20112529徐文锋-计算机病毒实验报告
计算机病毒的防范的实验报告
计算机病毒的防范随着计算机及计算机网络的发展,伴随而来的计算机病毒传播问题越来越引起人们的关注。
随因特网的流行,有些计算机病毒借助网络爆发流行,如CIH计算机病毒、“爱虫”病毒等,它们与以往的计算机病毒相比具有一些新的特点,给广大计算机用户带来了极大的损失。
当计算机系统或文件染有计算机病毒时,需要检测和消除。
但是,计算机病毒一旦破坏了没有副本的文件,便无法医治。
隐性计算机病毒和多态性计算机病毒更使人难以检测。
在与计算机病毒的对抗中,如果能采取有效的防范措施,就能使系统不染毒,或者染毒后能减少损失。
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。
计算机病毒利用读写文件能进行感染,利用驻留内存、截取中断向量等方式能进行传染和破坏。
预防计算机病毒就是要监视、跟踪系统内类似的操作,提供对系统的保护,最大限度地避免各种计算机病毒的传染破坏。
计算机病毒的工作方式是可以分类的,防杀计算机病毒软件就是针对已归纳总结出的这几类计算机病毒工作方式来进行防范的。
当被分析过的已知计算机病毒出现时,由于其工作方式早已被记录在案,防杀计算机病毒软件能识别出来;当未曾被分析过的计算机病毒出现时,如果其工作方式仍可被归入已知的工作方式,则这种计算机病毒能被反病毒软件所捕获。
这也就是采取积极防御措施的计算机病毒防范方法优越于传统方法的地方。
计算机病毒防范工作,首先是防范体系的建设和制度的建立。
没有一个完善的防范体系,一切防范措施都将滞后于计算机病毒的危害。
计算机病毒防范体系的建设是一个社会性的工作,不是一两个人、一两家企业能够实现的,需要全社会的参与,充分利用所有能够利用的资源,形成广泛的、全社会的计算机病毒防范体系网络。
一.计算机病毒的技术预防措施下面总结出一系列行之有效的措施供参考。
1、新购置的计算机硬软件系统的测试新购置的计算机是有可能携带计算机病毒的。
计算机病毒实验报告-1
病毒理论与防御技术实验报告2015年3月1日实验一:**********一、实验目的1)掌握PE文件格式。
2)了解PE病毒原理。
二、实验步骤1)阅读CVC杂志。
2)学习使用PE Explorer查看不同PE结构文件格式,如exe和dll。
3)文件型病毒演练。
a)实验测试的示例程序包由教师提供,解压后请从病毒包中取得Virus.exe拷贝在当前解压目录中即可运行病毒程序进行测试。
b)为了保持测试的一般性,我们采用的是一个常见的软件ebook;该测试包即为ebook安装目录下的所有程序。
c)测试时请依照软件提示进行,在测试中,我们发现该测试包还具有典型性特点:其中ebookcode.Exe 和 KeyMaker.exe 可以看成一组,它们在感染后能够明显的体现病毒的基本特征,故而杀毒软件Norton能够比较及时的查出是病毒程序;而ebookedit.exe 和 ebrand-it.exe 是另一类程序,它们在感染后很好地体现了病毒的隐藏的特征,在运行初期,杀毒程序很难查出其为病毒程序,只有在该程序感染其他可执行程序,在宿主程序中添加4k的节时,杀毒软件检测到该行为时才能判断是病毒程序。
三、思考题1、详细记录实验步骤、现象、问题。
实验现象:1)PE文件格式按节组织(section)->中病毒之后section number变多(多了一个IS节)中病毒之后Address of entry point程序入口点变化(调用子程序SUB_L0066D58B)2)中病毒文件中病毒文件也具有了感染其他文件的功能。
●病毒重定位:原因:病毒的生存空间就是宿主程序,而因为宿主程序的不同,所以病毒每次插入到宿主程序中的位置也不同。
那么病毒需要用到的变量的位置就无法确定。
这就是病毒首先要重定位的原因。
目的:找到基址举例:在几乎每个病毒的开头都用下面的语句:call deltadelta:pop ebp ;得到delta地址sub ebp,offset delta ;因为在其他程序中基址可能不是默认的所以需要重定位mov dword ptr [ebp+offset appBase],ebp;把扩展基址寄存器ebp中的内容(基址)存入内存appBase位置●API函数地址的获取:步骤:首先获得诸如kernel32.dll,user32.dll的基址,然后再找到真正的函数地址.2、写下你阅读CVC杂志后的读后感,你同意杂志的所表达的倾向吗,你觉得现阶段病毒肆虐和这样的倾向和认识有没有关系,为什么?CVC杂志很有意思,语言幽默,观点明确,并且总结了很多关于病毒的基础知识。
