编译原理测试实验编译原理测试实验.docxVIP

实验五计算机病毒和木马实验内容一：熊猫烧香病毒手工清除实验【实验目的】1）了解熊猫烧香病毒发作原理2）学习手工查杀病毒过程【实验原理】熊猫烧香是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数是中等病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件【实验环境】目标机：2003操作系统工具: C:\tools\熊猫烧香手工清除实验【实验步骤】一、运行熊猫烧香病毒1.1打开C:\tools\熊猫烧香手工清除实验文件夹，里面有2个文件，这就是熊猫烧香的病毒的全部样本。1.2我们直接双击运行setup.exe。二、手工清除病毒2.1我们双击运行程序后，发现任务管理器打不开。启动任务管理器观察现象。2.2我们查看系统内存，排查可疑进程，再cmd下输入命令tasklist /svc查看，这个命令是查看系统内所有的进程，截图：发现进程spoclsy.exe比较可疑,为什么判断这个可疑，第一我们可以去百度这个进程，第二，凭借经验，因为很多程序的进程名称都是固定的，第三，通过三方面进程查看软件，软件会直观的告诉我们哪个进程是可疑的。2.3确认可疑进程后，我们先在cmd下taskkill /f /im PID，这条命令意思是结束某个pid对应的进程，我们来结束可疑进程。截图：2.4查看启动项，点击开始-运行-msconfig，msconfig即系统配置实用程序，是Microsoft System Configuration的缩写。是在开始菜单里运行中输入然后确认就可以找到程序开启或者禁用，可以帮助电脑禁止不需要运行的程序，这样可以加快你的电脑运行，它的功能主要有1、管理系统启动项，有的软件在操作系统启动时也随之启动，占用系统资源（CPU、内存等），这里可以由你来决定哪些软件可以启动，哪些不可以启动。2、管理系统服务， 例如打印机、注册表等等的服务。3、可以看到BOOT.ini、win.ini、system.ini等我们可以看到恶意病毒的位置和注册表的信息。截图：2.5我门记下病毒的注册表位置和命令位置，分别是HKEY_CURRENT_USER\SOFTWAER\Microsoft\windows\CurrentVerstion\RUN和C:\windows\system32\drivers\spoclsv.exe，我们在开始-运行-输入regedit.exe进入注册表，找到病毒的注册表位置并删除。2.6根据注册表信息，我们得知这个名称是svcshar截图:删除注册表项。我们要进去C:\windows\system32\drivers\目录将主文件 spoclsv.exe删除，首先我们cmd进入c:\windows\system32\drivers下输入dir spoclsv.exe。截图：2.7我们用del /f spoclsv.exe彻底删除，del /f的意思是强制删除。2.8我们要检查是否有感染和隐藏的文件，进入CMD在C盘下面输入：dir /ah,这个命令的意思是显示当前目录的隐藏文件和隐藏文件夹。截图：2.9 我们会发现有隐藏的病毒和文件，我们继续清除，在cmd下运行attrib -r -h -s autorun.inf和attrib -r -h -s setup.exe，attrib -r -h –s`命令的意思是去除只读、系统、隐藏文件属性。2.10清除后，我们用del /f 来删除文件。2.11至此，熊猫烧饼病毒清除完毕2.12.总结：通过该样本熊猫烧香病毒查杀，我们能够大致了解一个病毒感染主机后可能会在主机上做的一些改变，以及如何查杀病毒的一般手段或步骤。同时也能分析出一般病毒所具备的一些功能如：躲避查杀能力、开机启动技术、后门技术等。实验内容二：广外女生的使用与手工清除【实验目的】1)了解广外女生的使用与清除【实验原理】广外女生是广东外语外贸大学广外女生网络小组的处女作，也是一个远程控制软件，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后，会自动检查进程中是否含有金山毒霸、天网等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用!【实验环境】攻击机：192.168.1.2 Windows7目标机：192.168.1.3 Windows se