实验目的
通过实验了解熊猫烧香病毒的危害，熟悉XueTr和Malware Defender的基本使用，学习利用小工具进行手动杀毒的基本步骤。

预备知识
1. 熊猫烧香病毒简介
      熊猫烧香是一种经过多次变种的蠕虫病毒变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要透过下载的文件传染。

      使用Windows系统的用户中毒后，后缀名为.exe的文件无法执行，并且文件的图标会变成熊猫举着三根烧着的香的图案，但不具有Win32.Parite的特征，不会感染操作系统的可执行文件。

      同时病毒执行后在各盘释放autorun.inf以及病毒体自身，造成中毒者硬盘磁盘分区以及U盘、移动硬盘等可移动磁盘均无法正常打开。

2. Malware Defender简介
      Malware Defender是一款 HIPS (主机入侵防御系统)软件，用户可以自己编写规则来防范病毒、木马的侵害。另外，Malware Defender提供了很多有效的工具来检测和删除已经安装在计算机系统中的恶意软件。

      Malware Defender属于4D HIPS的类型，所谓的4D即：AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend）文件防御体系和ND(Network Defend）网络防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作和网络连接操作进行判断并允许或禁止。同时也是一个 rootkit 检测软件，它提供了很多有效的工具来检测和删除已经安装在您的计算机系统中的恶意软件。

      Malware Defender监控范围广：对应用程序、文件、注册表和网络进行全面监控；资源占用少：占用CPU及内存资源少，对系统性能的影响比较小；辅助工具全：提供全面的工具来管理计算机系统，包括对进程、文件、注册表、网络端口、自动运行程序等信息的管理。

3. XueTr简介
      XueTr是近年推出的一款广受好评的ARK工具。ARK工具全称为Anti Rootkit工具，可以理解为辅助杀毒工具，在具有一定操作系统知识后，完全可以利用该工具手动杀毒！官方网站为：http://www.xuetr.com/，新版本的XueTr已经改名为PCHunter，目前最新版本为PCHunter V1.21专业版，为收费版，最新的免费版为PCHunter V1.2。

实验环境
Windows XP 无杀毒软件的操作系统（虚拟机并且有纯净的快照）

注：实验机内提供的样本为简化版，会感染exe文件但不会感染操作系统文件，除了威力方面其它基本功能都有，主要体验感染与清除过程。

实验内容和步骤
任务描述：了解熊猫烧香病毒的危害，xuetr的基本使用以及清除病毒的基本步骤。

注：整个过程中，在没有注明需要重启和运行感染的程序的时候，请不要重启和运行任何被感染的可执行文件。否则会导致清除病毒失败！

1.运行熊猫烧香病毒
      在桌面找到手动清除熊猫烧香文件夹，解压病毒文件和杀毒软件压缩包，运行病毒程序。等待一下，让病毒能够完全运行。
    
      运行后的效果之一：
     
2.定位熊猫烧香病毒程序在磁盘中的路径
      XueTr来定位，如下图：
     
3.利用XueTr结束病毒进程

    
      必须结束该进程后再去删除熊猫烧香病毒，不然会出现如下的错误：

      这也算是熊猫烧香自我保护的一种策略。
     
4.删除熊猫烧香生成的文件
      这里要注意，熊猫烧香病毒把显示文件的策略改了，不能显示出隐藏的文件和文件夹，而按照常规更改文件显示的策略的方法（如下图），也不能改变文件的显示策略。
     
      这个时候一种方法是更改注册表,如下图所示，将图中注册表路径的键值改为1。

    
      然后再按照常规的方法去更改显示隐藏文件，盘目录下就会出现以下文件了。
     
      另一种更方便的方法就是使用强大的XueTr，点击XueTr的文件功能栏就可以显示出磁盘中的所有文件了，如下图：

    
      下面就是利用强大的XueTr删除了:
     
      除了C盘，其他的盘下面也会有这样的文件，把他们用XueTr都删除掉！

5.删除熊猫烧香病毒在注册表中创建的开机自启动信息
      一般的病毒都会创建自启动信息的。在XueTr的注册表功能中，在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVison\Run中找到svcshare项删除。
     
6.准备修复被熊猫烧香病毒修改的文件
      上面的步骤只是对熊猫烧香病毒就行了一个简单的处理，因为熊猫烧香病毒会感染计算机上面所有的可执行文件，windows时刻都在运行很多程序，运行任何文件都可能使熊猫烧香病毒再度“死灰复燃“。在“运行”中输入“gpedit.msc”打开windows自带的组策略管理。
     
      然后在组管理中进行如下操作：Windows设置-安全设置-软件限制策略，右键新建软件限制策略，在该路径下的其他规则中右键，选择“新建路径规则“，如下图：
     
      将安全级别设置为不允许。
     
      再次用XueTr的文件功能检查所有盘下面有没有”setup.exe”和”autorun.inf”文件，有的话，再次删除，在进程栏查看熊猫烧香进程，有的话也再次结束。然后重启计算机使策略生效。

7.修复被熊猫烧香病毒修改的文件
      重启完了后，可以很直观的发现system32\drivers目录下的sys图标都恢复正常了。
     
      如果你细心的话，可以发现前面删除的熊猫烧香病毒程序还在，我们运行一下试试！
     
      能看到弹出一个对话框：“由于一个软件限制策略“的阻止，这就是我们上一步所创建的软件限制策略了。熊猫烧香病毒已经被我们“控制住”了！

      接下来开始修复：

      随便找一个被感染的程序运行：
    
      可以看到被感染的exe程序已经恢复正常了。

    
      至此手动清除熊猫烧香病毒的流程完了！

      因为熊猫烧香是感染所有的exe和sys文件，这样手工恢复是很麻烦的，我们只要懂得恢复的步骤就可以了，剩下的就交给杀毒软件去处理这繁琐的工作吧！

实验任务二
      任务描述：了解监视熊猫烧香病毒的执行过程的方法，Malware Defender的基本使用。

1.安装Malware Defender
      Malware Defender的安装十分的简单，只需要运行Malware Defender的安装包，然后一路“下一步”就可以了。
     
2.设置Malware Defender的工作模式
      MD的图标，在弹出的菜单栏中选择学习模式。

      Malware Defender有三种工作模式：

      学习模式：不会出现弹框。

      安静模式：不会出现弹框，并且所有询问规则都被拒绝。

      正常模式：会出现弹框。
     
3.运行熊猫烧香病毒，观察MD的日志。
      分析MD的日志需要对操作系统有一定的了解，我们选几个看一下：
  
      上面这张图可以看出熊猫烧香病毒首先会在C:\\WINDOWS\\system32\\drivers目录下创建spo0lsv.exe，这就是我前一任务中清除的程序之一。
    
      在这张图中，熊猫烧香会在盘目录下创建，setup.exe和autorun.inf。