实验报告模板
【实验目的】（简要描述实验目的）
采用免杀、混淆等技术的恶意代码有可能突破安全软件的防护而运行在目标主机中。

即使用户感受到系统出现异常，但是仅仅通过杀毒软件等也无法检测与根除恶意代码，此时需要用户凭借其它系统工具和对操作系统的了解对恶意代码手工查杀。

本实验假设在已经确定木马进程的前提下，要求学生借助进程检测和注册表检测等系统工具，终止木马进程运行，消除木马程序造成的影响，从而实现手工查杀恶意代码的过程。

【实验结果及分析】（需要有结果截图）
一、恶意代码手工查杀实验
1、虚拟机快照
为防止虚拟机破坏后无法恢复，应先将干净的虚拟机进行快照设置。

点击菜单“虚拟机”“快照”“拍摄快照”，创建一个干净的虚拟机快照。

2.创建被感染的系统环境
由于恶意代码采用了免杀技术，因此能够成功绕过防病毒等安全软件检测，等用户感到系统异常时，通常恶意代码已经在主机系统内加载运行。

为了尽量模拟一个逼真的用户环境，我们在搭建好的虚拟机中运行木马宿主程序
“radar0.exe”。

运行完后，可以看见，“radar0.exe”自动删除。

3.木马进程的定位
用户对系统的熟悉程度决定了发现系统异常继而查找恶意代码的早晚。

在本例中，明显可以感受到系统运行速度变慢，打开任务管理器，可以观察到有一个“陌生”的进程（非系统进程或安装软件进程）“wdfmgr.exe”占用CPU比率很高。

为了确定该进程为木马进程，可以通过查找该进程的静态属性如创建时间、
开发公司、大小等，以及通过对该进程强制终止是否重启等现象综合判断。

在本例中，“Wdfmgr.exe”为木马radar.exe运行后新派生的木马进程。

4.记录程序行为
打开工具“ProcMon.exe”，为其新增过滤规则“Process Name”“is”“wdfmgr.exe”，然后开始监控。

点击“Add”将过滤规则加入，可以看到ProcMon开始监控“wdfmgr.exe”进程的行为。

需要注意的是，有时为了保证观察到的行为完备性，会先启动ProcMon工具，然后再启动被监控进程。

为了分别观察该进程对文件系统和注册表的操作，点击菜单
“Tools”“File Summary”，观察对文件系统的修改。

同样，如果需要观察注册表变化，可以选择“Registry file”
5.分析结果
1）文件操作
打开目标进程对文件系统操作的记录。

在文件统计信息对话框中，可以分别以修改文件全路径、所在目录、类型等为索引进行查看，这里以类型进行查看。

点击“By Extention”，可以看到，左侧中列举了操作文件的各种类型，右框窗口显示了对每种类型的文件按操作类型进行了统计，包括“Open”（打开）、“Close”（关闭）“Read”（读）“Write”（写）等类型。

对于恶意代码，我们更关心它创建了什么新的文件，因为这些文件将关系到它的启动、保护等核心技术，因此关注“Write”文件写的操作。

在该实验中，被写入的文件有“inf”和“exe”两种类型。

点击左侧窗口将两种类型展开，可以看到其写入的文件分别是：
C:\autorun.inf
E:\autorun.inf
C:\ntldr.exe
E:\ntldr.exe
显然，这是类似于 U 盘启动式的病毒方法，通过 autorun.inf的配置使得用户打开磁盘时执行相应的可执行文件，从autorun.inf的内容中也可以印证。

2）注册表操作
与文件操作统计相似，通过菜单的相应条目打开 ProcMon 记录的目标进程对注册表的操作。

对注册表的操作，我们也更关心恶意代码新增和修改的注册表项，两者在统计图上均可归属于Write操作类型。

在统计的167个修改的注册表项中，大致可以分为如下三类：一是与系统安全有关，如防火墙设置、UAC 设置、安全软件设置等；二是与恶意代码自启动相关，如HKLM\Software\Microsoft\Windows\CurrentVersion\Run\项、系统服务项等；三是恶意代码可能用到的数据，可以通过在某些注册表项下新增等。

无论是对文件系统还是注册表的修改，都需要记录下来，以便为将来还原系统做好准备。

6.终止进程
启动Process Explorer，进入进程管理界面。

选中目标进程，右键选择菜单“Kill Process”能够终止进程。

如果要查看进程加载的动态链接库，可以选择工具栏中的“View DLL”。

当被终止进程重新启动（或以新进程启动）时，该项可用于查找系统进程中可疑动态链接库，以确定哪个是保护木马进程的动态库。

需要指明的是，只有当守护线程和木马进程同时被终止后，才能开始还原工作。