病毒试验.doc

注：以下的方法仅适用非文件感染型的蠕虫、木马以及后门程序，适用平台为win2k以及winxp ???? 使用相关程序说明： ????reg.exe命令行注册表修改工具，winxp安装完毕后即存在系统中，win2k的系统可以通过win2k安装光盘下Support\Tools目录中的setup.exe安装。 ????Pskill.exe进程中止工具，该工具可以从 ???? ?一个批处理分为以下部分： ????1. 病毒服务处理部分 ????2. 病毒进程处理部分 ????3. 注册表的清理部分 ????4. 病毒文件的清理部分 ????详细说明 ????病毒服务处理部分： ????使用win2k以及winxp下的net stop命令进行病毒服务程序的停止，语法如下 ????net stop [服务名称] ????举例来说net stop _reg，将停止名为_reg的服务程序运行 ????病毒进程处理部分： ????使用前述的pskill.exe工具进行病毒程序进程的中止 ????pskill [进程文件名称] ????举例来说pskill spollsv.exe，将中止名为spollsv.exe的程序的运行 ????注册表的清理部分： ????使用命令行注册表修改工具进行注册表的清理 ????注册表项目的删除 ????1. 子键的删除 ????reg delete [子键名称] /f ????2. 注册表值的删除 ????reg delete [子键名称] [/v值名称] /f ????注册表项目的修改 ????reg add [子键名称] [/v值名称] [/t值类型] [/d值] /f ????注：reg工具使用说明 ????REG command KeyName [/v ValueName | /ve] [/t Type] [/s Separator] [/d Data] [/f] ????command，指定的操作类型 ????add 修改或添加注册表项目 ????delete 删除注册表项目 ????KeyName ????注册表键，即根键与注册表键的组合 ????FullKey ROOTKEY\SubKey ????根键ROOTKEY [ HKLM | HKCU | HKCR | HKU | HKCC ] ????子键SubKey ????/v 标识子键下的值名称 ????/t 值数据类型 ????[ REG_SZ | REG_MULTI_SZ | REG_DWORD_BIG_ENDIAN | ????REG_DWORD | REG_BINARY | REG_DWORD_LITTLE_ENDIAN | ????REG_NONE | REG_EXPAND_SZ ] ????缺省则默认为REG_SZ类型 ????/d 标识要添加到某个注册表值下的数据，注册表值名称由/v参数指定 ????/f 不需用户确认，强制执行对注册表的删除或是覆盖 ????示例 ????reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices /v COM++ System /f ????以上命令将删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices键下的，名为COM++ System的值 ????病毒文件的清理部分： ????使用del命令简单的删除病毒文件，由于病毒的文件通常生成在windows安装目录下的一些系统目录中，可以使用替代符%windir%指示windows的安装路径 ????示例 ????del %windir%\system32\spollsv.exe ????病毒清除批处理示例： ????rem WORM_LOVGATE.AF ????@echo off ????rem service part ????net stop _reg ????rem process part ????pskill hxdef.exe 牋牋pskill ravmond.exe 牋牋pskill tkbellexe.exe 牋牋pskill update_ob.exe 牋牋pskill cdplay.exe 牋牋pskill spollsv.exe 牋牋pskill iexplorer.exe 牋牋rem registry clean part 牋牋reg delete HKEY_LOCAL_MACHINE\So