20092686沈显海-计算机病毒实验报告

计算机与信息学院《计算机病毒与反病毒》实验报告学生姓名：沈显海学号：20092686专业班级：计算机09—2班2012年5月5日说明1．本实验报告是《计算机病毒与反病毒》课程成绩评定的重要依据，须认真完成。2．实验报告严禁出现雷同，每位同学须独立完成。若发现抄袭，抄袭者和被抄袭者本课程的成绩均以零分计。3．实验报告要排版，格式应规范，截图一律采用JPG格式（非BMP格式）。为避免抄袭，用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名，是评价报告质量的考量因素。4．实验报告须说明文字与实验截图相配合，若只有说明文字，或只有截图，则成绩为不及格。5．只提交实验报告电子版。在5月31日前，通过电子邮件发送到hfutZRB@163.com，若三天之内没有收到内容为“已收到”的回复确认Email，请再次发送或电话联系任课老师。6．为了便于归档，实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”，如“200912345张三-计算机病毒实验报告.doc”。注意：提交实验报告截止日期时间是2012年5月31日下午5点，若因没有及时提交实验报告，导致课程成绩为“缺考”的，责任自负。实验一程序的自动启动一、实验目的（1）验证利用注册表特殊键值自动启动程序的方法；（2）检查和熟悉杀毒软件各组成部分的自动启动方法。二、实验内容与要求（1）在注册表自动加载程序主键中，添加加载目标程序键值（自己指派任意程序），重启操作系统，检查是否能自动成功加载目标程序。罗列5或5个以上能自动启动目标程序的键值，并用其中某一个启动自己指派的程序。（2）检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。三、实验环境与工具操作系统：WindowsXP/WindowsVista/Windows7工具软件：RegEdit.exe，AutoRuns，或其他注册表工具软件；杀毒软件四、实验步骤与实验结果1、按照两个文件夹和9个核心注册表子键来自动加载程序的。一、按照两个文件夹的方法1）“启动”文件夹－－最常见的自启动程序文件夹。它位于系统分区的“DocumentsandSettings－－User－－〔开始〕菜单－－程序”目录下。实验示例:将QQ旋风快捷方式放入文件夹实现自动加载。2）“AllUsers”中的自启动程序文件夹－－另一个常见的自启动程序文件夹。位于系统分区的“DocumentsandSettings－－AllUser－－〔开始〕菜单－－程序”目录下。前面提到的“启动”文件夹运行的是登录用户的自启动程序，而“AllUsers”中启动的程序是在所有用户下都有效实验示例：将快播快捷方式放入此文件夹实现自动加载。二、利用注册表子键来实现（其中用第一、八个作为示例）1）“Load”键值－－一个埋藏得较深的注册表键值。位于〔HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load〕主键下。将打开目录C:\沈显海\病毒设置为自动加载2）“Userinit”键值－－它则位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit〕主键下，也是用于系统启动时加载程序的。一般情况下，其默认值为“userinit.exe”，由于该子键的值中可使用逗号分隔开多个程序，因此，在键值的数值中可加入其它程序。3）“Explorer\Run”键值－－与“load”和“Userinit”两个键值不同的是，“Explorer\Run”同时位于〔HKEY_CURRENT_USER〕和〔HKEY_LOCAL_MACHINE〕两个根键中。它在两个中的位置分别为〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下。4“RunServicesOnce”子键－－它在用户登录前及其它注册表自启动程序加载前面加载。这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下。5）“RunServices”子键－－它也是在用户登录前及其它注册表自启动程序加载前面加载。这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices〕下。6）“RunOnce\Setup”子键－－其默认值是在用户登录后加载的程序。这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕下。7）“RunOnce”子键－－许多自启动程序要通过RunOnce子键来完成第一次加载。这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce〕下。位于〔HKEY_CURRENT_USER〕根键下的RunOnce子键在用户登录扣及其它注册表的Run键值加载程序前加载相关程序，而位于〔HKEY_LOCAL_MACHINE〕主键下的Runonce子键则是在操作系统处理完其它注册表Run子键及自启动文件夹内的程序后再加载的。