计算机病毒实验报告
计算机病毒实验报告计算机病毒实验报告引言:计算机病毒是一种恶意软件,可以对计算机系统造成破坏和损失。
为了更好地了解计算机病毒的特点和对计算机系统的影响,我们进行了一系列的实验。
本报告将详细介绍我们的实验过程、结果和结论。
实验一:病毒传播方式我们首先研究了计算机病毒的传播方式。
通过在一个封闭的网络环境中模拟实验,我们发现计算机病毒主要通过电子邮件、可移动存储设备和互联网下载等方式进行传播。
这些传播方式都依赖于用户的不慎操作或者系统的漏洞。
实验二:病毒对系统性能的影响我们接着研究了计算机病毒对系统性能的影响。
在一个实验环境中,我们分别在未感染和感染病毒的计算机上进行了性能测试。
结果显示,感染病毒的计算机在运行速度、响应时间和网络连接方面都明显下降。
这是因为计算机病毒会占用系统资源、干扰正常的进程和网络通信。
实验三:病毒防护措施为了更好地保护计算机系统免受病毒攻击,我们进行了一系列的病毒防护措施实验。
我们测试了不同的杀毒软件和防火墙,并对其进行了性能和效果的评估。
结果显示,合适的杀毒软件和防火墙可以有效地检测和阻止病毒的传播,保护计算机系统的安全。
实验四:病毒对个人隐私的威胁除了对系统性能的影响,计算机病毒还可能对个人隐私造成威胁。
我们进行了一项实验,模拟了一个病毒窃取个人信息的场景。
通过在一台计算机中安装了一个窃取密码的病毒,我们发现该病毒能够成功获取用户的登录信息和敏感数据。
这个实验结果提醒我们,保护个人隐私是非常重要的,我们应该谨慎对待未知来源的文件和链接。
结论:通过一系列的实验,我们对计算机病毒有了更深入的了解。
计算机病毒的传播方式多种多样,主要依赖于用户的不慎操作和系统的漏洞。
感染病毒会导致计算机系统性能下降,并可能对个人隐私造成威胁。
为了保护计算机系统的安全,我们应该采取合适的病毒防护措施,如安装杀毒软件和防火墙,并且要时刻保持警惕,不轻易打开未知来源的文件和链接。
总结:计算机病毒是现代计算机系统中的一大威胁,对系统性能和个人隐私都有着巨大的影响。
徐文锋计算机病毒实验报告
计算机与信息学院《计算机病毒与反病毒》课程作业学生姓名:徐文锋学号:20112529专业班级:计算机11-3班2014 年06 月24 日说明1.本课程作业报告是《计算机病毒与反病毒》课程成绩评定的重要依据,须认真完成。
2.报告内容严禁出现雷同,每位同学须独立完成。
若发现抄袭,抄袭者和被抄............袭者本课程的成绩均以零分............计.。
3.要排版,格式应规范,截图一律采用JPG格式(非BMP格式)。
为避免抄袭,用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。
实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名,是评价报告质量的考量因素。
4.说明文字与实验截图相配合,若只有说明文字,或只有截图,则成绩为不及格。
5.只提交报告电子版。
在规定的日期内,通过电子邮件发送到hfutZRB@,若三天之内没有收到内容为“已收到”的回复确认Email,请再次发送或电话联系任课老师。
6.为了便于归档,实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”,如“201112345张三-计算机病毒课程报告.doc”。
注意:提交报告截止日期以QQ群通知时间为准(一般在考试周下周周三),若因没有及时提交实验报告,导致课程成绩为“缺考”的,责任自负。
实验一程序的自动启动一、实验目的(1)验证利用注册表特殊键值自动启动程序的方法;(2)检查和熟悉杀毒软件各组成部分的自动启动方法。
二、实验内容与要求(1)在注册表自动加载程序主键中,添加加载目标程序键值(自己指派任意程序),重启操作系统,检查是否能自动成功加载目标程序。
罗列5或5个以上能自动启动目标程序的键值,并用其中某一个启动自己指派的程序。
(2)检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。
三、实验环境与工具操作系统:Windows XP/Windows Vista/Windows 7工具软件:RegEdit.exe,AutoRuns,或其他注册表工具软件;杀毒软件四、实验步骤与实验结果一)按启动文件夹的方法1、“启动”文件夹是最常见的自启动文件夹。
计算机病毒实验报告范本
