计算机病毒防护技术实验报告.docx
- 文档编号:156160
- 上传时间:2022-10-04
- 格式:DOCX
- 页数:19
- 大小:138.46KB
计算机病毒防护技术实验报告.docx
《计算机病毒防护技术实验报告.docx》由会员分享,可在线阅读,更多相关《计算机病毒防护技术实验报告.docx(19页珍藏版)》请在冰豆网上搜索。
计算机病毒防护技术
实验报告
学院:
计算机科学与技术班级:
20110616 姓名:
曾江东 学号:
2011061624
成绩:
2014年10月
实验1典型病毒的检测
1.1实验名称
熊猫烧香病毒的检测
1.2实验目的
掌握典型病毒的检测方法,掌握熊猫烧香病毒的检测方法,掌握威金病毒的检测方法。
1.3实验环境
微机1台(Windows9x\2000\XP操作系统),熊猫烧香病毒样本、威金病毒样本,熊猫烧香病毒专杀工具、威金病毒专杀工具,VMWare虚拟机软件。
1.4实验内容及要求
1.4.1熊猫烧香病毒的检测
1、备好病毒样本
先准备一张含有熊猫烧香病毒的软盘或光盘,或带有熊猫烧香病毒的U盘。
2、运行VMWare虚拟机软件。
为了整个计算机本身的安全或整个实验室系统的安全,让实验在虚拟的环境下进行,
3、检测干净系统
4、种植熊猫烧香病毒
插入含有熊猫烧香病毒的U盘、光盘或者软盘,点击含有熊猫烧香病毒文件夹下的se
tup.exe文件,这时就将熊猫烧香病毒种植到计算机系统中了。
5、检测中毒后的系统
6、得出实验结论
1.3.2威金病毒的检测
1、备好病毒样本
2、先准备一张含有威金病毒的软盘或光盘,或带有威金病毒的U盘。
3、运行VMWare虚拟机软件。
4、为了整个计算机本身的安全或整个实验室系统的安全,让实验在虚拟的环境下进行,
5、检测干净系统
6、种植威金病毒
插入含有威金病毒的U盘、光盘或者软盘,点击含有威金病毒文件夹下的威金文件,这时就将威金病毒种植到计算机系统中了。
7、检测中毒后的系统
8、实验结论
1.5实验设计与实验步骤
1.运行VMWare虚拟机软件。
2.插入含有熊猫烧香病毒的U盘、光盘或者软盘,点击含有熊猫烧香病毒文件夹下的setup.e
xe文件,这时就将熊猫烧香病毒种植到计算机系统中了。
3.查看磁盘是否有一些exe文件的图标被改成了一个座立的熊猫手里捧着三根香。
4.用熊猫烧香病毒专杀工具检测系统是否中毒。
1.6实验过程与分析
通过查看系统磁盘的一些文件,发现一些exe文件确实被改成了熊猫图标,随后利用熊猫烧香病毒专杀工具也检测出系统确实中毒
1.7实验结果总结
成功将熊猫烧香病毒植入电脑,并成功检测出来。
1.8心得体会
感觉将病毒从虚拟的世界弄了出来。
实验2典型病毒的清除
2.1实验名称
熊猫烧香病毒的清除
2.2实验目的
掌握典型病毒的清除方法,掌握熊猫烧香病毒的清除方法,掌握威金病毒的检清除方法。
2.3实验环境
微机1台(Windows9x\2000\XP操作系统),熊猫烧香病毒样本、威金病毒样本,熊猫烧香病毒专杀工具、威金病毒专杀工具,VMWare虚拟机软件。
2.4实验内容及要求
2.4.1熊猫烧香病毒的清除
(1)熊猫症状表现为:
(1.1) 某些EXE文件的图标被改成一个座立的熊猫手里捧着三根香,因此得名,
(1.2) 隐藏文件属性无法修改,即显示所有隐藏文件的勾选去掉也不能显示隐藏文件;
(1.3) 双击分区盘符无法打开显示内容,必须通过右键打开才可以打开;
如果你的电脑出现以上症状那一定是中着了!
