计算机与信息学院《计算机病毒与反病毒》课程作业学生姓名：徐文锋学号：20112529专业班级：计算机11-3班2014 年06 月24 日说明1．本课程作业报告是《计算机病毒与反病毒》课程成绩评定的重要依据，须认真完成。

2．报告内容严禁出现雷同，每位同学须独立完成。

若发现抄袭，抄袭者和被抄．．．．．．．．．．．．袭者本课程的成绩均以零分．．．．．．．．．．．．计．。

3．要排版，格式应规范，截图一律采用JPG格式（非BMP格式）。

为避免抄袭，用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。

实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名，是评价报告质量的考量因素。

4．说明文字与实验截图相配合，若只有说明文字，或只有截图，则成绩为不及格。

5．只提交报告电子版。

在规定的日期内，通过电子邮件发送到hfutZRB@，若三天之内没有收到内容为“已收到”的回复确认Email，请再次发送或电话联系任课老师。

6．为了便于归档，实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”，如“201112345张三-计算机病毒课程报告.doc”。

注意：提交报告截止日期以QQ群通知时间为准(一般在考试周下周周三)，若因没有及时提交实验报告，导致课程成绩为“缺考”的，责任自负。

实验一程序的自动启动一、实验目的（1）验证利用注册表特殊键值自动启动程序的方法；（2）检查和熟悉杀毒软件各组成部分的自动启动方法。

二、实验内容与要求（1）在注册表自动加载程序主键中，添加加载目标程序键值（自己指派任意程序），重启操作系统，检查是否能自动成功加载目标程序。

罗列5或5个以上能自动启动目标程序的键值，并用其中某一个启动自己指派的程序。

（2）检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。

三、实验环境与工具操作系统：Windows XP/Windows Vista/Windows 7工具软件：RegEdit.exe，AutoRuns，或其他注册表工具软件；杀毒软件四、实验步骤与实验结果一）按启动文件夹的方法1、“启动”文件夹是最常见的自启动文件夹。

可以打开“开始”菜单—>“所有程序”，在所有程序里面可以找到“启动”文件夹找到“启动”文件夹的位置，在其中加入WPS的word的快捷方式，就可以在电脑开机时自启动word了在AutoRuns中可以看到如下图中的结果，WPS文字的快捷方式在自启动项中。

二）利用注册表键值来实现程序的自启动1、“Run”键值--在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run新建一个wps_excel 数值数据为“C:\Program Files\Kingsoft\WPS Office Personal\office6\et.exe”可以实现WPS表格的自启动。

在AutoRuns中可以看到下图内容：2、“Load”键值--将HKCU\Software\Microsoft\Windows NT\CurrentVersion \Windows\Load中的数值数据更改为C:\Program Files\Kingsoft\WPS Office Personal\office6\wpp.exe”，在AutoRuns中可以看到下图内容：3、“Userinit”键值--用户可以在HKEY_LOCAL_MacHINE\SOFTWARE\Microsoft \WindowsNT\CurrentVersion\Winlogon\Userinit 中添加自启动程序4、在HKCU\Software\Microsoft\Windows\CurrentVersion\Run 新一个建了ppt键值，其数值数据为“c:\program files\kingsoft\wps office personal\office6\wpp.exe”，可实现WPS幻灯片程序的自启动。

5、在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit中可以添加自启动程序6、“RunOnce”键值--在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup新建一个“金山卫士”键值，其数值数据为"C:\Program Files\ksafe\KSafe.exe"，可以实现“金山卫士”程序的自启动重启之后，先后启动了WPS文字，金山卫士，WPS表格和WPS幻灯片。

五、思考题杀毒软件为什么要分成几个部分各自自动启动？答：杀毒软件的各个进程相互监视，以免病毒杀掉杀毒软件进程，终止杀毒软件杀毒。

杀毒软件自动启动过程分为两个部分：一、修改RUN子键值启动的托盘程序；二、修改Services中子键值实现自动启动的驱动核心程序。

Services是Windows中加载的服务，它的级别较高，用于最先加载。

即使用户进入计算机开始工作之前杀毒软件核心部分已经开始运行，进行了系统关键位置的扫描清楚。

保证了在病毒自动加载运行之前将其杀掉。

系统托盘程序主要用途是方便用户图形处理的工具，为了不影响用户开机速度故应该放在最后启动。

六、实验体会与小结本次实验中所采用的是win7虚拟机。

遇到的问题，起初在“Load”键值中的数值数据中填入的程序目标位置，结果程序不能够在启动时执行，后来将其改成了安装位置的路径，程序自启动成功。

通过这次实验，知道了多种让程序自启动的方法。

对于杀毒软件的的自启动程序过程也有了了解。

也了解了计算机病毒的最基础最本质的东西：利用注册表特殊键值自动启动程序的方法，有很大收获。

实验二熊猫烧香病毒分析与手工清除一、实验目的（1）了解熊猫烧香病毒对系统注册表、文件系统的破坏；（2）熟悉和掌握计算机病毒的感染分析法，及手工清除PE病毒的基本方法。