计算机病毒实验报告Record the situation and lessons learned, find out the existing problems andform future countermeasures.姓名:___________________单位:___________________时间:___________________编号:FS-DY-20614计算机病毒实验报告说明1.本课程作业报告是《计算机病毒与反病毒》课程成绩评定的重要依据,须认真完成。
2.报告内容严禁出现雷同,每位同学须独立完成。
若发现抄袭,抄袭者和被抄袭者本课程的成绩均以零分计。
3.要排版,格式应规范,截图一律采用JPG格式(非BMP格式)。
为避免抄袭,用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。
实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名,是评价报告质量的考量因素。
4.说明文字与实验截图相配合,若只有说明文字,或只有截图,则成绩为不及格。
5.只提交报告电子版。
在规定的日期内,通过电子邮件发送到[emailprotected],若三天之内没有收到内容为“已收到”的回复确认Email,请再次发送或电话联系任课老师。
6.为了便于归档,实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”,如“20xx12345张三-计算机病毒课程报告.doc”。
注意:提交报告截止日期以QQ群通知时间为准(一般在考试周下周周三),若因没有及时提交实验报告,导致课程成绩为“缺考”的,责任自负。
实验一程序的自动启动一、实验目的(1)验证利用注册表特殊键值自动启动程序的方法;(2)检查和熟悉杀毒软件各组成部分的自动启动方法。
二、实验内容与要求(1)在注册表自动加载程序主键中,添加加载目标程序键值(自己指派任意程序),重启操作系统,检查是否能自动成功加载目标程序。
罗列5或5个以上能自动启动目标程序的键值,并用其中某一个启动自己指派的程序。
病毒技术实验报告
病毒技术实验报告引言近年来,随着信息技术的快速发展,病毒技术也逐渐成为网络安全领域的研究热点之一。
通过对病毒技术的深入研究,可以加强对现有病毒的分析和防范能力,提高网络安全的水平。
本实验旨在通过深入了解和实践病毒技术,以期对病毒的工作原理、传播途径和防御方法有更全面的认识。
实验目的1.了解病毒的工作原理和分类;2.学习病毒的传播方式和繁殖特性;3.掌握病毒的防御方法和安全措施。
实验步骤1. 病毒的工作原理病毒作为一种恶意软件,其主要功能是通过自我复制和传播感染目标计算机系统,给系统带来破坏和损失。
病毒的工作原理可以分为以下几个步骤:•感染阶段:病毒会通过感染病毒携带者(例如邮件附件、下载文件等)进入目标系统,并在系统中寻找可感染的目标文件;•激活阶段:病毒感染目标文件后,等待触发激活条件,例如特定的日期、时间等;•执行阶段:一旦激活条件满足,病毒会开始执行其恶意功能,例如删除文件、传播自身等。
2. 病毒的分类根据病毒的传播方式和破坏程度,病毒可以分为以下几类:•文件病毒:通过感染可执行文件或系统文件来传播,例如EXE、DLL 等;•宏病毒:通过感染办公软件中的宏来传播,例如Word、Excel等;•蠕虫病毒:通过网络传播,自我复制和传播,例如蠕虫病毒可以通过电子邮件、文件共享等途径感染目标系统;•特洛伊木马:外表看起来正常或有吸引力的程序,但在运行时会执行恶意功能;•广告病毒:通过在用户浏览器中显示广告来获取经济利益。
3. 病毒的传播途径和繁殖特性病毒的传播途径主要有以下几种:•邮件附件:病毒常通过电子邮件附件传播,用户在打开或下载附件时可能被感染;•下载文件:用户在下载可疑的文件时可能会下载并运行病毒;•移动存储设备:病毒可以通过USB闪存驱动器等移动存储设备传播;•网络共享:病毒可以通过共享文件夹在局域网内传播。
病毒的繁殖特性也不尽相同,有的病毒具有自我复制和传播的能力,有的病毒则需要依靠人工操作来传播。
计算机病毒实验报告
计算机病毒实验报告
《计算机病毒实验报告》
近年来,计算机病毒成为了网络安全的重要问题。
为了深入研究计算机病毒的特性和对网络系统的影响,我们进行了一系列的实验。
在实验中,我们选择了几种常见的计算机病毒样本,并对其进行了分析和测试。
首先,我们对这些病毒样本进行了静态分析,包括对其代码结构、功能特性和传播途径的研究。
