- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
2012012194信安1202李自然-实验的四---蠕虫行为分析与清除实验
北京信息科技大学
信息管理学院
课程设计报告
课程名称 《计算机病毒分析与防范》课程设计
题 目 蠕虫行为分析与清除实验
指导教师 孙 璇
设计起止日期 2015年5月4日
系 别 信息管理学院
专 业 信息安全
学生姓名 李自然
班级/学号 信安1202/2012012194
成 绩
北京信息科技大学
信息管理学院
(课程设计)实验报告
实验名称 蠕虫行为分析与清除实验 实验地点 702 实验时间 课程设计目的:
本次实验要求学生了解蠕虫的感染和破坏机制。通过对熊猫烧香蠕虫在系统中的行为进行监测,进而利用工具软件清除熊猫烧香,从而理解对蠕虫的原理和清除的方法。 课程设计内容:
预备知识:
“熊猫烧香”蠕虫
1)“熊猫烧香”档案
????? 又名:尼亚姆、武汉男生、worm.whBoy、worm.nimaya
????? 后又化身为:“金猪报喜”
????? 病毒类型:蠕虫
????? 影响系统:Windows 9X/ME/NT/2000/XP/2003/Vista/7
?
2)“熊猫烧香”病毒特点
????? 2006年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首,在《2006年度中国计算机病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。
????? “熊猫烧香”,是一个感染型的蠕虫,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
?
“熊猫烧香”行为
????? 含有病毒体的文件被运行后,病毒将自身复制至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该磁盘时激活病毒体。随后病毒体创建一个线程进行本地文件感染,同时创建另外一个线程连接网站下载DOS程序发动恶意攻击。
实验步骤:
? 通过病毒分析实验室工具,对“熊猫烧香”病毒主要行为进行分析。在本次实验中,为了方便观察,运行“熊猫烧香”程序将不改变其他文件的图标。
1.打开桌面上的实验工具,找到熊猫烧香的病毒样本。
2.运行该程序,“熊猫烧香”病毒感染系统中的.exe、.com、.pif、.src、.html、.asp等文件,通过File Monitor对“熊猫烧香”样本运行情况进行跟踪,打开HA_FileMon文件,可以先将文件保存为log文件,之后用记事本打开查看,跟踪“熊猫烧香”病毒样本spcolsv.exe对系统文件修改的行为展示。
3.现在“熊猫烧香”已经彻底感染了这台电脑,我们下面观察一下,它会带来哪些症状。它尝试关闭多个安全软件,即天网防火墙进程、VirusScan网镖杀毒、金山毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Dubaesteemproces、绿鹰PC密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword等。
4.(这步可以先不做)尝试结束安全软件相关进程,即Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Log
文档评论(0)