熊猫烧香手工清除实验

一、实验目的及要求

1. 了解熊猫烧香病毒发作原理

2.学习手工查杀病毒过程

 

二、实验设备（环境）及要求

   PC机, VC++等,虚拟云平台

三、实验内容与步骤

（1）打开C:\tool\熊猫烧香病毒手工清除实验文件夹，点击“setup.exe”；

（2）运行后发现任务管理器打不开，排查可疑进程，发现可疑进程spoclsv.exe；

（3）接下来结束该可疑进程；

（4）查看启动项，点击开始-》运行-》msconfig，从中找到病毒在注册表中的位置；

（5）记住位置，打开注册表，在相应位置进行删除；

（6）在cmd下进入C:WINDOWS\system32\drivers目录下将文件spoclsv.exe删除；

（7）检查感染和隐藏的文件，输入“dir /ah” ，发现隐藏病毒文件后进行删除，使用“attrib –r –h  –s ”+相应文件名，去除其文件属性，然后用“del /f”进行删除操作。

四、实验结果与数据处理

（1）任务管理器打不开进程百分百

（2）发现可疑进程spoclsv.exe

（3）结束可疑进程

（4）启动项

（5）在注册表中删除病毒

（6）删除spoclsv.exe

（7）检查感染和隐藏的文件，并进行删除；

五、分析与讨论

经过这个实验，我了解到了病毒启动后对主机造成的一些变化，以及病毒具备的一些功能：

1. 躲避查杀能力。例如通过禁用任务管理器
2. 开机启动，例如写入注册表Run中、写入启动菜单中。
3. 后门技术。例如我们删除了感染文件后，病毒往往会通过隐藏文件给自己留下后门。