Ｄｅｌｐｈｉ编程实现ｆｕｎ．ｘｌｓ．ｅｘｅ病毒查杀.docVIP

Ｄｅｌｐｈｉ编程实现ｆｕｎ．ｘｌｓ．ｅｘｅ病毒查杀 　　摘要：在对fun.xls.exe变种病毒分析基础上，结合Delphi技术，提出了该病毒的查杀思路，并实现了对该病毒的查杀。 　　关键词：Delphi；病毒；进程；注册表 　　中图分类号：TP312文献标识码：A文章编号：1009-3044(2008)17-21412-01 　　 　　近来，学校多媒体教室、学校机房电脑纷纷中了一种未知的计算机病毒，中病后的症状为：1)病毒进程会自动有哪些信誉好的足球投注网站每个磁盘的根目录，获得所有文件夹目录名，将这些文件夹属性设置为隐藏，并生成一个与文件同名的EXE文件，并采用文件夹的图标，来达到欺骗用户点击的目的。2)每个磁盘的根目录生成AutoRun.inf、fun.xls.exe、.exe文件，以达到打开磁盘自动运行的目的。3)杀毒软件实时监控自动关闭并无法打开、禁用任务管理器、占用大量内存资源计算机运行速度缓慢。4)可以通过移动磁盘进行传播。5)病毒进程修改注册表键值，实现随机启动、阻止用户查看隐藏文件等目的，严重影响了正常的教学工作的进行。经过分析，此病毒为fun.xls.exe病毒的一个新变种，在针对此病毒研究基础上，采用Delphi为编程工具，在WinXP平台下实现了对fun.xls.exe病毒的查杀。 　　 　　1 病毒分析 　　 　　计算机病毒概括起来讲就是具有破坏性的程序或一组计算机指令，计算机病毒一般都具有潜伏、传染、触发、破坏等多种机制，但其传染机制反映了病毒程序最基本的特征；本文从进程、注册表、自我保护等计算机病毒常用的技术手段方面进行分析，提出了fun.xls.exe病毒的查杀的基本思路。 　　1.1 进程分析 　　所谓进程就是应用程序的一个运行实例，每个进程都有表示其存在的实例句柄，计算机病毒在Windows系统中表现为一个或多个进程。fun.xls.exe病毒，使用 Explorer.exe为进程名，名字和系统核心进程explorer.exe差别仅仅在于第一个字母，病毒进程的为大写，系统正常进程名第一个字母为小写。 　　1.2 自我保护机制分析 　　病毒运行后会释放algsrvs.exe、msfun80.exe 、msime82.exe和alrsvc.dll等文件到Windows目录下，文件属性为隐藏，并且在每个磁盘的根目录下生成 autorun.inf 和 fun.xls.exe两个文件，若磁盘根目录下有多少文件夹就隐藏多少文件夹，并以相同的名字出现在该分区下，并使用相应文件夹图标，引诱用户点击病毒从而使病毒恶意传播不容易查杀。 　　1.3 注册表项分析 　　1.3.1 禁止查看文件隐蔽 　　为了使系统隐藏文件无法显示，从而保证保护病毒文件的隐蔽性，病毒会把本来位于注册表HKEY_LOCAL_MACHINE＼Software＼Microsoft＼windows＼CurrentVersion＼explorer＼Advanced＼Folder＼Hidden＼SHOWALL下有效的DWORD值CheckedValue删除掉，并新建了一个无效的字符串值CheckedValue，并且把键值改为0，这样用户就无法使文件夹选项中设置显示隐藏属性的文件生效。 　　1.3.2 随机启动 　　病毒为了保证自己能随机运行，会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加相关键值。 　　 　　2 解决方案及技术 　　 　　病毒清除及系统修复流程如图1所示： 　　2.1 终止病毒进程 　　API（Application Programming Interface，应用程序编程接口）是一套用来控制Windows的各个部件（从桌面的外观到为一个新进程分配的内存）的外观和行为的一套预先定义的Windows函数。用户的每个动作都会引发一个或几个函数的运行以告诉Windows发生了什么。在Windows系统中，动态链接库kernel32.dll提供了获取和处理系统进程的许多接口函数，Delphi语言把这些API函数接口封装到Tlhelp32.pas中，供Delphi用户开发过程调用。因此可以调用Tlhelp32单元中的CreateToolhelp32Snapshot函数获取系统中行的进程（Process）列表，如果函数运行成功将返回一个非零Snapshot句柄。然后通过Process32First、Process32Next函数遍历所有系统进程，如果病毒进程名称匹配成功，则调用TerminateProcess函数终止病毒进程。 　　2.2 清除病毒文件 　　1)我们可以利用API函数中的GetLogicalDriveStrin