通过反汇编和代码审查,我们成功地分析出了这些病毒的工作原理和传播方式。
我们发现,这些病毒样本大多采用了文件传播和网络传播的方式,利用漏洞和弱密码等手段感染目标系统。
其次,我们对这些病毒样本进行了动态分析,包括在受控环境下的运行实验和行为监测。
通过在虚拟机环境中模拟感染过程,我们成功地捕获了这些病毒的行为数据,并对其进行了深入分析。
我们发现,这些病毒样本在感染目标系统后,会对系统文件进行篡改、窃取用户信息或者发起网络攻击等恶意行为。
最后,我们对这些病毒样本进行了安全性测试,包括针对其传播途径和感染后的影响进行了模拟实验。
通过在受控网络环境中模拟病毒传播和感染过程,我们成功地验证了这些病毒的危害性,并提出了相应的防范措施和安全建议。
通过这些实验,我们深入了解了计算机病毒的特性和对网络系统的影响,为进一步加强网络安全提供了重要的数据支持和科学依据。
我们希望通过我们的研究成果,能够为网络安全领域的相关工作提供有益的参考和借鉴,共同维护网络安全和信息安全的大局。
计算机病毒及防治实验报告
南京航空航天大学计算机病毒及防治上机实验报告学院:理学院专业:信息与计算科学学号:081310128姓名:王晨雨授课老师:薛明富二〇一六年十二月目录实验一:引导型病毒实验 (2)实验二:Com病毒实验 (6)实验三:PE文件格式实验 (9)实验四:32位文件型病毒实验 (11)实验五:简单的木马实验 (14)实验七:木马病毒清除实验(选做) (19)实验八:Word宏病毒实验(一) (22)实验九:Word宏病毒实验(二) (27)实验十:Linux脚本病毒实验(选做) (32)实验十二:基于U盘传播的蠕虫病毒实验 (33)实验十三:邮件型病毒实验 (36)实验十四:Web恶意代码实验 (39)实验一:引导型病毒实验【实验目的】通过实验,了解引导区病毒的感染对象和感染特征,重点学习引导病毒的感染机制和恢复感染病毒文件的方法,提高汇编语言的使用能力。
实验内容引导阶段病毒由软盘感染硬盘实验。
通过触发病毒,观察病毒发作的现象和步骤,学习病毒的感染机制:阅读和分析病毒的代码。
DOS运行时病毒由硬盘感染软盘的实现。
通过触发病毒,观察病毒发作的现象和步骤,学习病毒的感染机制:阅读和分析病毒的代码。
【实验平台】VMWare Workstation 12 PROMS-DOS 7.10【试验内容】第一步:环境安装安装虚拟机VMWare,在虚拟机环境内安装MS-DOS 7.10环境。
第二步:软盘感染硬盘1)运行虚拟机,检查目前虚拟硬盘是否含有病毒,图1表示没有病毒正常启动硬盘的状态。
2)在附书资源中复制含有病毒的虚拟软盘virus.img3)将含有病毒的软盘插入虚拟机引导,可以看到闪动的字符*^_^*,如图2所示,按任意键进入图3。
第三步:验证硬盘已经被感染1)取出虚拟软盘,通过硬盘引导,再次出现了病毒的画面如图4。
2)按任意键后正常引导了DOS系统如图5。
可见,硬盘已被感染。
第四步:硬盘感染软盘1)下载empty.img,并且将它插入虚拟机,启动计算机,由于该盘为空,如图6.2)取出虚拟软盘,从硬盘启动,通过命令format A:/q快速格式化软盘。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机与信息学院《计算机病毒与反病毒》课程作业学生姓名:徐文锋学号:20112529专业班级:计算机11-3班2014 年06 月24 日说明1.本课程作业报告是《计算机病毒与反病毒》课程成绩评定的重要依据,须认真完成。
2.报告内容严禁出现雷同,每位同学须独立完成。
若发现抄袭,抄袭者和被抄............袭者本课程的成绩均以零分............计.。
3.要排版,格式应规范,截图一律采用JPG格式(非BMP格式)。
为避免抄袭,用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。
实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名,是评价报告质量的考量因素。
4.说明文字与实验截图相配合,若只有说明文字,或只有截图,则成绩为不及格。
5.只提交报告电子版。
在规定的日期内,通过电子邮件发送到hfutZRB@,若三天之内没有收到内容为“已收到”的回复确认Email,请再次发送或电话联系任课老师。
6.为了便于归档,实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”,如“201112345张三-计算机病毒课程报告.doc”。
