熊猫烧香病毒之专杀工具编写教程方案.docVIP

PAGE 熊猫烧香病毒之专杀工具的编写教程 通过对熊猫烧香的行为分析，这里仅针对所得结果，来进行专杀工具的编写。本节课我们会学习使用C++来写一个简单的“熊猫烧香”专杀系统。 　　实验目的： 　　结合本篇文章的知识点，能够彻底掌握文章所讲述的编写杀毒软件的方法。 　　实验思路： 　　1.理解专杀工具所需要实现的功能 　　2.利用VC++编写专杀工具 　　3.结合Process Monitor验证专杀工具 　　实验步骤： 　　1、病毒行为回顾与归纳 　　这里我们首先回顾一下病毒的行为： 　　**病毒行为1：**病毒本身创建了名为`spoclsv.exe`的进程，该进程文件的路径为： 　　C:WINDOWSsystem32driversspoclsv.exe 　　**病毒行为2：**在命令行模式下使用`net share`命令来取消系统中的共享。 　　**病毒行为3：**删除安全类软件在注册表中的启动项。 　　**病毒行为4：** 　　在注册表:HKCUSoftwareMicrosoftWindowsCurrentVersionRun中创建svcshare 　　用于在开机时启动位于`C:WINDOWSsystem32driversspoclsv.exe`的病毒程序。 　　**病毒行为5：**修改注册表，使得隐藏文件无法通过普通的设置进行显示，该位置为： 　　HKLMSOF