二、实验内容与要求（1）利用注册表监视软件监视、记录熊猫烧香病毒对注册表的修改行为。

（2）熊猫烧香病毒启动后，启动注册表编辑器RegEdit.exe和任务管理器taskmgr.exe，观察病毒对这两个系统工具软件的处理。

（3）在C盘根目录下新建123.txt文件，打开该文件，在其中随意输入n 的字符后保存并关闭文件。

将该文件重命名为123.gho。

启动熊猫烧香病毒，观察文件123.gho的变化，观察、记录硬盘中exe文件的图标的变化。

（4）参照课本第5章中PE病毒分析与清除的相关内容，分析某一PE文件被熊猫烧香病毒感染前后的变化，并借助PE文件工具软件手工清除该PE文件中的熊猫烧香。

（加分项，尽量做．．．．．．．）三、实验环境与工具操作系统：基于虚拟机的Windows XP/Windows Vista/Windows 7工具软件：LordPE，PEditor，或其它PE工具软件四、实验步骤与实验结果1、打开注册表监视软件监视Registry monitor、记录熊猫烧香病毒对注册表的修改行为。

2、打开了注册表regedit，启动任务管理器taskmgr，当运行熊猫烧香程序后，注册表和任务管理器会被强制关闭。

再次打开注册表会发现注册表树形折叠在一起，熊猫烧香程序会在注册表Run的子键下添加自启动键值HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe。

其后对比图片如下：运行前：运行后：3、在C盘根目录下新建123.txt文件，打开该文件，在其中随意输入n的字符后保存并关闭文件。

将该文件重命名为123.gho。

运行熊猫烧香后会发现123.gho文件会被删除：磁盘中的exe文件的图标会变成熊猫烧香图标4、运行PEditor对C:\funny.exe程序的观察如下图：运行前：运行后：对比可以发现文件的入口点，时间日期标志等会发生改变。

五、思考题（1）PE文件被熊猫烧香病毒感染后，为什么图标会变成烧香的熊猫图标？答：熊猫烧香运行时总会有自己的图标，为了遮人耳目将所有的运行程序都一律更改为烧香熊猫，使得用户查找自身比较困难。

其实，最好的方法是木马在感染应用程序时保持原有的图标。

这不仅需要定位可运行文件中PE头中的图标资源位置还要判断用户运行的程序中的图标是众多图表中的哪一个。

这一步定位用户程序正在使用的图标很困难。

故直接选择自己的图标资源数据将原来的数据替换。

六、实验体会与小结在本次实验中，我起初运行的虚拟机是win7系统，后来发现registry monitor运行不起来，无法较好的观察到熊猫烧香病毒对注册表的修改，于是改用了XP系统。

在XP系统上由于刚开始的时候没有使用PEditor对PE文件的进行记录，导致实验结束后使用PEditor对PE文件进行的记录没有参照对象，对熊猫烧香病毒对文件的入口点等位置影响没有很好的对比，是此次实验中的失误。

故而没能成功手工杀除该病毒。

在此次实验中，真心感觉得到了病毒的强大，短小的29.2K的病毒程序，造成的破坏会这么大，在我的虚拟机中，注册表被修改，360解压缩程序失效，有些的程序无法运行起来。

通过这次试验，我获得的知识比较多，病毒对注册表的篡改，病毒的危害之类的都有了很直接的感受。

实验三键盘记录型木马一、实验目的（1）熟悉和掌握木马的基本原理，体验木马与狭义病毒的差别；（2）熟悉手工查杀木马的基本方法。

二、实验内容与要求（1）启动并配置木马。

（2）新建记事本文件，在文件中键入、删除字符，用光标键等改变键盘输入位置继续键入、删除字符；查看木马记录结果是否与记事本文档的编辑动作一致。

（3）启动包含输入框、按钮等控件的程序（如MakeSeal.exe），在其界面中输入字符或点击界面中控件；查看木马记录结果与操作记录是否一致。

（4）启动包含输入登录帐号和登录密码的程序（如QQ登录），在界面中输入帐号和密码；查看木马记录结果与操作是否一致。

（5）用Fport检查是否存在异常端口。

三、实验环境与工具操作系统：基于虚拟机的Windows XP/Windows Vista/Windows 7木马：SC-KeyLog2四、实验步骤与实验结果1、启动配置SC-KeyLog2配置完成后启动2、启动后会在C：\下生成一个funny.exe文件3、新建记事本文件，在文件中键入、删除字符，用光标键等改变键盘输入位置继续键入、删除字符；查看木马记录结果是否与记事本文档的编辑动作一致。