首页
论坛
课程
招聘
[原创]手工杀毒
2009-8-14 21:13 7576

[原创]手工杀毒

2009-8-14 21:13
7576
记得在高中上电脑课的时候,刚开始学习那个打字软件,其实打得挺快的,只不过电脑上显示的字符都提示红色。到了大学考计算机一级的时候,我居然用拼音打不出“女”这个字来,每次碰到这个字的时候,我都必须用非常蹩脚的五笔。到了大二的时候买了台电脑,开始的时候装系统都不会。新电脑问题总是不断,中毒、蓝屏、死机搞得我焦头烂额。经常需要重装系统,学会了装系统,还会用ghost备份。

不知道那时的病毒为何如此之多,逛个网站,看个电影都会中毒。那时候就装了卡巴斯基,不过这玩意还真的很卡,而且其自身的防护特别脆弱,改个系统时间就会让它挂掉。病毒泛滥的时候,装啥杀毒软件都没有。有些病毒居然会把你的ghost备份删掉,这个也太无耻了,想恢复都不可能了。还有些感染可执行文件,结果就是运行程序就会释放病毒。经过多年摸爬滚打,现在我也懒得用杀毒软件,而且感觉现在病毒少了很多,偶尔碰到也被我轻易消灭了。

要想手工杀毒,最先决的条件是要识别出你的电脑是否中毒了。如果病毒刚侵入的时候就能发现,那么清除会非常快。判断电脑是否中毒可以看启动项,观察进程管理器的进程,根据鼠标判断,电脑反应慢还有不能查看隐藏文件等等方法。

(1)通过启动项来观察

最基本的方法:可以通过开始--->运行 输入msconfig 点击“启动”选项卡。不过Autoruns这个工具更加厉害,它能够列出系统所有的启动项。现在很多病毒的启动,在msconfig看不出来,使用Autoruns这个工具能够找出所有更加隐蔽的启动项。

(2)观察进程

虽然通过观察启动项的方法能查出异常启动项,但是启动项非常多,并不是每一个启动项你都非常了解,这样就很难确定。如果刚中了病毒,有些病毒就会启动IE去访问某些网站,下载恶意程序。这时候打开进程管理工具(最好用这个procexp),如果你在桌面上看不到IE窗口,而进程里确有这个进程,那就得注意了,这里的IE很可能是以隐藏窗口的方式启动的。除了观察进程外,还要看进程加载的动态链接库(一般以.dll扩展名结尾的文件),一般观察explorer.exe这个进程。如果发现很陌生的链接库名,就去系统内搜索这个文件,看这个库的公司名称(选中就可以在状态栏中看到),这是最简单的方法。很多注入式的病毒,往往就是在名称上栽跟头。你好歹也得把公司改成微软公司嘛,难道还想保留知识产权。有些病毒以服务的形式加载,这个就要观察是否有陌生服务项。对于那些跟系统同时加载的病毒,往往在进程中查不出来,当然这些病毒非常厉害,它们有时直接控制windows的启动过程。

(3)鼠标判断

为什么通过鼠标可以判断呢?比如说你打开酷狗,酷狗打开后,你的鼠标还呈沙漏形,等一会出现了酷狗新闻界面。在电脑使用过程中,突然发现鼠标呈沙漏形,这是就可以判断有某个程序在启动。这种病毒一般寄生在文件中,比如说播放一部电影,单你用播放器打开的时候,播放器打开了,但鼠标确还在处于等待状态,这就说明该电影文件在释放某些文件。这个在黄片中体现的非常明显,^_^。当然那些感染可执行文件的病毒同样会释放病毒,不过它这种感染就比较疯狂了。如果在这个时候能快速判读中毒,就非常容易清理。如果寄生在视频中的病毒,要是能感染所有的电脑所有的视频文件,我想我的电脑肯定就挂了,哎,我储备了N多经典的电影啊。