可以通过以下手工删除(删除前断开网络)
(2)手工清除:
(2.1)清除病毒
第一步:
点击“开始--运行”,输入"ntsd-cq-pnspoclsv.exe"并确定,结束病毒的进程。
(或进入到文件夹c:
\windows(Windows2000下为winnt,windowsXP下为windows)\syst
em32\drivers中修改spoclsv.exe的文件名为其他的.exe文件),之后我们就可以进入到任务管理器和注册表中了。
第二步:
在注册表中寻找“HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\C
URRENTVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”,将CheckedValue的值改为
1。
打开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CrrentVersion\Run”,将sv
cshare的项目删除。
第三步:
删除硬盘各分区根目录下的"setup.exe"和"autorun.inf"文件;删除掉C:
\Windows
\system32\drivers下的spoclsv.exe文件。
第四步:
搜索硬盘上的网页格式文件,找到其中类似” //www.ctv163.com/wuhan/down.htm"width="0"height="0"frameborder="0">“的文字,将其删除。 被嵌入的代码可能是其他的网站。 (2.2)显示出被隐藏的系统文件运行——regedit HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1 这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0! 我们将这个改为1是毫无作用的。 (有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了) 方法: 删除此CheckedValue键值,单击右键新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。 (3)如何防范”熊猫烧香“病毒 第一,该病毒会利用IE,QQ,UC等的漏洞进行传播。 所以需要即使安装他们的最新补丁程序。 第二,计算机应设置复杂的密码,以防止病毒通过局域网传播。 第三,关闭系统的”自动运行“功能,防止病毒通过U盘,移动硬盘等侵入你的电脑。 (4)附: 结束进程的方法: 调出windows任务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的***.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。 点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符) ",并点击"确定"。 找到映象名称为"***.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-->“运行”,输入"CMD",点击"确定"打开命令行控制台。 输入"ntsd–cq-p(PID)",比如我的计算机上就输入"ntsd–cq-p1132". 2.4.2威金病毒的清除 病毒名称“威金(Worm.Viking)” 病毒别名Virus.Win32.Delf.62976[Kaspersky],W32/HLLP.Philis.j[McAfee], W32.Looked[symantec]Net-Worm.Win32.Zorin.a 病毒型态Worm(网络蠕虫) 影响平台Windows95/98/ME,WindowsNT/2000/XP/2003 一、worm.viking病毒的特点: worm.viking病毒的行为: 该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,worm.viking病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时worm.viking病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。 运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。 worm.viking病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。 1、worm.viking病毒运行后将自身复制到Windows或相关文件夹下,名为rundl132.exe 或者rundll32.exe。 2、worm.viking病毒运行后,将病毒体复制到windows目录下为logo_1.exe、vdll.dll及 zvdll.exe等文件。 4、worm.viking病毒搜索所有可用分区中的大小为27kb-10mb的exe文件及RAR文件并感染,症状就是文件图标被修改,在所有文件夹中生成_desktop.ini文件(属性: 系统、隐藏)。 5、worm.viking病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。 6、worm.viking病毒通过添加如下注册表项实现病毒开机自动运行: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"load"="C: \\WINNT\\rundl132.exe"[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]"load"="C: \\WINNT\\rundl132.exe" 7、worm.viking病毒运行时尝试查找窗体名为: "RavMonClass"的程序,查找到窗体后发送消息关闭该程序。 8、枚举以下杀毒软件进程名,查找到后终止其进程: Ravmon.exe Eghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXE Ravmond.exe 9、病毒尝试利用以下命令终止相关杀病毒软件: netstop"KingsoftAntiVirusService" 10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接IPC$、admin$等共享目录,连接成功后进行网络感染。 11、不感染系统文件夹中的文件,如windows、system、system32、winnt等等。 12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入Explorer、Iexplore进程。 13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序: http: //www.17**.com/gua/zt.txt保存为: c: \1.txt http: //www.17**.com/gua/wow.txt保存为: c: \1.txt http: //www.17**.com/gua/mx.txt保存为: c: \1.txt http: //www.17**.com/gua/zt.e
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机病毒 防护 技术 实验 报告