实训项目14教学设计.docVIP

实训项目14-手动清除病毒及病毒主机的灾后处理 一、实训题目： 手动清除病毒及病毒主机的灾后处理 二、实训目的： 1．培养学生对计算机病毒的特点、类型、防治方法的理解； 2．学会瑞星杀毒软件2009、瑞星卡卡的安装及使用； 3．学会特定的网络病毒的查杀方法。 三、实训要求： 1．准备瑞星杀毒软件2009； 2．准备瑞星卡卡6.0； 3．在实际中建议使用虚拟机进行练习。 四、引导文本： 1．手动检查处理可疑进程及病毒； 2．手动检查处理可疑端口的木马及后门程序； 3．网络蠕虫病毒分析和防范； 4．用抓包工具查找网络病毒。 五、实训步骤： （一）利用工具软件手动清除病毒 网络病毒防治必须考虑安装病毒防治软件 1．可执行文件式病毒的定位与清除 （1）判断系统中是否存在病毒 （2）可执行文件式病毒的定位 病毒在执行一次以后，为了系统每次启动都能运行，一般会将病毒程序加入注册表中的启动运行项下： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]，这样每次启动系统，病毒就会自动运行了，如下图所示，是此病毒加载到注册表中的启动运行项中，将其注册项导出如下图所示。 （3）病毒进程的手动清除 打开系统任务管理器可以看到刚才定位到的两个病毒程序，选中进程，并选择结束进程，发现结束其中的一个后，由于另外一个进程没有结束，会立即启动被结束的进程，这说明这两个进程进行互相的关联与监视，需要同时结束才可以，如下图所示。此时可能利用“ntsd –p PID”命令调试并终止进程。首先要在任务管理器的查看下选择选择列，选中PID项，找到两可进程对应的PID号。 分别打开两个命令窗口，执行“ntsd –p PID”命令，再弹出的NTSD调试状态下输入q，并快速地键入回车后，两个进程即可终止，如下图所示。当然，这种方式比较麻烦，并且不是对所有的计算机病毒都有效. 2．借助软件清除病毒 对于无法结束的病毒进程，可以借助进程管理工具结束，同时可采用强行删除软件，如KillBox等，如下图所示，但要慎重使用，以免误删除系统文件，导致系统无法启动。 3．利用系统维护维修光盘 对于网络管理者或系统维护人员来说，需要有一张光盘能够通过光盘引导加载系统，对中毒后的系统进行修复，对于微软件操作系统用户来说，最好的是具有Windows PE（Windows预安装环境）和ERD的光盘，当然这要求光盘本身没有被病毒感染。这样的光盘可以自己制作，如利用EasyBOOT等软件。也可以在网上获取或利用目前市面上的XP系统的Ghost版光盘中的PE启动系统并进行修复。 4．建立一个病毒防范的实验环境 关于病毒和系统维护维修光盘的实验可以在虚拟机下完成，以免对主机造成破坏。在虚拟机中安装XP系统，不要安装杀毒软件，专门用此虚拟进行病毒实验。此虚拟机通过桥接方式与主机系统连接，为了避免对主机系统造成破坏，不要在虚拟机与主机系统之间进行数据共享。 （三）病毒的灾后处理与系统修复 1．利用系统维修光盘进行病毒处理与系统修复 通过前面介绍的光盘启动的PE系统和ERD工具，可以对通过硬盘启动无法删除的文件进行清除（不能准确判断的可以移动到非系统盘下的特定目录下），同时也可以进行注册表的修改。一些系统维修光盘中还提供了许多工具软件，如文件恢复软件等。 2．手动修复U盘病毒修改的文件 病毒表现，U盘内的所有文件夹都变成了隐藏的，取而代之的是“文件夹名.exe”的文件夹式图标病毒文件，杀毒后隐藏的文件夹仍不可见，在文件夹选项下显示所有文件和文件夹，并把隐藏受保护的操作系统文件去除，如下图所示，就可以年到U盘同的隐藏文件夹“CEY文件”了。 利用“ dir /a”命令显示具有指定属性的文件，此时就可是看到文件夹“CEY文件”了，此时利用命令“attrib –S –H CEY文件”，就可以将其系统隐藏属性去除了。 下图为修改后文件夹及属性，当然也可利用命令“attrib +S +H CEY文件”加上系统隐藏属性，加以隐藏。