实验七 典型病毒(熊猫烧香)的检测和清除

关于计算机木马与病毒的研究报告专业：计算机应用学号：201336616106 姓名：陈威华【摘要】：近年来,随着科学技术水平的提高和社会经济的发展,计算机应用渗透到社会生活的各个领域,计算机病毒攻击与防范技术也在不断拓展。

本文简要分析计算机木马病毒的由来、特点及和木马潜伏，提出有针对性的安全防范措施。

首先声明，木马不同于病毒，病毒是可以自我复制并传播的，特洛伊木马只是一个“间谍”，隐藏在你的电脑里，成为一个隐蔽的后门。

别人可以通过特洛伊木马来控制你的电脑或者窃取账号信息等。

关于木马的由来：然而，计算机世界的特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。

一旦被安装，这些程序就能够使攻击者绕过安全程序进入系统。

该功能的目的就是收集系统中的重要信息，例如，财务报告、口令及信用卡号。

此外，攻击者还可以利用后门控制系统，使之成为攻击其它计算机的帮凶。

由于后门是隐藏在系统背后运行的，因此很难被检测到。

它们不像病毒和蠕虫那样通过消耗内存而引起注意。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。

植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。

运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

【摘要】：凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。

所以从这个意义上说，蠕虫也是一种病毒。

蠕虫病毒，作为对互联网危害严重的一种计算机程序，其破坏力和传染性不容忽视。

与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象。

本文主要介绍蠕虫病毒的分类、概念、特点传播途径、典型蠕虫、防范措施和发展趋势等。

【关键词】：蠕虫病毒影响防范发展目录第一章蠕虫病毒概述 (1)1.1 蠕虫病毒的概念 (1)1.2 蠕虫病毒的成因 (1)1.3 蠕虫病毒的特性 (1)第二章蠕虫病毒分析 (2)2.1 蠕虫病毒分类分析 (2)2.1.1主机蠕虫 (2)2.1.2 网络蠕虫 (2)2.2 蠕虫病毒传播途径 (2)2.3 典型蠕虫病毒 (3)2.3.1 熊猫烧香病毒的概念 (3)2.3.2 熊猫烧香病毒的危害 (3)2.3.3熊猫烧香病毒的现象 (3)第三章蠕虫病毒的防范 (5)3.1 怎样防范蠕虫病毒 (5)3.2 蠕虫病毒的解决方案（例：熊猫烧香病毒） (6)第四章蠕虫病毒发展趋势 (11)参考文献 (12)第一章蠕虫病毒概述1.1 蠕虫病毒的概念1.2 蠕虫病毒的成因利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”，以及依然肆虐的“求职信”等。

由于IE浏览器的漏洞（IFRAMEEXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。

“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。

1.3 蠕虫病毒的特性蠕虫和传统病毒都具有传染性和复制功能，这两个主要特性上的一致，导致人们在二者之间非常难区分。

尤其是近年来，越来越多的传统病毒采取了部分蠕虫的技术，而具有破坏性的蠕虫也采取了部分传统病毒的技术，从而更加剧了这种情况。

分析计算机病毒与防范的论文计算机病毒是一个程序，一段可执行的代码，计算机病毒编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机正常使用并且能够在用户不知情或者未批准下，大量自我复制或运行的一组计算机程序。

下面是店铺为大家整理的分析计算机病毒与防范的论文，希望大家喜欢!分析计算机病毒与防范的论文篇一《计算机病毒的解析与防范》【摘要】近年来计算机技术的飞速发展，使得网络安全备受关注，其中计算机病毒的普及与防范尤为重要，本文就计算机病毒的定义、特征等进行详细的说明，并且提出防范措施。

【关键词】计算机病毒解析防范一、计算机病毒的定义计算机病毒是一个程序，一段可执行的代码，计算机病毒编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机正常使用并且能够在用户不知情或者未批准下，大量自我复制或运行的一组计算机程序。

