实验3-熊猫烧香

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

实验3 熊猫烧香病毒分析与手工清除

一、实验目的

(1)了解熊猫烧香病毒对系统注册表、文件系统的破坏;

(2)熟悉和掌握计算机病毒的感染分析法,及手工清除PE病毒的基本方法。

二、实验内容与要求

(1)利用注册表监视软件监视、记录熊猫烧香病毒对注册表的修改行为。

(2)熊猫烧香病毒启动后,启动注册表编辑器RegEdit.exe和任务管理器taskmgr.exe,观察病毒对这两个系统工具软件的处理。

(3)在C盘根目录下新建123.txt文件,打开该文件,在其中随意输入n 的字符后保存并关闭文件。将该文件重命名为123.gho。启动熊猫烧香病毒,观察文件123.gho的变化,观察、记录硬盘中exe文件的图标的变化。

(4)参照课本相关章节中PE病毒分析与清除的相关内容,分析某一PE文件被熊猫烧香病毒感染前后的变化,并借助PE文件工具软件手工清除该PE文件中的熊猫烧香。

三、实验环境与工具

操作系统:基于虚拟机的Windows XP/Windows Vista/Windows 7

工具软件:LordPE,PEditor,Winhex或其它PE工具软件

四、实验步骤

(1)熊猫烧香病毒对注册表的修改行为:

在Run子键中设置了自动加载选项:

HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

(2)熊猫烧香病毒启动后,病毒对注册表编辑器RegEdit.exe和任务管理器taskmgr.exe的处理:

RegEdit.exe和taskmgr.exe的图形界面出现后立马直接关闭。接着出现病毒运行的图标。如下图:

再打开注册表编辑器,发现了注册表的折叠杯打开了,结果就是之前检测到熊猫烧香修改的HKEY_LOCAL_MACHINE\Software \Microsoft\Windows NT\Current Version\Image File Execution Options\

(3)在C盘根目录下新建123.txt文件,打开该文件,在其中随意输入n的字符后保存并关闭文件。将该文件重命名为123.gho。启动熊猫烧香病毒,观察文件123.gho的变化,观察、记录硬盘中exe文件的图标的变化:

启动病毒后123.gho文件立刻消失,硬盘中exe文件的图标都修改为熊猫烧香图标。如下图:

4)参照课本相关章节中PE病毒分析与清除的相关内容,分析某一PE文件被熊猫烧香病毒感染前后的变化,并借助PE文件工具软件手工清除该PE文件中的熊猫烧香。

程序感染病毒前:

感染病毒后:

画红线的为有区别的地方,修改感染后的数据使与感染前的数据一样,然后删除多余的节点,最后重建程序即可。

则重建后的程序则转换为:|

但是双击后运行错误如下图:

3)

启动熊猫烧香病毒,观察文件123.gho的变化,观察、记录硬盘中exe文件的图标的变化。:

系统中所有的exe文件图标都变成了熊猫烧香的样子,下面是我QQ游戏的变化:

相关文档
最新文档