实验七 典型病毒(熊猫烧香)的检测和清除

实验七典型病毒(熊猫烧香)的检测和清除

一、实验目的

掌握典型病毒的检测方法，掌握典型病毒-熊猫烧香病毒的检测方法

二、实验环境

微机1台，熊猫烧香病毒样本、熊猫烧香病毒专杀工具、VMWare虚拟机软件。

三、实验步骤与方法

1）熊猫烧香病毒的检测

1、备好病毒样本

带有熊猫烧香病毒的文件。

2、运行VMWare虚拟机软件。

为了整个计算机本身的安全或整个实验室系统的安全，让实验在虚拟的环境下进行，

3、检测干净系统

4、种植熊猫烧香病毒

点击含有熊猫烧香病毒文件夹下的setup.exe文件，这时就将熊猫烧香病毒种植到计算机系统中了。

5、检测中毒后的系统

得出实验结论

2）熊猫烧香病毒的清除

(1) 熊猫症状表现为:

(1.1) 某些EXE文件的图标被改成一个座立的熊猫手里捧着三根香,因此得名,

(1.2) 隐藏文件属性无法修改，即显示所有隐藏文件的勾选去掉也不能显示隐藏文件；(1.3) 双击分区盘符无法打开显示内容，必须通过右键打开才可以打开；

如果你的电脑出现以上症状那一定是中着了！可以通过以下用超级巡警之熊猫烧香病毒专杀V1.8自动删除和清理病毒（删除前断开网络）

拓展资料：手工清除方法

(2.1) 清除病毒

第一步：点击“开始--运行”，输入"ntsd -c q -pn spoclsv.exe"并确定，结束病毒的进程。（或进入到文件夹c:\windows(Windows2000下为winnt, windowsXP下为windows)\system32 \drivers中修改spoclsv.exe的文件名为其他的.exe文件），之后我们就可以进入到任务管理器和注册表中了。

第二步：在注册表中寻找“HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\C URRENTVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”,将CheckedValue的值改为1。打开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CrrentVersion\Run”，将svcs hare的项目删除。

第三步：删除硬盘各分区根目录下的"setup.exe"和"autorun.inf"文件；删除掉C:\Windows\ system32\drivers下的spoclsv.exe文件。

第四步：搜索硬盘上的网页格式文件，找到其中类似”“的文字，将其删除。被嵌入的代码可能是其他的网站。

(2.2) 显示出被隐藏的系统文件

运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Adv anced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）

方法：删除此CheckedValue键值，单击右键新建——Dword值——命名为Checke dValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。

(2) 如何防范”熊猫烧香“病毒

第一，该病毒会利用IE，QQ，UC等的漏洞进行传播。所以需要即使安装他们的最新补丁程序。

第二，计算机应设置复杂的密码，以防止病毒通过局域网传播。

第三，关闭系统的”自动运行“功能，防止病毒通过U盘，移动硬盘等侵入你的电脑。

(3)附：结束进程的方法：

调出windows任务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的***.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"***.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"-->“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1132".

四、实验调查：

五、实习小结

1、如何有效防范病毒？