3.5.2、蠕虫感染验证与查杀验证 1. 验证病毒感染过程
(1)确定主机 A 与 B 处于同一网段内。
(2)主机 A 进入实验平台“实验 36 蠕虫病毒”的“练习一 蠕虫仿真”, 单击工具栏“实验目录”按钮进入蠕虫病毒实验目录,执行漏洞程序test_virus_body.exe,
并启动协议分析器,设置过滤器仅捕获 ARP 数据包(在“协议过滤”中设置)。主机 B 同样进入蠕虫病毒实验目录,执行蠕虫模拟程序virus_main.exe,这时主机 B 会持续弹出网页。
(3)主机 A 单击协议分析器工具栏刷新按钮,查看 ARP 协议相关数据,会发现存在很多以主机 B 的 IP 地址为源的 ARP 请求数据包。请观察被探测 IP 地址顺序,它们大多数是非连续的。
(4)主机 A 等待被蠕虫病毒探测,直到被感染(成功现象为:主机 A 被病毒感染,也像主机 B 一样持续弹出网页,说明已经被病毒感染成功),主机 A 关闭 test_virus_body.exe 程序,“任务管理器” “进程”并在的页面中选中 virus_main进程然后点下面的“结束进程”按钮,结束激活的病毒程序。
(5)主机 A 检查系统注册表
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
run 下是否有名为“LookAtMe”的注册键值,有则使用该项右键菜单中的删除命令删除。