注意:提交报告截止日期以QQ群通知时间为准(一般在考试周下周周三),若因没有及时提交实验报告,导致课程成绩为“缺考”的,责任自负。
实验一程序的自动启动一、实验目的(1)验证利用注册表特殊键值自动启动程序的方法;(2)检查和熟悉杀毒软件各组成部分的自动启动方法。
二、实验内容与要求(1)在注册表自动加载程序主键中,添加加载目标程序键值(自己指派任意程序),重启操作系统,检查是否能自动成功加载目标程序。
罗列5或5个以上能自动启动目标程序的键值,并用其中某一个启动自己指派的程序。
(2)检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。
三、实验环境与工具操作系统:Windows XP/Windows Vista/Windows 7工具软件:RegEdit.exe,AutoRuns,或其他注册表工具软件;杀毒软件四、实验步骤与实验结果一)按启动文件夹的方法1、“启动”文件夹是最常见的自启动文件夹。
可以打开“开始”菜单—>“所有程序”,在所有程序里面可以找到“启动”文件夹找到“启动”文件夹的位置,在其中加入WPS的word的快捷方式,就可以在电脑开机时自启动word了在AutoRuns中可以看到如下图中的结果,WPS文字的快捷方式在自启动项中。
二)利用注册表键值来实现程序的自启动1、“Run”键值--在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run新建一个wps_excel 数值数据为“C:\Program Files\Kingsoft\WPS Office Personal\office6\et.exe”可以实现WPS表格的自启动。
在AutoRuns中可以看到下图内容:2、“Load”键值--将HKCU\Software\Microsoft\Windows NT\CurrentVersion \Windows\Load中的数值数据更改为C:\Program Files\Kingsoft\WPS Office Personal\office6\wpp.exe”,在AutoRuns中可以看到下图内容:3、“Userinit”键值--用户可以在HKEY_LOCAL_MacHINE\SOFTWARE\Microsoft \WindowsNT\CurrentVersion\Winlogon\Userinit 中添加自启动程序4、在HKCU\Software\Microsoft\Windows\CurrentVersion\Run 新一个建了ppt键值,其数值数据为“c:\program files\kingsoft\wps office personal\office6\wpp.exe”,可实现WPS幻灯片程序的自启动。
5、在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit中可以添加自启动程序6、“RunOnce”键值--在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup新建一个“金山卫士”键值,其数值数据为"C:\Program Files\ksafe\KSafe.exe",可以实现“金山卫士”程序的自启动重启之后,先后启动了WPS文字,金山卫士,WPS表格和WPS幻灯片。
五、思考题杀毒软件为什么要分成几个部分各自自动启动?答:杀毒软件的各个进程相互监视,以免病毒杀掉杀毒软件进程,终止杀毒软件杀毒。
杀毒软件自动启动过程分为两个部分:一、修改RUN子键值启动的托盘程序;二、修改Services中子键值实现自动启动的驱动核心程序。
Services是Windows中加载的服务,它的级别较高,用于最先加载。
即使用户进入计算机开始工作之前杀毒软件核心部分已经开始运行,进行了系统关键位置的扫描清楚。
保证了在病毒自动加载运行之前将其杀掉。
系统托盘程序主要用途是方便用户图形处理的工具,为了不影响用户开机速度故应该放在最后启动。
六、实验体会与小结本次实验中所采用的是win7虚拟机。
遇到的问题,起初在“Load”键值中的数值数据中填入的程序目标位置,结果程序不能够在启动时执行,后来将其改成了安装位置的路径,程序自启动成功。
通过这次实验,知道了多种让程序自启动的方法。
对于杀毒软件的的自启动程序过程也有了了解。
也了解了计算机病毒的最基础最本质的东西:利用注册表特殊键值自动启动程序的方法,有很大收获。
