实验七 典型病毒(熊猫烧香)的检测和清除
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验七典型病毒(熊猫烧香)的检测和清除
一、实验目的
掌握典型病毒的检测方法,掌握典型病毒-熊猫烧香病毒的检测方法
二、实验环境
微机1台,熊猫烧香病毒样本、熊猫烧香病毒专杀工具、VMWare虚拟机软件。
三、实验步骤与方法
1)熊猫烧香病毒的检测
1、备好病毒样本
带有熊猫烧香病毒的文件。
2、运行VMWare虚拟机软件。
为了整个计算机本身的安全或整个实验室系统的安全,让实验在虚拟的环境下进行,
3、检测干净系统
4、种植熊猫烧香病毒
点击含有熊猫烧香病毒文件夹下的setup.exe文件,这时就将熊猫烧香病毒种植到计算机系统中了。
5、检测中毒后的系统
得出实验结论
2)熊猫烧香病毒的清除
(1) 熊猫症状表现为:
(1.1) 某些EXE文件的图标被改成一个座立的熊猫手里捧着三根香,因此得名,
(1.2) 隐藏文件属性无法修改,即显示所有隐藏文件的勾选去掉也不能显示隐藏文件;(1.3) 双击分区盘符无法打开显示内容,必须通过右键打开才可以打开;
如果你的电脑出现以上症状那一定是中着了!可以通过以下用超级巡警之熊猫烧香病毒专杀V1.8自动删除和清理病毒(删除前断开网络)
拓展资料:手工清除方法
(2.1) 清除病毒
第一步:点击“开始--运行”,输入"ntsd -c q -pn spoclsv.exe"并确定,结束病毒的进程。(或进入到文件夹c:\windows(Windows2000下为winnt, windowsXP下为windows)\system32 \drivers中修改spoclsv.exe的文件名为其他的.exe文件),之后我们就可以进入到任务管理器和注册表中了。
第二步:在注册表中寻找“HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\C URRENTVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”,将CheckedValue的值改为1。打开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CrrentVersion\Run”,将svcs hare的项目删除。
第三步:删除硬盘各分区根目录下的"setup.exe"和"autorun.inf"文件;删除掉C:\Windows\ system32\drivers下的spoclsv.exe文件。
第四步:搜索硬盘上的网页格式文件,找到其中类似”“的文字,将其删除。被嵌入的代码可能是其他的网站。
(2.2) 显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Adv anced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键新建——Dword值——命名为Checke dValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
(2) 如何防范”熊猫烧香“病毒
第一,该病毒会利用IE,QQ,UC等的漏洞进行传播。所以需要即使安装他们的最新补丁程序。
第二,计算机应设置复杂的密码,以防止病毒通过局域网传播。
第三,关闭系统的”自动运行“功能,防止病毒通过U盘,移动硬盘等侵入你的电脑。
(3)附:结束进程的方法:
调出windows任务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的***.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"***.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-->“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)",比如我的计算机上就输入"ntsd –c q -p 1132".
四、实验调查:
五、实习小结
1、如何有效防范病毒?