计算机病毒的防治实验报告.docx

计算机病毒的防治实验报告.docx

《计算机病毒的防治实验报告.docx》由会员分享，可在线阅读，更多相关《计算机病毒的防治实验报告.docx（10页珍藏版）》请在冰豆网上搜索。

计算机病毒的防治实验报告

计算机病毒的防治实验报告

篇一：

计算机病毒及其防范技术实验报告计算机病毒及其防范技术课程实验报告项目名称：

对于特定病毒的查杀程序姓名：

雷雨诗日期：

201X年4月22日

一、项目简介：

针对教员给出的病毒源代码（完整版），通过对特征码的扫描的方式，编写的两个专杀程序。

这两个程序分别通过对两种特征码的扫描进行特征码的扫描，其中简化版针对固定函数名的病毒进行查杀，完整版可查杀函数名变化的变种病毒。

二、实现原理：

对于教员给出的病毒，通过分析，得出一种比较简单的查杀方法：

通过对函数名的匹配，找到受感染的文件，定位main函数中插入的病毒函数调用的位置，在该函数前插入“//”将其注释掉，恢复原来函数功能。

intj=FileCde[i2].find（vir;//匹配中毒文件intk=FileCde[i2].find（//vir;//匹配已查杀的文件if（k!

=-1）{cutFindFileData.cFileName已杀！

！

！

\nbreak;}if（j!

=-1）{FileCde[i2].insert（j,////对病毒进行清除cutFindFileData.cFileName清除成功！

！

！

！

\nbreak;}通过交流课，有同学提出可以通过对函数名进行变形的方法躲避查杀。

针对有此特性的病毒，我得出另一种查杀方法，对于非函数名的特征码进行扫描，通过其行为方式进行查杀。

具体来讲，当通过“//STRAT”这一特征码找到病毒后，由于已知该病毒是在main函数后第一的“{”后加入一行病毒调用函数，可通过直接删除改行的方法恢复被感染文件。

if（FileCde[0]==//START）//找到被感染

的文件{cutFindFileData.cFileName:

已携带了病毒!

\nid=1;

}．．．．fr（inti2=InsertLc;i2FileLen;i2++）//对病毒进行清除{intj=FileCde[i2].find（{if（j!

=-1id==1）{}FileCde[i2+1]=// cutFindFileData.cFileName清除成功！

！

！

！

\nbreak;}

三、运行环境ind764位旗舰版（理论上通用于其他系统）编译工具：

MicrsftVisualC++6.0

四、过程演示：

一）简化版

1.对于被感染的文件1.cpp

2.用简化版查杀可知

1.cpp杀毒成功，1

（2）.cpp以被杀过

3.查杀后效果二）完整版

1.杀前1

（2）.cpp文件特征码病毒函数

2.进行杀毒

3.杀毒后代码

篇二：

201X15张三-计算机病毒实验报告计算机与信息学院《计算机病毒与反病毒》实验报告学生姓名：

学号：

专业班级：

计算机科学与技术09-2班201X年5月15日说明

1.本实验报告是《计算机病毒与反病毒》课程成绩评定的重要依据，须认真完成。

2.实验报告严禁出现雷同，每位同学须独立完成。

若发现抄袭，

抄袭者和被抄袭者本课程的成绩均以零分计。

3.实验报告要排版，格式应规范，截图一律采用JPG格式（非BMP格式）。

为避免抄袭，用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。

实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名，是评价报告质量的考量因素。

4.实验报告须说明文字与实验截图相配合，若只有说明文字，或只有截图，则成绩为不及格。

5.只提交实验报告电子版。

在5月31日前，通过电子邮件发送到hfutZRB@16

3.，若三天之内没有收到内容为“已收到”的回复确认Email，请再次发送或电话联系任课老师。

6．为了便于归档，实验报告rd文档的命名方式是“学号姓名-计算机病毒实验报告.dc”，如“201X15张三-计算机病毒实验报告.dc”。

注意：

提交实验报告截止日期时间是实验一程序的自动启动

一、实验目的

（1）验证利用注册表特殊键值自动启动程序的方法；

（2）检查和熟悉杀毒软件各组成部分的自动启动方法。

二、实验内容与要求

（1）在注册表自动加载程序主键中，添加加载目标程序键值（自己指派任意程序），重启操作系统，检查是否能自动成功加载目标程序。

罗列5或5个以上能自动启动目标程序的键值，并用其中某一个启动自己指派的程序。

（2）检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。

三、实验环境与工具操作系统：

indsXP/indsVista/inds7工具软件：

RegEdit.exe，AutRuns，或其他注册表工具软件；杀毒软件四、实验步骤与实验结果

（1）能自动启动目标程序的键值分别有：

①本地系统永久自动启动:

[HKEY_CURRENT_USER\Sftare\Micrsft\inds\CurrentVersin\Run]

②本地系统一次自动启动：

[HKEY_CURRENT_USER\Sftare\Micrsft\inds\CurrentVersin\Runnce]

③硬软件配置的永久自动启动：

[HKEY_CURRENT_MACHINE\Sftare\Micrsft\inds\CurrentVersin\Run]

