熊貓燒香手工清除實驗

一、實驗目的及要求

1. 瞭解熊貓燒香病毒發作原理

2.學習手工查殺病毒過程

 

二、實驗設備（環境）及要求

   PC機, VC++等,虛擬雲平臺

三、實驗內容與步驟

（1）打開C:\tool\熊貓燒香病毒手工清除實驗文件夾，點擊“setup.exe”；

（2）運行後發現任務管理器打不開，排查可疑進程，發現可疑進程spoclsv.exe；

（3）接下來結束該可疑進程；

（4）查看啓動項，點擊開始-》運行-》msconfig，從中找到病毒在註冊表中的位置；

（5）記住位置，打開註冊表，在相應位置進行刪除；

（6）在cmd下進入C:WINDOWS\system32\drivers目錄下將文件spoclsv.exe刪除；

（7）檢查感染和隱藏的文件，輸入“dir /ah” ，發現隱藏病毒文件後進行刪除，使用“attrib –r –h  –s ”+相應文件名，去除其文件屬性，然後用“del /f”進行刪除操作。

四、實驗結果與數據處理

（1）任務管理器打不開進程百分百

（2）發現可疑進程spoclsv.exe

（3）結束可疑進程

（4）啓動項

（5）在註冊表中刪除病毒

（6）刪除spoclsv.exe

（7）檢查感染和隱藏的文件，並進行刪除；

五、分析與討論

經過這個實驗，我瞭解到了病毒啓動後對主機造成的一些變化，以及病毒具備的一些功能：

1. 躲避查殺能力。例如通過禁用任務管理器
2. 開機啓動，例如寫入註冊表Run中、寫入啓動菜單中。
3. 後門技術。例如我們刪除了感染文件後，病毒往往會通過隱藏文件給自己留下後門。