它像生物病毒一样可以很快地蔓延，常常难以根除。

二、计算机病毒的特征2.1传染性计算机病毒的传染性是指计算机病毒可以把自身复制到其他程序或者其他设备中的特征。

传染性是计算机病毒的基本特征，同时也是判断是否为病毒的主要依据。

当用户利用U盘，网络等载体交换信息时，病毒程序趁机以用户不能察觉的方式随之传播。

在日常生活中，扫描一些来历不明的二维码、在非官方网站下载软件、甚至点击一些恶意链接，都有可能会感染上计算机病毒。

2.2潜伏性病毒程序感染正常的计算机之后，一般不会立即发作，而是潜伏下来，等到条件满足时才产生破坏作用。

一个编制巧妙的计算机病毒程序,可以在一段很长的时间内隐藏在合法程序中,对其他系统进行感染而不被人们发现。

2.3隐藏性计算机病毒在附着到文件上之后，有的可以通过病毒软件检查出来，有的根本就检查不出来，因为大多数病毒都采用特殊的隐藏技术，比如将感染病毒的程序压缩，留出空间嵌入病毒程序，这样病毒很难被发现;有些病毒修改文件的属性;还有些病毒可以加密或者防跟踪等。

2.4破坏性当病毒程序发作时，通常会在屏幕上显示一些不正常的信息，同时对磁盘上的数据文件和程序进行破坏。

第1篇一、引言2009年，我国发生了一起名为“熊猫烧香”的计算机病毒案件，该病毒迅速传播，对广大网民和计算机用户造成了严重的损失。

此案件引起了社会各界的广泛关注，同时也给我国网络安全法律体系带来了深刻的启示。

本文将从熊猫烧香案件的法律启示出发，探讨我国网络安全法律的完善与发展。

二、熊猫烧香案件的法律背景1. 犯罪主体熊猫烧香案件的主要犯罪主体为被告人张某、李某、王某等人。

他们通过编写、传播计算机病毒，非法获取他人计算机信息系统数据，给社会造成了极大的危害。

2. 犯罪手段被告人通过编写名为“熊猫烧香”的计算机病毒，在网络上大量传播。

该病毒能够入侵他人计算机系统，篡改用户数据，甚至控制他人计算机，造成严重后果。

3. 犯罪后果熊猫烧香案件造成了大量网民的计算机系统瘫痪，给企业和个人带来了巨大的经济损失。

同时，该案件还暴露出我国网络安全法律体系的不完善，使得犯罪分子得以逍遥法外。

三、熊猫烧香案件的法律启示1. 完善网络安全法律体系熊猫烧香案件暴露出我国网络安全法律体系的不完善。

为了更好地维护网络安全，我国应加快网络安全法律的立法进程，提高法律体系的科学性和可操作性。

具体包括：（1）制定专门的网络安全法，明确网络安全的基本原则、法律地位和监管职责；（2）完善网络安全管理制度，加强对网络信息内容的监管，确保网络空间的清朗；（3）加大对网络犯罪的打击力度，提高犯罪成本，使犯罪分子付出应有的代价。

2. 加强网络安全执法力度熊猫烧香案件的发生，暴露出我国网络安全执法力度不足的问题。

为了更好地维护网络安全，我国应加强网络安全执法，具体措施如下：（1）建立健全网络安全执法机构，提高执法队伍的专业化水平；（2）加强执法协作，形成跨部门、跨区域的联合执法机制；（3）加大对网络犯罪的惩处力度，提高犯罪分子的法律风险。

3. 提高网络安全意识熊猫烧香案件的发生，提醒我们要提高网络安全意识。

具体措施如下：（1）加强网络安全教育，提高全民网络安全素养；（2）引导网民合理使用网络，自觉抵制网络病毒和不良信息；（3）鼓励企业和个人加强网络安全防护，提高计算机系统的安全性。

熊猫烧香病毒之专杀工具的编写教程通过对熊猫烧香的行为分析，这里仅针对所得结果，来进行专杀工具的编写。

本节课我们会学习使用C++来写一个简单的“熊猫烧香”专杀系统。

实验目的：结合本篇文章的知识点，能够彻底掌握文章所讲述的编写杀毒软件的方法。

实验思路：1.理解专杀工具所需要实现的功能2.利用VC++编写专杀工具3.结合Process Monitor验证专杀工具实验步骤：1、病毒行为回顾与归纳这里我们首先回顾一下病毒的行为：**病毒行为1：**病毒本身创建了名为`spoclsv.exe`的进程，该进程文件的路径为：C:WINDOWSsystem32driversspoclsv.exe**病毒行为2：**在命令行模式下使用`net share`命令来取消系统中的共享。

