2012012194信安1202李自然-实验三---木马病毒分析.docVIP

北京信息科技大学 信息管理学院 课程设计报告 课程名称 《计算机病毒分析与防范》课程设计 题 目 木马病毒分析与清除 指导教师 孙 璇 设计起止日期 2015年月日 北京信息科技大学 信息管理学院 （课程设计）实验报告 实验名称 木马病毒分析与清除 实验地点 3-607 实验时间 15.4 课程设计目的： 本次实验要求学生熟练掌握通过操作灰鸽子木马了解并掌握一般木马的使用方式和行为方式。掌握木马的传播和运行机制，通过相关技巧学会防御木马的相关知识。 课程设计内容： 1、将物理机与虚拟机用NAT模式连接，互相ping通。在命令窗口下采用netstat-an命令观察木马服务器在运行前的计算机网络连接情况，并记录。 2、在物理机和虚拟机中关闭杀毒软件和防火墙软件。（灰鸽子是比较早出现的木马软件，一般的杀毒软件都可以清除它。） 3、在灰鸽子控制端对服务端进行配置，生成服务器端。 4、将灰鸽子服务器端用exe-binder与纸牌游戏进行捆绑。 5、在VMWare虚拟机中，运行灰捆绑了灰鸽子的纸牌游戏。 6、在物理机中，运行灰鸽子控制端，并查看服务器端上线情况。 7、使用灰鸽子控制端对服务端进行文件系统、控制命令、发送信息等。 8、观察木马服务器在运行之后的网络连接情况（netstat-an命令），可以看到端口已经开放，说明已经成功在服务器端安装了木马。 9、卸载木马方法： （1）在控制端用远程控制命令卸载服务端。 ?手动方法 （2）在“开始”的“运行”里面输入regedit，打开Windows注册表编辑器。依次打开子键目录HKEY_LOCAL_MACHINE\? SOFTWARE\SYSTEM\CurrentControlSet\Service里找到灰鸽子的注册表项，全部删除。 （3）在window系统目录中找到灰鸽子的病毒体（位置可以参照注册表）? （4）重启虚拟机，验证木马已经完全清除。 课程设计要求： 要求学生独立完成灰鸽子木马服务端和客户端软件的安装，能够熟悉使用netstat命令查看端口开放情况。同时，了解冰河木马的运行痕迹并能够掌握冰河木马的手动清除方法。 实验条件： 虚拟机、灰鸽子软件，exe-binder 实验方法与步骤： 联通物理机与虚拟机，查看进程 虚拟机 物理机 配置灰鸽子生成服务器端 3.捆绑 4.发送捆绑文件给虚拟机并运行 5.使用灰鸽子进行相关动作 6.查看运行木马后的连接情况 7.卸载木马 找到木马注册表 删除后重启 无法捕捉屏幕，无法获取信息 实验总结： 通过这次试验，首先再次练习了用netstat查看机子的连接情况，之后我开始学会灰鸽子的使用配置，也明白了用软件捆绑的方法去加入木马，然后再动手去删除木马，所以我觉得我们在生活中也是要小心，木马无处不在【很好玩的感觉~】 说明： 课程名称、课程设计目的、课程设计内容、课程设计要求由教师确定，实验前由教师事先填好，然后作为实验报告模版供学生使用； 实验条件由学生在实验或上机之前填写，教师应该在实验前检查并指导； 实验过程由学生记录实验的过程，包括操作过程、遇到哪些问题以及如何解决等； 实验总结由学生在实验后填写，总结本次实验的收获、未解决的问题以及体会和建议等； 源程序、代码、具体语句等，若表格空间不足时可作为附录另外附页。 2 1 13