④硬软件配置的一次自动启动：

[HKEY_CURRENT_MACHINE\Sftare\Micrsft\inds\CurrentVersin\Runnce]⑤系统服务的永久自动启动：

[HKEY_CURRENT_MACHINE\Sftare\Micrsft\inds\CurrentVersin\RunServices]指派程序：

利用[HKEY_CURRENT_MACHINE\Sftare\Micrsft\inds\CurrentVersin\Run]键值启动QQ程序。

①in+R进入注册表打开该位置新建可扩充字符串值,键值名为QQ

自动启动,键值数值为QQ主程序的位置,如图:

②设置完成后,开机重启目测QQ程序是否开机启动,效果如图:

篇三：

201X2686沈显海-计算机病毒实验报告计算机与信息学院《计算机病毒与反病毒》实验报告学生姓名：

沈显海学号：

专业班级：

201X年5月5日说明

1.本实验报告是《计算机病毒与反病毒》课程成绩评定的重要依据，须认真完成。

2.实验报告严禁出现雷同，每位同学须独立完成。

若发现抄袭，抄袭者和被抄袭者本课程的成绩均以零分计。

3.实验报告要排版，格式应规范，截图一律采用JPG格式（非BMP格式）。

为避免抄袭，用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。

实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名，是评价报告质量的考量因素。

4.实验报告须说明文字与实验截图相配合，若只有说明文字，或只有截图，则成绩为不及格。

5.只提交实验报告电子版。

在5月31日前，通过电子邮件发送到hfutZRB@16

3.，若三天之内没有收到内容为“已收到”的回复确认Email，请再次发送或电话联系任课老师。

6．为了便于归档，实验报告rd文档的命名方式是“学号姓名-计算机病毒实验报告.dc”，如“201X15张三-计算机病毒实验报告.dc”。

注意：

提交实验报告截止日期时间是时提交实验报告，导致课程成绩为

“缺考”的，责任自负。

实验一程序的自动启动

一、实验目的

（1）验证利用注册表特殊键值自动启动程序的方法；

（2）检查和熟悉杀毒软件各组成部分的自动启动方法。

二、实验内容与要求

（1）在注册表自动加载程序主键中，添加加载目标程序键值（自己指派任意程序），重启操作系统，检查是否能自动成功加载目标程序。

罗列5或5个以上能自动启动目标程序的键值，并用其中某一个启动自己指派的程序。

（2）检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。

三、实验环境与工具操作系统：

indsXP/indsVista/inds7工具软件：

RegEdit.exe，AutRuns，或其他注册表工具软件；杀毒软件四、实验步骤与实验结果

1、按照两个文件夹和9个核心注册表子键来自动加载程序的。

一、按照两个文件夹的方法1）“启动”文件夹－－最常见的自启动程序文件夹。

它位于系统分区的“DcumentsandSettings－－User－－〔开始〕菜单－－程序”目录下。

实验示例:

将QQ旋风快捷方式放入文件夹实现自动加载。

2）“AllUsers”中的自启动程序文件夹－－另一个常见的自启动程序文件夹。

位于系统分区的“DcumentsandSettings－－AllUser－－〔开始〕菜单－－ 程序”目录下。

前面提到的“启动”文件夹运行的是登录用户的自启动程序，而“AllUsers”中启动的程序是在所有用户下都有效实验示例：

将快播快捷方式放入此文件夹实现自动加载。

二、利用注册表子键来实现（其中用第

一、八个作为示例）1）“Lad”键值－－一个埋藏得较深的注册表键值。

位于〔HKEY_CURRENT_USER

\Sftare\Micrsft\indsNT\CurrentVersin\inds\lad〕主键下。

将打开目录C:

\沈显海\病毒设置为自动加载2）“Userinit”键值

－－它则位于〔HKEY_LCAL_MACHINE

\Sftare\Micrsft\indsNT\CurrentVersin\inlgn\Userinit〕主键下，也是用于系统启动时加载程序的。

一般情况下，其默认值为“userinit.exe”，由于该子键的值中可使用逗号分隔开多个程序，因此，在键值的数值中可加入其它程序。

3）“Explrer\Run”键值

－－与“lad”和“Userinit”两个键值不同的是，

“Explrer\Run”同时位于〔HKEY_CURRENT_USER〕和

〔HKEY_LCAL_MACHINE〕两个根键中。

它在两个中的位置分别为

〔HKEY_CURRENT_USER\

Sftare\Micrsft\inds\CurrentVersin\Plicies\Explrer\Run〕和

〔HKEY_LCAL_MACHINE\Sftare\Micrsft\inds\CurrentVersin\Plicies\Explrer\Run〕下。

4“RunServicesnce”子键－－它在用户登录前及其它注册表自启动程序加载前面加载。

这个键同时位于

〔HKEY_CURRENT_USER（来自:

.smhaida.Cm海达范文网:

计算机病

毒的防治实验报告）〕和

\Sftare\Micrsft\inds\CurrentVersin\RunServicesnce

〔HKEY_LCAL_MACHINE\Sftare\Micrsft\inds\CurrentVersin\RunServicesnce〕下。

5）“RunServices”子键－－它也是在用户登录前及其它注册表自启动程序加载前面加载。

这个键同时位于

〔HKEY_CURRENT_USER〕和

\Sftare\Micrsft\inds\CurrentVersin\RunServices

〔HKEY_LCAL_MACHINE\Sftare\Micrsft\inds\CurrentVersin\RunService