【实验目的】
(1)掌握针对Windows系统下木马病毒的手工查杀方法。
(2)针对木马病毒的常用防范措施。
【预备知识】
(1)了解木马病毒的概念及其基本特征。
(2)掌握木马病毒的手工清除方法。
(3)掌握针对木马病毒的防范措施。
【实验环境】
局域网,实验终端需安装360安全卫士。
【实验工具】
【实验用时】
30分钟/实例。
【实验过程与步骤】
(1)先同时按下ctrl、alt、del三键,或者右键单击“开始”菜单,单击点选任务管理器开启任务管理器,点选“进程”选项卡,查找是否存在Kernel32.exe,如图4.4.1所示,确认本机可能被冰河木马所感染。
(2)点击“开始”菜单,在运行界面中,输入“regedit”,单击“确定”,如图4.4.2所示。
图4.4.1 Windows任务管理器
图4.4.2 运行
(3)进入注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,双击右侧窗口的(默认)键值,如图4.4.3所示。
(4)可以看见数值数据已经被改变,被指向到木马程序,如图4.4.4所示。在正常情况下该参数应为空,点击“确定”。
图4.4.3 注册表编辑器
图4.4.4 编辑字符串
(5)右键单击(默认),选择“删除”,如图4.4.5所示。
(6)弹出如图4.4.6所示界面,点击“是”。
图4.4.5 注册表编辑器
图4.4.6 确认数值删除
(7)进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices,双击右侧(默认),如图4.4.7所示。
(8)可以看见数值数据已经被改变,被指向到木马程序,如图4.4.8所示。在正常情况下该参数应为空,点击“确定”。
图4.4.7 注册表编辑器
图4.4.8 编辑字符串
(9)右键单击(默认),选择“删除”,如图4.4.9所示。
(10)弹出如图4.4.10所示界面,点击“确定”
图4.4.9 注册表编辑器
图4.4.10 确认数值删除
(11)删除后的效果如图4.4.11所示。
(12)进入\HKEY_CLASSES_ROOT\txtfile\shell\open\command,双击(默认),查看键值,如图4.4.12所示。
图4.4.11 注册表编辑器
图4.4.12 注册表编辑器
(13)可以看见数值数据已经被改变,被指向到木马程序,如图4.4.13所示。在正常情况下该参数应为C:\WINDOWS\notepad.exe %1。
(14)将键值修改为正确的配置,即C:\WINDOWS\notepad.exe %1,如图4.4.14所示。(www.xing528.com)
图4.4.13 编辑字符串
图4.4.14 编辑字符串
(15)修改完成后效果如图4.4.15所示。
(16)同时按下ctrl、alt、del三键,启动Windows任务管理器,点选“进程”选项卡,找到木马进程,如图4.4.16所示。
图4.4.15 注册表编辑器
图4.4.16 Windows任务管理器
(17)右键单击,选择结束进程,如图4.4.17所示。
(18)弹出如图4.4.18所示界面,点击“是”。
图4.4.17 Windows任务管理器
图4.4.18 任务管理器警告
(19)木马进程已经被结束,如图4.4.19所示。
(20)打开“我的电脑”,如图4.4.20所示。
图4.4.19 结束木马进程
图4.4.20 我的电脑
(21)进入c盘下WINDOWS\system32目录,如图4.4.21所示。
(22)找出木马程序Kernel32.exe,右键单击,选择“删除”,或者按下delete键,如图4.4.22所示。
图4.4.21 system32目录
图4.4.22 删除木马程序
(23)点击“是”,如图4.4.23所示。
(24)找出木马程序Sysexplr.exe,右键单击,选择“删除”,或者按下delete键,如图4.4.24所示。
图4.4.23 确认文件删除
图4.4.24 删除木马程序
(25)点击“是”,如图4.4.25所示。
(26)右键单击回收站,选择清空回收站,如图4.4.26所示。
图4.4.25 确认文件删除
图4.4.26 清空回收站
(27)点击“是”,如图4.4.27所示。
(28)回收站已经被清空,如图4.4.28所示。
图4.4.27 确认删除多个文件
图4.4.28 回收站已清空
注释:如果在删除文件的时候,按住shift键将会直接删除文件而不会放进回收站。
【作业】
1.DDoS攻击防范的方法有哪些?
2.主机感染病毒后应该怎么做?
3.完成实验报告。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
