20112529徐文锋-计算机病毒实验报告 - 图文(2)

序不能够在启动时执行，后来将其改成了安装位置的路径，程序自启动成功。 通过这次实验，知道了多种让程序自启动的方法。对于杀毒软件的的自启动程序过程也有了了解。也了解了计算机病毒的最基础最本质的东西：利用注册表特殊键值自动启动程序的方法，有很大收获。

实验二 熊猫烧香病毒分析与手工清除

一、实验目的

（1）了解熊猫烧香病毒对系统注册表、文件系统的破坏；

（2）熟悉和掌握计算机病毒的感染分析法，及手工清除PE病毒的基本方法。

二、实验内容与要求

（1）利用注册表监视软件监视、记录熊猫烧香病毒对注册表的修改行为。 （2）熊猫烧香病毒启动后，启动注册表编辑器RegEdit.exe和任务管理器taskmgr.exe，观察病毒对这两个系统工具软件的处理。

（3）在C盘根目录下新建123.txt文件，打开该文件，在其中随意输入n的字符后保存并关闭文件。将该文件重命名为123.gho。启动熊猫烧香病毒，观察文件123.gho的变化，观察、记录硬盘中exe文件的图标的变化。

（4）参照课本第5章中PE病毒分析与清除的相关内容，分析某一PE文件被熊猫烧香病毒感染前后的变化，并借助PE文件工具软件手工清除该PE文件中的熊猫烧香。（加分项，尽量做） ．．．．．．．

三、实验环境与工具

操作系统：基于虚拟机的Windows XP/Windows Vista/Windows 7 工具软件：LordPE，PEditor，或其它PE工具软件

四、实验步骤与实验结果

1、打开注册表监视软件监视Registry monitor、记录熊猫烧香病毒对注册表的修改行为。

2、打开了注册表regedit，启动任务管理器taskmgr，当运行熊猫烧香程序后，注册表和任务管理器会被强制关闭。再次打开注册表会发现注册表树形折叠在一起，熊猫烧香程序会在注册表Run的子键下添加自启动键值HKEY_CURRENT_USER\\Software \\Microsoft\\Windows\\CurrentVersion\\Run svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe。 其后对比图片如下： 运行前：

运行后：

3、在C盘根目录下新建123.txt文件，打开该文件，在其中随意输入n的字符后保存并关闭文件。将该文件重命名为123.gho。

运行熊猫烧香后会发现123.gho文件会被删除：

磁盘中的exe文件的图标会变成熊猫烧香图标

4、运行PEditor对C:\\funny.exe程序的观察如下图： 运行前：

运行后：

对比可以发现文件的入口点，时间日期标志等会发生改变。

五、思考题

（1）PE文件被熊猫烧香病毒感染后，为什么图标会变成烧香的熊猫图标？ 答：熊猫烧香运行时总会有自己的图标，为了遮人耳目将所有的运行程序都一律更改为烧香熊猫，使得用户查找自身比较困难。其实，最好的方法是木马在

感染应用程序时保持原有的图标。这不仅需要定位可运行文件中PE头中的图标资源位置还要判断用户运行的程序中的图标是众多图表中的哪一个。这一步定位用户程序正在使用的图标很困难。故直接选择自己的图标资源数据将原来的数据替换。

六、实验体会与小结

在本次实验中，我起初运行的虚拟机是win7系统，后来发现registry monitor运行不起来，无法较好的观察到熊猫烧香病毒对注册表的修改，于是改用了XP系统。在XP系统上由于刚开始的时候没有使用PEditor对PE文件的进行记录，导致实验结束后使用PEditor对PE文件进行的记录没有参照对象，对熊猫烧香病毒对文件的入口点等位置影响没有很好的对比，是此次实验中的失误。故而没能成功手工杀除该病毒。

在此次实验中，真心感觉得到了病毒的强大，短小的29.2K的病毒程序，造成的破坏会这么大，在我的虚拟机中，注册表被修改，360解压缩程序失效，有些的程序无法运行起来。

通过这次试验，我获得的知识比较多，病毒对注册表的篡改，病毒的危害之类的都有了很直接的感受。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库20112529徐文锋-计算机病毒实验报告 - 图文(2)在线全文阅读。