安,让实验在虚拟的环境下进行,5、 检测干净系统6、 种植威金病毒插入含有威金病毒的U盘、光盘或者软盘,点
3、击含有威金病毒文件夹下的威金文件,这时就将威金病毒种植到计算机系统中了。7、 检测中毒后的系统8、 实验结论1.5 实验设计与实验步骤1. 运行VMWare虚拟机软件。2. 插入含有熊猫烧香病毒的U盘、光盘或者软盘,点击含有熊猫烧香病毒文件夹下的setup.exe文件,这时就将熊猫烧香病毒种植到计算机系统中了。3. 查看磁盘是否有一些exe文件的图标被改成了一个座立的熊猫手里捧着三根香。4. 用熊猫烧香病毒专杀工具检测系统是否中毒。1.6 实验过程与分析通过查看系统磁盘的一些文件,发现一些exe文件确实被改成了熊猫图标,随后利用熊猫烧香病毒专杀工具也检测出系统确实中毒1.7 实验结果总结成功将
4、熊猫烧香病毒植入电脑,并成功检测出来。1.8 心得体会感觉将病毒从虚拟的世界弄了出来。实验2 典型病毒的去除2.1 实验名称熊猫烧香病毒的去除2.2 实验目的掌握典型病毒的去除方法,掌握熊猫烧香病毒的去除方法,掌握威金病毒的检去除方法。2.3 实验环境微机1台Windows9x2000XP操作系统,熊猫烧香病毒样本、威金病毒样本,熊猫烧香病毒专杀工具、威金病毒专杀工具,VMWare虚拟机软件。2.4 实验内容及要求2.4.1 熊猫烧香病毒的去除(1) 熊猫病症表现为:(1.1) 某些EXE文件的图标被改成一个座立的熊猫手里捧着三根香,因此得名,(1.2) 隐藏文件属性无法修改,即显示所有隐藏文
5、件的勾选去掉也不能显示隐藏文件;(1.3) 双击分区盘符无法翻开显示内容,必须通过右键翻开才可以翻开;如果你的电脑出现以上病症那一定是中着了!可以通过以下手工删除删除前断开网络(2) 手工去除:(2.1) 去除病毒第一步:点击“开始-运行,输入ntsd -c q -pn spoclsv.exe并确定,结束病毒的进程。或进入到文件夹c:windows(Windows2000下为winnt, windowsXP下为windows)system32drivers中修改spoclsv.exe的文件名为其他的.exe文件,之后我们就可以进入到任务管理器和注册表中了。第二步:在注册表中寻找“HKEY_LO
6、CAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVersionExplorerAdvancedFolderHiddenSHOWALL,将CheckedValue的值改为1。翻开“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCrrentVersionRun,将svcshare的工程删除。第三步:删除硬盘各分区根目录下的setup.exe和autorun.inf文件;删除掉C:Windowssystem32drivers下的spoclsv.exe文件。第四步:搜索硬盘上的网页格式文件,找到其中类似“的文字,将其删除。被嵌入的
7、代码可能是其他的网站。(2.2) 显示出被隐藏的系统文件 运行regedit HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL,将CheckedValue键值修改为1 这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。有局部病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了 方法:删除此Checked
8、Value键值,单击右键 新建Dword值命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件和“显示系统文件。 在文件夹工具文件夹选项中将系统文件和隐藏文件设置为显示 重启电脑后,发现杀毒软件可以翻开,分区盘双击可以翻开了。(3) 如何防范熊猫烧香“病毒第一,该病毒会利用IE,QQ,UC等的漏洞进行传播。所以需要即使安装他们的最新补丁程序。第二,计算机应设置复杂的密码,以防止病毒通过局域网传播。第三,关闭系统的自动运行“功能,防止病毒通过U盘,移动硬盘等侵入你的电脑。(4) 附:结束进程的方法:调出windows任务管理器(Ctrl+Alt+Del),发现通
9、过简单的右击当前用户名的*.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击任务栏,选择任务管理器。点击菜单查看(V)选择列(S).,在弹出的对话框中选择PID进程标识符,并点击确定。找到映象名称为*.exe,并且用户名不是SYSTEM的一项,记住其PID号.点击开始-“运行,输入CMD,点击确定翻开命令行控制台。输入ntsd c q -p (PID),比方我的计算机上就输入ntsd c q -p 1132.2.4.2 威金病毒的去除病毒名称 “威金 病毒别名 Virus.Win32.Delf.62976 Kaspersky, W32/HLLP.Philis.j
10、 McAfee,W32.Looked symantec Net-Worm.Win32.Zorin.a 病毒型态 Worm (网络蠕虫) 影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003 一、worm.viking 病毒的特点:worm.viking 病毒的行为:该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,worm.viking 病毒运行后将自身伪装成系统正 常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时worm.viking病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定
