病毒分析及查杀

《病毒分析及查杀》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、实训5病毒分析及查杀—、实训背景机房复杂环境中，u盘病毒广泛传播，通过工具软件对计算机病毒进行分析及手动查杀。二、实训目的1.通过分析病毒，了解一般病毒的运行思路。2.掌握分析类软件的使用。3.了解开机启动项冃，并进行优化。4.手动查杀病毒。三、实训步骤1.进入虚拟环境，运行指定病毒，观察病毒运行效果。2.通过观察病毒运行效果决定杏杀思路。3.通过注册表比较工具，比较病毒运行询后注册表变化。4.使用EQ软件跟踪病壽运行产生文件。5.删除启动项目。6.手动删除病毒。四、注意事项1.注册表工具使用需注意比较前为纯净系统环境2.使用E

2、Q软件进行分析，注意软件版本3.注意关闭病毒进程4.注意病毒大小用字节计算实验报告实验冃的：演示病毒发作过程及杀毒方法在虚拟机里完好的系统用regshot182_src_bin备份注册表，待到运行病毒后再捉収一份进行对比（如下图）；HKLMSOFTWAREMicrosoftWindowsNTCurrEntUErsionWinlogonUsErinit::aaC:WIND0WSs^stefn32userinit.exe/a^^^^^^^^^^^^^^^^^^

3、HKLMSOFTWAREMicrosoFtWin

4、dowsNTCurrentUersionWinlogonUserinit:"Userinitf"C:ProgranFilesWindowsMediaPlayer542ade6b36dOF1叭3216Eb55985dd74EE3Utorun.inFsuchost.EXE[I0X3B2B00O2二般非常规的超长文件夹就是这病毒的母体路径及注册表键值，屮毒的文件如下下而我们开始杏杀病毒，用SREngLdr.EXE软件把病毒注册表键值删除21A4C5F73CB3

5、匚I区I关于SREng启动项目注册表启动文件夹计划任务服务Boot,ini启动项目[U系统修复智能扫描扩展字名0叼叼叼□□叼叼叼0叼

6、E：C:WIND0WSsystem32msconfig.ex..・HKEY.LBCALJrtACHINEK：系统还原必须;C:ProgramFileshomegho.exeHKEYSCALMACHINE：UserinitUserinit‘"C:PrQgrajnFilesVWind.・・HKEY_D3CALJ.1ACMINE：{AEB6717E-7E19-11...shell32.dllHKEYLJ3CALMACHINE：PostBootReminder%SystemRoot%system32SHELL3

7、2.dllHKEYLJ3CALMACHINE：CDBurn%SystemRoot%system32SHELL32.dllHKEYLJ3CALMACHINE：WebCheck%SystemRoot%system32webcheck.dllHKEY_LJ3CALJrtACHINE：">1EQSysSecure:C:DocumentsandSettingsAdm...HKEY_LOCAL_MACHINE：neqsyssecure・exeN/A帮助I新逹]编辑大小：0KB时间：版本：n删除jcigQndowsXPPr

8、ofessionalServicePack3(Build2600)SysteBRepairEngineer2.8.2.1321Smallfrogs设计。保留所有权利。把病毒进程关闭（svchost.exe用户为administration的进程）Spindovs任务管理器口回冈文件g）选项©查看辺关机帮助应用程序进程映像名称丄用户名CPU内存使用svchost.exeSYSTEM0023,144Kwinlogon.exeSYSTEM0011,752Kexplorer・exeAdministraLtor0011,220Kcsrss

9、.exeSYSTEM006,740Kspoolsv.exe005,904K[svchost.exeAdministr^tor005,636K

10、性能联网用户taskmgr.exesvchost.exeVMwareUser.exesvchost.exesvchost