**病毒行为3：**删除安全类软件在注册表中的启动项。

**病毒行为4：**在注册表:HKCUSoftwareMicrosoftWindowsCurrentVersionRun中创建svcshare用于在开机时启动位于`C:WINDOWSsystem32driversspoclsv.exe`的病毒程序。

**病毒行为5：**修改注册表，使得隐藏文件无法通过普通的设置进行显示，该位置为：HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 病毒将`CheckedValue`的键值设置为了0。

**病毒行为6：**将自身拷贝到根目录，并命名为`setup.exe`，同时创建`autorun.inf`用于病毒的启动，这两个文件的属性都是“隐藏”。

**病毒行为7：**在一些目录中创建名为`Desktop_.ini`的隐藏文件。

**病毒行为8：**向外发包，连接局域网中其他机器。

纵观以上八点行为，这里需要说明的是，其中的第二点行为，由于我不知道用户计算机在中毒前的设置，因此这条我打算忽略。

(一) 主程序段分析原“熊猫烧香”病毒“源码”主程序段代码如下所示：{==================主程序开始====================}beginif IsWin9x then //是Win9xRegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程else //WinNTbegin//远程线程映射到Explorer进程//哪位兄台愿意完成之？end;//如果是原始病毒体自己if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 thenInfectFiles //感染和发邮件else //已寄生于宿主程序上了，开始工作beginTmpFile := ParamStr(0); //创建临时文件……....Line nDelete(TmpFile, Length(TmpFile) - 4, 4);TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文件，多一个空格ExtractFile(TmpFile); //分离之FillStartupInfo(Si, SW_SHOWDEFAULT);CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,0, nil, '.', Si, Pi); //创建新进程运行之……....Line n+7InfectFiles; //感染和发邮件end;end.对于代码：RegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程虽然源码提供者省略了相应实现，但这是比较基本的编程实现。

通过把自身注册为服务进程，可以使自己随着系统的启动一起启动。

一、引言去年秋天回趟老家，适逢家中秋收后“祭宅神”。

期间，听亲家二大娘在香毕吟颂的《十柱香》的佛歌，深有感触：百姓烧香祝的是神仙幸福，盼的是亲人平安—这是作为衣食百姓发自内心的心愿！但如今，正待举国上下、一家老小庆祝金猪佳节到来之际，图1中的这位老兄抢先一步把香烧到了几乎家家户户，烧得各位焦头烂额，人人喊“杀”。

试问这位仁兄：你到底想干什么？图1：“熊猫烧香”病毒感染可执行文件后的文件图标在短短一个月时间里，“熊猫烧香”作者多次发布更新版的变种病毒，每一次都针对以前设计的不完善进行修改，每次更新都几尽感染破坏之能事。

他为什么要如此辛劳地研制病毒程序呢？本人十分同意一些防毒软件专家的观点—“‘熊猫烧香’带有强烈的商业目的，用户感染病毒后，会从后台点击国外的网站，部分变种中含有盗号木马，病毒作者可借此牟利……”。

最近，一份据称是“熊猫烧香”病毒的源代码正在互联网上散播，任何人只要利用Google或者Baidu等搜索工具都可以轻易获得（本人也是如此取得的代码）。

粗略分析该代码后，我们注意到：该病毒在感染至日文操作系统时破坏性尤甚，但对其它语言Windows也造成了严重破坏。

本文中，我想对这个基于Delphi语言所编写的“熊猫烧香源码”作进一步分析，并阐述自己的几点看法。

二、“熊猫烧香”病毒“源码”浅析(一)主程序段分析原“熊猫烧香”病毒“源码”主程序段代码如下所示：稍加分析，我们不难绘出其相应的执行流程（如图2）：图2：主程序流程图对于代码：虽然源码提供者省略了相应实现，但这是比较基本的编程实现。

通过把自身注册为服务进程，可以使自己随着系统的启动一起启动。

当然，还可以进一步施加技巧而使自己从Windows任务管理器下隐藏显示。

然后，上面代码在判断当前操作系统不是Win9X后，提到“远程线程映射到Explorer进程”一句。

其实这里所用正是Jeffrey Richter所著《Windows 95 Windows NT 3.5高级编程技术》（后多次更句）一书第16章“闯过进程的边界”中详细讨论的“使用远程线程来注入一个DLL”技术。