11、的 网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。运行过程过感染用 户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户平安性构成危害。worm.viking 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。 1、worm.viking病毒运行后将自身复制到Windows或相关文件夹下,名为rundl132.exe或者rundll32.exe。2、worm.viking病毒运行后,将病毒体复制到windows目录下为logo_1.exe、vdll.dll及zvdll
12、.exe等文件。4、worm.viking病毒搜索所有可用分区中的大小为27kb-10mb的exe文件及RAR文件并感染,病症就是文件图标被修改,在所有文件夹中生成_desktop.ini 文件(属性:系统、隐藏)。5、worm.viking病毒会尝试修改%SysRoot%system32driversetchosts文件。6、worm.viking病毒通过添加如下注册表项实现病毒开机自动运行: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun load=C:WINNTrundl132.exe HKEY_CURRENT_US
13、ERSoftwareMicrosoftWindows NTCurrentVersionWindows load=C:WINNTrundl132.exe7、worm.viking病毒运行时尝试查找窗体名为:RavMonClass的程序,查找到窗体后发送消息关闭该程序。8、枚举以下杀毒软件进程名,查找到后终止其进程: Ravmon.exe 9、病毒尝试利用以下命令终止相关杀病毒软件:net stop Kingsoft AntiVirus Service10、发送ICMP探测数据Hello,World,判断网络状态,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接IPC$、admin$等共享目录
14、,连接成功后进行网络感染。11、不感染系统文件夹中的文件,如windows、system、system32、winnt等等。12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入Explorer、Iexplore进程。13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序: :/ 17* /gua/mx.exe保存为:%SystemRoot%2Sy.exe 注:三个程序都为木马程序 14、修改注册表将启动文件及内容添加到以下相关注册表项:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun目录下的运
15、行rundll32.exe的值。 HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWWauto=1 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsver_down0=boot loader+ver_down1=boot loadertimeout=30operating systemsmulti(0)disk(0)rdisk(0)partition(1)WINDOWS=Microsoft Windows XP Professional /ver_down2=default=multi(0)disk(0)rdisk(0)part
16、ition(1)WINDOWSoperating systemsmulti(0)disk(0)rdisk(0)partition(1)WINDOWS=Microsoft Windows XP Professional / 主要病症: 1、占用大量网速,使机器使用变得极慢。 2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的图标就会相应变成应用程序图标。 3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。 4、阻止以下杀毒软件的运行,包括卡八斯基、金山公司的毒霸、瑞星等98%的杀毒软件运行。 5、访问局部反病毒平安网站时,浏览器就会重定向到
17、66.197.186.149 详细技术信息: 病毒运行后,在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为virDll.dll的文件。 该蠕虫会在系统注册表中生成如下键值: HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW auto = 1 病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算机中的.exe文件。 该蠕虫是一个大小为82K的Windows PE可执行文件。通过本地网络传播。该蠕虫会将自己复制到下面网络资源: ADMIN$ IPC$二、手动去除病毒方法在进程中
18、找到并结束、进程 1. 找到并删除%Windir%下的、文件 局部文件不一定存在2. 翻开注册表,索引到HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW,删除auto键值 3. 翻开注册表,索引到HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWIndows,删除load键值 4. 翻开%system%driversetc下hosts文件,删除“127.0.0.1 localhost一行后所有内容 5. 下载专杀工具“,在平安模式下全盘杀毒。 6. 插入系统光盘,重做系统 备注:输入reged
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机病毒 防护 技术 实验 报告
限制150内