在WindowsXP中还多出一个〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEX〕子键，其道理相同。8）“Run”子键－－目前最常见的自启动程序用于加载的地方。这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run〕下。其中位于〔HKEY_CURRENT_USER〕根键下的Run键值紧接着〔HKEY_LOCAL_MACHINE〕主键下的Run键值启动，但两个键值都是在“启动”文件夹之前加载。将C:\沈显海\病毒\QQ影音.exe设置为自动加载三、重启计算机验证结果：一、我们可以从中了解：第一步自动加载的是Load主键值，第二步是Run子键，第三步是AllUser文件夹，最后是User文件夹。二、360杀毒的系统托盘程序、底层驱动程序等组成部分的自动启动方式。1)系统托盘程序通过修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run子键值实现自动启动。2)底层驱动程序等核心程序通过修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\中的一些子键值实现自动启动五、思考题杀毒软件为什么要分成几个部分各自自动启动？答：首先，360杀毒软件自动启动过程分为两个部分：一、修改RUN子键值启动的托盘程序；二、修改Services中子键值实现自动启动的驱动核心程序。Services是Windows中加载的服务，它的级别较高，用于最先加载。即使用户进入计算机开始工作之前杀毒软件核心部分已经开始运行，进行了系统关键位置的扫描清楚。保证了在病毒自动加载运行之前将其杀掉。系统托盘程序主要用途是方便用户图形处理的工具，为了不影响用户开机速度故应该放在最后启动。六、实验体会与小结很多东西一开始很不熟悉，也不会做，一步一步慢慢学习操作，在不知不觉中对计算机有了很多的了解和掌握，特别是对计算机的注册表，知道有什么作用。经过本次的实验，了解了计算机病毒的最基础最本质的东西：利用注册表特殊键值自动启动程序的方法；更多的熟悉杀毒软件各组成部分的自动启动方法。实验二含特殊字符文件/文件夹的建立与删除一、实验目的（1）熟悉和掌握含特殊字符文件/文件夹的建立/删除方法；（2）熟悉和掌握优盘病毒的免疫方法。二、实验内容与要求（1）利用DOS命令新建包含转义字符等不可见字符的文件或文件夹，进入新建的文件夹并建立以自己的学号或姓名为文件名的记事本文件．．．．．．．．．．．．．．．．．．．．．；删除新建的文件夹。（为了避免在硬盘中留下大量垃圾文件/文件夹，建议在虚拟机中做实验）（2）检查优盘根目录或C盘根目录是否存在以“Autorun.inf”为名字的文件夹；用工具软件对优盘或C盘进行免疫处理，再次检查优盘或C盘根目录中是否存在上述文件夹；分析上述文件夹中特殊文件的文件名，并用DOS命令删除上述文件夹。三、实验环境与工具操作系统：基于虚拟机的WindowsXP/WindowsVista/Windows7工具软件：SSafer.exe四、实验步骤与实验结果一、利用DOS命令新建包含转义字符等不可见字符的文件或文件夹，进入新建的文件夹并建立以自己的学号或姓名为文件名的记事本文件；删除新建的文件夹。1）新建包含特殊字符的文件夹：20092686.命令：md20092686.2)进入文件夹创建20092686.txt,首先在C盘创建一个20092686.txt，写入学号姓名：20092686沈显海然后复制到20092686.文件夹下3）删除文件夹：rd/q/s20092686..\二、检查优盘根目录或C盘根目录是否存在以“Autorun.inf”为名字的文件夹；用工具软件对优盘或C盘进行免疫处理，再次检查优盘或C盘根目录中是否存在上述文件夹；分析上述文件夹中特殊文件的文件名，并用DOS命令删除上述文件夹。1）查看C盘是否存在Autorun.inf文件夹：不存在。2）使用SSafer对本地C盘免疫保护，免疫成功后产生了一个隐藏属性的Autorun.inf文件夹3）删除此文件的DOS命令：RD/Q/SC:\Autorun.inf\免疫目录..五、思考题（1）含特殊字符的文件夹，为什么不能用鼠标双击访问？答：如提示的信息，含有特殊字符的文件夹系统会默认认为是引用本机或者网络上的硬盘驱动器，无法建立起连接。（2）SSafer.exe对优盘进行免疫的原理是什么？答：优盘病毒病毒实现自我运行必定要有Autorun.inf文件控制对自动运行的加载。如果我们提前新建了此文件名的文件夹则病毒的此文件就会由于重名而不能创建从而不能激活病毒。同时，在我们创建的此文件夹下创建一个特出文件夹是为了防止病毒自带一个删除程序，在不打开DOS界面的情况下是不能够把特殊文件夹删除的。从而达到了对优盘的安全免疫。六、实验体会与小结通过本次实验是熟悉DOS命令下创建在Windows下的包含特殊字符的文件夹，通过此途径可以实现很多用户特殊的需求，加强对病毒的免疫功能，发现了这种文件夹的好