计算机病毒实验报告

计算机病毒实验报告 说 明1本课程作业报告是计算机病毒与反病毒课程成绩评定的重要依据，须认真完成。2报告内容严禁出现雷同，每位同学须独立完成。若发现抄袭，抄袭者和被抄袭者本课程的成绩均以零分计。3要排版，格式应规范，截图一律采用jpg格式（非bmp格式）。为避免抄袭，用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名，是评价报告质量的考量因素。4说明文字与实验截图相配合，若只有说明文字，或只有截图，则成绩为不及格。5只提交报告电子版。在规定的日期内，通过电子邮件发送到emailprotected，若三天之内没有收到内容为“已收到”的回复确认email，请再次发送或电话联系任课老师。6为了便于归档，实验报告word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”，如“20xx12345张三-计算机病毒课程报告.doc”。注意：提交报告截止日期以qq群通知时间为准(一般在考试周下周周三)，若因没有及时提交实验报告，导致课程成绩为“缺考”的，责任自负。实验一 程序的自动启动一、实验目的（1）验证利用注册表特殊键值自动启动程序的方法；（2）检查和熟悉杀毒软件各组成部分的自动启动方法。二、实验内容与要求（1）在注册表自动加载程序主键中，添加加载目标程序键值（自己指派任意程序），重启操作系统，检查是否能自动成功加载目标程序。罗列5或5个以上能自动启动目标程序的键值，并用其中某一个启动自己指派的程序。（2）检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。三、实验环境与工具操作系统：windows xp/windows vista/windows 7工具软件：regedit.exe，autoruns，或其他注册表工具软件；杀毒软件四、实验步骤与实验结果一）按启动文件夹的方法1、“启动”文件夹是最常见的自启动文件夹。可以打开“开始”菜单“所有程序”，在所有程序里面可以找到“启动”文件夹找到“启动”文件夹的位置，在其中加入wps的word的快捷方式，就可以在电脑开机时自启动word了.在autoruns中可以看到如下图中的结果，wps文字的快捷方式在自启动项中。二）利用注册表键值来实现程序的自启动1、“run”键值-在hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun新建一个wps_excel 数值数据为“c:program fileskingsoftwps office personaloffice6et.exe” 可以实现wps表格的自启动。在autoruns中可以看到下图内容：2、“load”键值-将hkcusoftwaremicrosoftwindows ntcurrentversion windowsload中的数值数据更改为c:program fileskingsoftwps office personaloffice6wpp.exe”，在autoruns中可以看到下图内容：3、“userinit”键值-用户可以在hkey_local_machinesoftwaremicrosoft windowsntcurrentversionwinlogonuserinit 中添加自启动程序4、在hkcusoftwaremicrosoftwindowscurrentversionrun 新一个建了 ppt键值，其数值数据为“c:program fileskingsoftwps office personaloffice6wpp.exe”，可实现wps幻灯片程序的自启动。5、在hklmsoftwaremicrosoftwindows ntcurrentversionwinlogon userinit中可以添加自启动程序6、“runonce”键值-在hkey_current_usersoftwaremicrosoftwindows currentversionrunoncesetup，和hkey_local_machinesoftwaremicrosoftwindowscurrentversionrunoncesetup新建一个“金山卫士”键值，其数值数据为c:program filesksafeksafe.exe，可以实现“金山卫士”程序的自启动重启之后，先后启动了wps文字，金山卫士，wps表格和wps幻灯片。五、思考题杀毒软件为什么要分成几个部分各自自动启动？答：杀毒软件的各个进程相互监视，以免病毒杀掉杀毒软件进程，终止杀毒软件杀毒。杀毒软件自动启动过程分为两个部分：1、修改run子键值启动的托盘程序；2、修改services中子键值实现自动启动的驱动核心程序。 services是windows中加载的服务，它的级别较高，用于最先加载。即使