计算机病毒学
实验指导书
李笑平 编
淮阴工学院计算机工程学院
2008年12月
实验1 debug调试工具的使用
1、实验目的与要求
掌握debug工具的启动、debug中的一些基本命令的使用,会使用debug命令对内存、磁盘、或文件进行操作,能用debug工具对内存中、磁盘上、文件中的数据进行分析。
2、实验仪器与环境
IBM-PC机一台,配置:Intel Pentium4 CPU、128MB以上内存、DOS或Windows操作系统,debug调试工具。
3、实验内容与步骤
启动debug的方法:从【开始】菜单中进入到【运行】,如图1、图2所示
图1
图2
在命令行中键入“cmd“,点击【确定】,则进入图3
图3
在图3的Dos命令提示符后键入“debug”,然后回车,则进入到debug的调试环境。如图4、图5所示。
图4
图5
用debug打开某个文件进入调试环境的方法是,在debug命令后键入这个文件的全路径和文件名,如图6、图7所示。
图6
图7
显示寄存器命令:
格式:r
使用方法:在debug操作提示符后键入r,然后回车即可。具体如图8、图9所示。
图8
图9
退出debug环境的命令:
格式:q
使用方法:在debug操作提示符后键入q,然后回车即可。具体如图10、图11所示。
图10
图11
汇编命令:
格式:A 地址,
使用方法:在debug的操作提示符后键入a和内存地址,然后回车即可,如图12、图13所示
图12
图13
然后我们可以把一些汇编命令直接输入到相应的内存单元中,如图14所示。
图14
比较命令:
格式:c 范围 地址
使用方法:在debug的操作提示符后键入c和内存范围及要比较的第二块内存单元的地址。具体可如图15、图16所示。
图15
图16
显示命令:
格式:d 地址 或 d 范围
例如:我们先在c盘的根目录下创建一个a.txt文件,文件内容如下图所示:
则我们可以用debug打开这个文件,命令序列如下:
C:\>debug c:\a.txt
-d ds:100 200
得到的结果会如下图所示
对debug的其他一些命令的使用请详见教材P198~P207。
4、实验思考题
试述你对本次实验的体会及收获。
实验2 典型病毒的检测
1、实验目的
掌握典型病毒的检测方法,掌握现今流行的熊猫烧香病毒的检测方法,掌握现今流行的威金病毒的检测方法。
2、实验环境
微机1台(P4以上处理器,256MB以上内存,Windows9x\2000\XP操作系统),熊猫烧香病毒样本、威金病毒样本,熊猫烧香病毒专杀工具、威金病毒专杀工具,VMWare虚拟机软件。
3、实验步骤与方法
3.1、熊猫烧香病毒的检测
备好病毒样本
先准备一张含有熊猫烧香病毒的软盘或光盘,或带有熊猫烧香病毒的U盘。
运行VMWare虚拟机软件。
为了整个计算机本身的安全或整个实验室系统的安全,让实验在虚拟的环境下进行,
检测干净系统
种植熊猫烧香病毒
插入含有熊猫烧香病毒的U盘、光盘或者软盘,点击含有熊猫烧香病毒文件夹下的setup.exe文件,这时就将熊猫烧香病毒种植到计算机系统中了。
检测中毒后的系统
得出实验结论
3.2、威金病毒的检测
备好病毒样本
先准备一张含有威金病毒的软盘或光盘,或带有威金病毒的U盘。
运行VMWare虚拟机软件。
为了整个计算机本身的安全或整个实验室系统的安全,让实验在虚拟的环境下进行,
检测干净系统
种植威金病毒
插入含有威金病毒的U盘、光盘或者软盘,点击含有威金病毒文件夹下的威金文件,这时就将威金病毒种植到计算机系统中了。
检测中毒后的系统
实验结论
实验3 典型病毒的清除
1、实验目的
掌握典型病毒的清除,掌握现今流行的熊猫烧香病毒的清除方法,掌握现今流行的威金病毒的清除方法。
2、实验环境
微机1台(P4以上处理器,256MB以上内存,Windows9x\2000\XP操作系统),熊猫烧香病毒样本、威金病毒样本,熊猫烧香病毒专杀工具、威金病毒专杀工具。
3、实验步骤与方法
3.1、熊猫烧香病毒的清除
熊猫症状表现为:
某些EXE文件的图标被改成一个座立的熊猫手里捧着三根香,因此得名,
隐藏文件属性无法修改,即显示所有隐藏文件的勾选去掉也不能显示隐藏文件;
双击分区盘符无法打开显示内容,必须通过右键打开才可以打开;
如果你的电脑出现以上症状那一定是中着了!可以通过以下手工删除(删除前断开网络)
手工清除:
(2.1) 清除病毒
第一步:点击“开始--运行”,输入"ntsd -c q -pn spoclsv.exe"并确定,结束病毒的进程。(或进入到文件夹c:\windows(Windows2000下为winnt, windowsXP下为windows)\system32\drivers中修改s