实验二熊猫烧香病毒分析与手工清除一、实验目的(1)了解熊猫烧香病毒对系统注册表、文件系统的破坏;(2)熟悉和掌握计算机病毒的感染分析法,及手工清除PE病毒的基本方法。
二、实验内容与要求(1)利用注册表监视软件监视、记录熊猫烧香病毒对注册表的修改行为。
(2)熊猫烧香病毒启动后,启动注册表编辑器RegEdit.exe和任务管理器taskmgr.exe,观察病毒对这两个系统工具软件的处理。
(3)在C盘根目录下新建123.txt文件,打开该文件,在其中随意输入n 的字符后保存并关闭文件。
将该文件重命名为123.gho。
启动熊猫烧香病毒,观察文件123.gho的变化,观察、记录硬盘中exe文件的图标的变化。
(4)参照课本第5章中PE病毒分析与清除的相关内容,分析某一PE文件被熊猫烧香病毒感染前后的变化,并借助PE文件工具软件手工清除该PE文件中的熊猫烧香。
(加分项,尽量做.......)三、实验环境与工具操作系统:基于虚拟机的Windows XP/Windows Vista/Windows 7工具软件:LordPE,PEditor,或其它PE工具软件四、实验步骤与实验结果1、打开注册表监视软件监视Registry monitor、记录熊猫烧香病毒对注册表的修改行为。
2、打开了注册表regedit,启动任务管理器taskmgr,当运行熊猫烧香程序后,注册表和任务管理器会被强制关闭。
再次打开注册表会发现注册表树形折叠在一起,熊猫烧香程序会在注册表Run的子键下添加自启动键值HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe。
其后对比图片如下:运行前:运行后:3、在C盘根目录下新建123.txt文件,打开该文件,在其中随意输入n的字符后保存并关闭文件。
将该文件重命名为123.gho。
运行熊猫烧香后会发现123.gho文件会被删除:磁盘中的exe文件的图标会变成熊猫烧香图标4、运行PEditor对C:\funny.exe程序的观察如下图:运行前:运行后:对比可以发现文件的入口点,时间日期标志等会发生改变。
五、思考题(1)PE文件被熊猫烧香病毒感染后,为什么图标会变成烧香的熊猫图标?答:熊猫烧香运行时总会有自己的图标,为了遮人耳目将所有的运行程序都一律更改为烧香熊猫,使得用户查找自身比较困难。
其实,最好的方法是木马在感染应用程序时保持原有的图标。
这不仅需要定位可运行文件中PE头中的图标资源位置还要判断用户运行的程序中的图标是众多图表中的哪一个。
这一步定位用户程序正在使用的图标很困难。
故直接选择自己的图标资源数据将原来的数据替换。
六、实验体会与小结在本次实验中,我起初运行的虚拟机是win7系统,后来发现registry monitor运行不起来,无法较好的观察到熊猫烧香病毒对注册表的修改,于是改用了XP系统。
在XP系统上由于刚开始的时候没有使用PEditor对PE文件的进行记录,导致实验结束后使用PEditor对PE文件进行的记录没有参照对象,对熊猫烧香病毒对文件的入口点等位置影响没有很好的对比,是此次实验中的失误。
故而没能成功手工杀除该病毒。
在此次实验中,真心感觉得到了病毒的强大,短小的29.2K的病毒程序,造成的破坏会这么大,在我的虚拟机中,注册表被修改,360解压缩程序失效,有些的程序无法运行起来。
通过这次试验,我获得的知识比较多,病毒对注册表的篡改,病毒的危害之类的都有了很直接的感受。
实验三键盘记录型木马一、实验目的(1)熟悉和掌握木马的基本原理,体验木马与狭义病毒的差别;(2)熟悉手工查杀木马的基本方法。
二、实验内容与要求(1)启动并配置木马。
(2)新建记事本文件,在文件中键入、删除字符,用光标键等改变键盘输入位置继续键入、删除字符;查看木马记录结果是否与记事本文档的编辑动作一致。
(3)启动包含输入框、按钮等控件的程序(如MakeSeal.exe),在其界面中输入字符或点击界面中控件;查看木马记录结果与操作记录是否一致。
(4)启动包含输入登录帐号和登录密码的程序(如QQ登录),在界面中输入帐号和密码;查看木马记录结果与操作是否一致。
(5)用Fport检查是否存在异常端口。
三、实验环境与工具操作系统:基于虚拟机的Windows XP/Windows Vista/Windows 7木马:SC-KeyLog2四、实验步骤与实验结果1、启动配置SC-KeyLog2配置完成后启动2、启动后会在C:\下生成一个funny.exe文件3、新建记事本文件,在文件中键入、删除字符,用光标键等改变键盘输入位置继续键入、删除字符;查看木马记录结果是否与记事本文档的编辑动作一致。