计算机病毒防护技术实验报告.doc

计算机病毒防护技术实验报告学院： 计算机科学与技术 班级： 20210616 姓名： 曾江东 学号： 2021061624 成绩： 2021年10月实验1 典型病毒的检测1.1 实验名称熊猫烧香病毒的检测1.2 实验目的掌握典型病毒的检测方法，掌握熊猫烧香病毒的检测方法，掌握威金病毒的检测方法1.3 实验环境微机1台〔Windows 9x\2000\XP操作系统〕，熊猫烧香病毒样本、威金病毒样本，熊猫烧香病毒专杀工具、威金病毒专杀工具，VMWare虚拟机软件1.4 实验内容及要求1.4.1 熊猫烧香病毒的检测1、 备好病毒样本先准备一张含有熊猫烧香病毒的软盘或光盘，或带有熊猫烧香病毒的U盘2、 运行VMWare虚拟机软件为了整个计算机本身的平安或整个实验室系统的平安，让实验在虚拟的环境下进行，3、 检测干净系统4、 种植熊猫烧香病毒插入含有熊猫烧香病毒的U盘、光盘或者软盘，点击含有熊猫烧香病毒文件夹下的文件，这时就将熊猫烧香病毒种植到计算机系统中了5、 检测中毒后的系统6、 得出实验结论1.3.2 威金病毒的检测1、 备好病毒样本2、 先准备一张含有威金病毒的软盘或光盘，或带有威金病毒的U盘。

3、 运行VMWare虚拟机软件4、 为了整个计算机本身的平安或整个实验室系统的平安，让实验在虚拟的环境下进行，5、 检测干净系统6、 种植威金病毒插入含有威金病毒的U盘、光盘或者软盘，点击含有威金病毒文件夹下的威金文件，这时就将威金病毒种植到计算机系统中了7、 检测中毒后的系统8、 实验结论1.5 实验设计与实验步骤1. 运行VMWare虚拟机软件2. 插入含有熊猫烧香病毒的U盘、光盘或者软盘，点击含有熊猫烧香病毒文件夹下的setup.exe文件，这时就将熊猫烧香病毒种植到计算机系统中了3. 查看磁盘是否有一些exe文件的图标被改成了一个座立的熊猫手里捧着三根香4. 用熊猫烧香病毒专杀工具检测系统是否中毒1.6 实验过程与分析通过查看系统磁盘的一些文件，发现一些exe文件确实被改成了熊猫图标，随后利用熊猫烧香病毒专杀工具也检测出系统确实中毒1.7 实验结果总结成功将熊猫烧香病毒植入电脑，并成功检测出来1.8 心得体会感觉将病毒从虚拟的世界弄了出来实验2 典型病毒的去除2.1 实验名称熊猫烧香病毒的去除2.2 实验目的掌握典型病毒的去除方法，掌握熊猫烧香病毒的去除方法，掌握威金病毒的检去除方法。

2.3 实验环境微机1台〔Windows9x\2000\XP操作系统〕，熊猫烧香病毒样本、威金病毒样本，熊猫烧香病毒专杀工具、威金病毒专杀工具，VMWare虚拟机软件2.4 实验内容及要求2.4.1 熊猫烧香病毒的去除(1) 熊猫病症表现为:(1.1) 某些EXE文件的图标被改成一个座立的熊猫手里捧着三根香,因此得名,(1.2) 隐藏文件属性无法修改，即显示所有隐藏文件的勾选去掉也不能显示隐藏文件；(1.3) 双击分区盘符无法翻开显示内容，必须通过右键翻开才可以翻开；如果你的电脑出现以上病症那一定是中着了！可以通过以下手工删除〔删除前断开网络〕(2) 手工去除：(2.1) 去除病毒第一步：点击“开始--运行〞，输入"ntsd -c q -pn spoclsv.exe"并确定，结束病毒的进程〔或进入到文件夹c:\windows(Windows2000下为winnt, windowsXP下为windows)\system32\drivers中修改spoclsv.exe的文件名为其他的.exe文件〕，之后我们就可以进入到任务管理器和注册表中了第二步：在注册表中寻找“HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVersion\Explorer\Advanced\Folder\Hidden\SHOWALL〞,将CheckedValue的值改为1。

翻开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CrrentVersion\Run〞，将svcshare的工程删除第三步：删除硬盘各分区根目录下的"setup.exe"和"autorun.inf"文件；删除掉C:\Windows\system32\drivers下的spoclsv.exe文件第四步：搜索硬盘上的网页格式文件，找到其中类似〞“的文字，将其删除被嵌入的代码可能是其他的网站2.2) 显示出被隐藏的系统文件 运行——regedit HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1 　　这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。

〔有局部病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了〕 　　方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件〞和“显示系统文件〞 　　在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示 重启电脑后，发现杀毒软件可以翻开，分区盘双击可以翻开了3) 如何防范〞熊猫烧香“病毒第一，该病毒会利用IE，，UC等的漏洞进行传播所以需要即使安装他们的最新补丁程序第二，计算机应设置复杂的密码，以防止病毒通过局域网传播第三，关闭系统的〞自动运行“功能，防止病毒通过U盘，移动硬盘等侵入你的电脑4) 附：结束进程的方法：调出windows任务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的***.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID〔进程标识符〕"，并点击"确定"找到映象名称为"***.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"-->“运行〞，输入"CMD"，点击"确定"翻开命令行控制台。

输入"ntsd –c q -p (PID)"，比方我的计算机上就输入"ntsd –c q -p 1132".2.4.2 威金病毒的去除病毒名称 “威金〔〕〞 病毒别名 Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec] Net-Worm.Win32.Zorin.a 病毒型态 Worm (网络蠕虫) 影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003 一、worm.viking 病毒的特点:worm.viking 病毒的行为：该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，worm.viking 病毒运行后将自身伪装成系统正 常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时worm.viking病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的 网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机运行过程过感染用  户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户平安性构成危害。

worm.viking 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播  1、worm.viking病毒运行后将自身复制到Windows或相关文件夹下，名为rundl132.exe或者rundll32.exe2、worm.viking病毒运行后，将病毒体复制到windows目录下为logo_1.exe、vdll.dll及zvdll.exe等文件4、worm.viking病毒搜索所有可用分区中的大小为27kb-10mb的exe文件及RAR文件并感染，病症就是文件图标被修改，在所有文件夹中生成_desktop.ini 文件(属性:系统、隐藏)5、worm.viking病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件6、worm.viking病毒通过添加如下注册表项实现病毒开机自动运行:     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]     "load"="C:\\WINNT\\rundl132.exe"     [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]     "load"="C:\\WINNT\\rundl132.exe"7、worm.viking病毒运行时尝试查找窗体名为:"RavMonClass"的程序，查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名，查找到后终止其进程:     Ravmon.exe 9、病毒尝试利用以下命令终止相关杀病毒软件：net stop "Kingsoft AntiVirus Service"10、发送ICMP探测数据"Hello,World"，判断网络状态，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接IPC$、admin$等共享目录，连接成功后进行网络感染11、不感染系统文件夹中的文件，如windows、system、system32、winnt等等12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入Explorer、Iexplore进程13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序: :// 17** /gua/mx.exe保存为:%SystemRoot%\2Sy.exe 注：三个程序都为木马程序  14、修改注册表将启动文件及内容添加到以下相关注册表项：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]目录下的运行rundll32.exe的值。

  [HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]"auto"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]"ver_down0"="[boot loa。