信息技术安全原理实验2

信息专业实验报告
课程_ 信息系统安全实验名称
系别_____信息管理与信息系统__________日期 2011 年 10 月27 日
专业班级____________组别___________实验报告日期 2011 年 10 月 27 日学号______________ 姓名________报告退发( 订正、重做 )
同组人___________________________________教师审阅签字
一、环境
在具备系统还原功能的机器上进行实验操作，并禁止在实验过程中使用U盘、软件等移动存储设备。

二、实验步骤
1、本实验要求在具有“还原系统”的机器上完成，关闭“杀毒软件”的实时监控功能，关闭防火墙。

在电脑右下角图标中关闭所有监控程序。

伞状展开图标由绿色变成红色关闭图标，表示监控已关闭。

2、在C:\、D:\、E: \等盘中均建立几个实验用的word文档，如图所示:
3、下载并运行“Word文档杀手”病毒体trojan.deldoc.exe和
worm.dockill.a.exe并双击运行。

4、运行病毒后在cmd 中运行命令dir出现“任务书”和“病毒演示”都被改成.com 的文件格式，表示病毒起作用了。

这样，病毒就将硬盘里面的所有的DOC文档建立一个列表，输出到c:\ww.txt文件中，然后逐一将这些DOC文件删除，在删除的同时还会将这些Word文档复制到c:\windows\wj\ 目录中,并将文件扩展名改为.COM。

在任务管理器中查看进程，可以看到有一个doc.exe在运行，它就是病毒的进程。

当你把文件夹选项的“隐藏文件和文件夹”改成“显示所有文件和文件夹”将改不了。

这是因为病毒还能修改注册表键值，以达到隐藏扩展名的目的。

这样用户无论如何修改文件夹选项都是无效的，因此查看文件扩展名都是无法显示的。

病毒运行后，每隔几分钟（大约每5分钟)都会在C盘根目录下生成病毒文件c:\ww.bat 和c:\ww.txt ，其中ww.bat文件内含有批处理程序，搜索硬盘中所有的Word文档：
5、查看系统盘或C:\下是否出现新的文件wj.txt，里面的内容是所有word文档被改成.com扩展名的文件。

6、注册表中的"UncheckedValue" 被改成全为零的数值。

7、比较分析报告中的病毒发现后果和实际现象区别
病毒删除前
病毒删除后
9、手工方式解除病毒
1、开机按F8进入安全模式。

2、备份文件：打开C:/WINDOWS，把WJ文件夹打包压缩并放到其他盘。

3、Ctrl+Alt+Delete或者Ctrl+Shift+Esc打开任务管理器，结束名字含有doc 的进程。

doc进程已被删除
4、记事本写下以下内容，点“文件－另存为”，保存类型选择“所有文件”，文件名为ackup.bat，然后双击运行文件。

@echo off
tskill doc
md D:\backup
copy C:/WINDOWS/WJ/*.com D:\backup\*.bak
ren C:/WINDOWS/WJ/*.com *.doc
del c:\ww.bat c:\ww.txt
del %0
5、解锁注册表以及显示所有文件及扩展名：
记事本写下以下内容，点“文件－另存为”，保存类型选择“所有文件”，文件名为unlock.reg，然后双击运行文件。

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sys tem]
"DisableRegistryTools"=dword:00000000
"DisableCMD"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv anced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Ad vanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
6、在注册表里搜索doc.exe、doc1.exe、doc2.exe等，全部删除，再在C盘里面搜索doc.exe、doc1.exe、doc2.exe等文件，也都全部删除。

7、恢复显示“文件夹选项”，以便查看隐藏文件即文件扩展名：
法一：搜索注册表把NoFolderOptions项删除即可。

法二：运行－gpedit.msc－“本地计算机”策略－用户配置－管理模板－windows组件－ windows资源管理器，更改设置：从“工具”菜单删除“文件夹选项”菜单！选择，已禁用即可。

8、$开头的文档不要了，打开成乱码，是Word的临时文档，都是由于关机不正常造
成的。

三、程序源代码
1、病毒修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Advanced\Folder\HideFileExt]
"CheckedValue" = dword:00000001
"UncheckedValue" = dword:00000001
2、删除病毒
@echo off
tskill doc
md D:\backup
copy C:/WINDOWS/WJ/*.com D:\backup\*.bak
ren C:/WINDOWS/WJ/*.com *.doc
del c:\ww.bat c:\ww.txt
del %0
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sys tem]
"DisableRegistryTools"=dword:00000000
"DisableCMD"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv
anced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Ad
vanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
四、总结
病毒虽然会给计算机和人们带来极大的危害和损失，但是要消灭它并不是不可能的，只有掌握并学习好知识，就能懂得对它的防范和消灭。