病毒查找及清除实验
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
病毒查找及清除实验
应用场景
计算机病毒是一个程序,一段可执行码,对计算机的正常使用进行破坏,使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。
一般正常的程序都是由用户调用,再由系统分配资源,完成用户交给的任务,其目的对用户是可见的、透明的。而病毒则隐藏在正常的程序中,当用户在调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户来说是未知的,是未经允许的。一般病毒都具有以下一些特征:
1.传染性。正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的,而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。是否具有传染性是判别一个程序是否为计算机病毒的最重要的判断依据。
2. 隐蔽性。计算机病毒一般是具有很高的编程技巧并且短小精悍的程序,很大部分的病毒代码往往只有几百K 甚至更小。为了达到隐藏自己的目的,病毒程序通常附在正常的应用程序中或磁盘较隐蔽的地方,一些则以隐藏文件的形式出现。通过各种手段的伪装,使得在没有经过特别分析的情况下很难将病毒程序与正常程序区别开来。正是由于隐蔽性,计算机病毒才得以在用户没有察觉的情况下扩散到上百万台计算机中。
3. 潜伏性。大部分的计算机病毒感染系统之后一般不会马上发作,它可以长期隐藏在系统中,只有在满足特定条件时才启动其破坏模块。如著名的“黑色星期五”病毒在每逢13 号的星期五发作。
4. 破坏性。病毒一般按其破坏性可分为良性病毒和恶性病毒。良性病毒只是计算机病毒家族中很小的一部分,它的危害较小,一般不会造成严重后果。该类病毒通常表现为占用一定的内存和磁盘空间,降低计算机系统的运行速度,干扰显示器屏幕的显示等。恶性病毒
一般都有明确的目的,或破坏数据、删除文件或加密磁盘、格式化磁盘,有的对数据造成不可挽回的破坏。不管是哪种类型的病毒,只要侵入系统,都会对系统及应用程序产生不同程度的影响。
虽然病毒千奇百怪,但是只要抓住其本质特征,就可以找到相对合理的查杀方法。
VM
实验目标:
●掌握手动病毒查找的方法;
●掌握常见病毒分析和查杀的第三方工具使用方法;
●能够根据病毒特征清除病毒;
实验环境:
虚拟机:Windows XP/2003,Regshot 注册表对比工具,Aport 端口查看工具,Process Explorer 实验过程指导:
通过第三方软件,察看病毒的运行状态,对系统配置的修改,从而了解病毒的运行原理,达到手动清楚木马与病毒的目的。实验内容包括:
1)注册表查看和监控;
2)文件型病毒代码查看;
3)进程查看和管理;
4)端口状态分析;
启动虚拟机,并设置虚拟机的IP 地址,以虚拟机为目标主机进行攻防试验。
1. 注册表分析;
(1)点击工具“regshott”,用户在页面右侧可以根据提示使用第三方工具,对比不同时间点的注册表信息。如下图所示
步骤一、利用工具对系统注册表进行拍照,首先单击“快照1”。
步骤二、运行桌面上的灰鸽子病毒,在灰鸽子客户端软件中生成服务器端程序,在本机执行该服务器程序即运行病毒样本,该病毒将把自身注册到注册表启动项,以达到随系统启动而自动运行的效果;
步骤三、利用工具再次对系统注册表进行拍照即单击“快照2”,并进行比较,分析注册表的变化,找到病毒注册的关键位置。
步骤四、启动注册表编辑器,恢复被修改的注册表关键项,从而清除病毒。
2. 进程状态分析
(1)点击“工具箱”中“攻防工具”——“检测工具”——“process exp”,如下图所示,用户在页面右侧将会根据提示运行第三方工具查看当前活动进程状态。从该图中可以明显的看到灰鸽子程序在运行的进程,进而可以终止该病毒程序运行。
(2)根据进程状态列表查看可疑的进程,进行以下操作:
步骤一:结束可疑进程;
步骤二:定位可疑进程对应的文件;
步骤三;清除病毒文件。
3. 端口状态分析
(1)点击“工具箱”中“攻防工具”——“检测工具”——“aport”,用户在页面右侧可以根据提示使用第三方工具,查看本机端口开放状态。如下图所示,从该图中可以明显的看到灰鸽子程序在运行的进程,进而可以终止该病毒程序运行。
(2)学生用户根据端口开放状态找到非法进程,进行以下操作:
步骤一:结束可疑进程;
步骤二:定位可疑进程对应的文件;
步骤三;清除病毒文件。
【实验思考】
1. 病毒木马自激活的方法有哪些?该如何防范?
2. 病毒木马自我隐藏的方法有哪些?该如何防范?
3. 病毒木马的破坏行为主要有哪些?该如何做,才能将破坏程度降到最低。
4. 通过进程状态分析DLL 病毒实验部分的病毒,监控到的可疑进程是什么?
5. 通过端口监控工具查看灰鸽子木马打开了哪些端口?