网络安全课程设计

3.5.2、蠕虫感染验证与查杀验证 1. 验证病毒感染过程

（1）确定主机 A 与 B 处于同一网段内。

（2）主机 A 进入实验平台“实验 36 蠕虫病毒”的“练习一 蠕虫仿真”， 单击工具栏“实验目录”按钮进入蠕虫病毒实验目录，执行漏洞程序test_virus_body.exe，

并启动协议分析器，设置过滤器仅捕获 ARP 数据包（在“协议过滤”中设置）。主机 B 同样进入蠕虫病毒实验目录，执行蠕虫模拟程序virus_main.exe，这时主机 B 会持续弹出网页。

（3）主机 A 单击协议分析器工具栏刷新按钮，查看 ARP 协议相关数据，会发现存在很多以主机 B 的 IP 地址为源的 ARP 请求数据包。请观察被探测 IP 地址顺序，它们大多数是非连续的。

（4）主机 A 等待被蠕虫病毒探测，直到被感染（成功现象为：主机 A 被病毒感染，也像主机 B 一样持续弹出网页，说明已经被病毒感染成功），主机 A 关闭 test_virus_body.exe 程序，“任务管理器” “进程”并在的页面中选中 virus_main进程然后点下面的“结束进程”按钮，结束激活的病毒程序。

（5）主机 A 检查系统注册表

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\

run 下是否有名为“LookAtMe”的注册键值，有则使用该项右键菜单中的删除命令删除。