(4)电脑反应慢

其实电脑反应慢不一定就是因为病毒,而且中了毒反应也不一定慢,特别是那种木马型病毒,它会不知不觉的潜伏在系统中。这世界上大部分病毒都比较蹩脚,病毒编写者往往把乱七八糟的技巧混在一起,不停的监控电脑的行为,这样就造成系统老处于高负荷状态。最常见的就是不停的扫描注册表以及相关的病毒文件等,防止被用户删去。

(5)隐藏文件

很多病毒特别喜欢干隐藏文件的事,通过对相关注册表的修改,使得用户不能查看隐藏文件。一般U盘类病毒,最喜欢这么干了。如果你使用文件夹选项不能查看隐身文件,这说明某些程序对注册表做了手脚。

当然上面只是我经常使用的几种方法,其余的还有通过时间、文件大小等判断。

中毒后怎么处理?

中毒之后怎么办呢,重装系统,格式化硬盘。要是要这么干,这就没啥意思了。这里的处理就是要删除病毒文件,修复相关注册表,修复感染的文件,对于系统文件损坏的还要进行替换等等。

病毒在系统中运行无非就是几种情况:

(1)独立进程 这个就病毒比较无知了,也最好干掉

(2)注入式   这中病毒一般寄生在其他程序中,最常见的程序就是explorer,更多的病毒往往会注入多个程序。有的甚至会注入到winlogon.exe,在处理这个的时候,弄不好就会死机。

(3)服务模式  服务模式的病毒拥有更高的权限,它们往往是内核级的驱动程序,它们一般由系统加载。

在处理病毒过程中常用的工具:

IceSword冰刃 这个工具相当不错,这个是删除病毒的利器,有些病毒专门针对这个工具。不过它自身的防护能力相当强,以IceSword /s命令启动,病毒不能关闭它,病毒想终结它相当困难。这个工具能禁止全系统进程的启动,这个在对付不停自己启动的病毒非常有效。在删除顽固文件和注册表项方面非常强悍,可以删掉任何在运行中的文件(这在资源管理器中是无法办到的),而且对于非常顽固的注册表项同样非常厉害,regedit(windows注册表工具)删不掉的,它可以。

Filemon文件监控  文件监控能监控到病毒在读写什么文件,这对今后删除文件特别有用,而且还具有非常好的过滤功能。

Regmon 这个是注册表工具  它能监视整个系统读写注册表任何操作,用来定位病毒所要保护的注册表项,为以后注册表修复起关键作用。

Autoruns 这个工具也相当重要 观察病毒写入的启动项

(1)独立进程

对付这种病毒只需要将其进程终止,然后删去其程序,还要检查有没有别的启动项,找到之后全部干掉。现在这样明目张胆的病毒很少了,用个任务管理器就收拾了。现在这种独立进程的病毒,往往开始只是个下载者,它从网络上下载N多病毒。所以,杀毒的时候先要断开网络,免得被其他病毒感染。

(2)注入式

注入式其实就是寄生在其它进程中,它们往往利用windows自动加载特定动态链接库来实现自启动。而且一般注入多个进程实现自身保护,通过监控注册表保证相关注册表项不删除。这些链接库往往会去网上下载更多的病毒,有时候这些病毒程序特别多。只要某个库被遗漏病毒会卷土重来,对付这个其实不难,就是很繁琐。使用IceSword终结掉所有的用户程序,以及一些系统程序。最终任务管理里面只会出现5个程序,注意将IceSword设置成不运行任何进程创建,也不要随便乱终结程序,会死机滴。Smss.exe ,csrss.exe ,winlogon.exe  system, system Idle process好像就是这五个进程,如果发现winlogon.exe被注入了,可以在Icesword中找到这个进程、右键、模块信息、选中相应的动态链接库、点击卸载。如果卸载不了,点击强制卸载。注意操作winlogon.exe可能会死机。利用IceSword的文件和注册表功能删除相关病毒,以及注册表项。(操作结束之后,只能强制关机了 ^_^)

(3)服务模式

Windows把内核级驱动都当作服务来启动,这样就可以在服务管理中看到服务名称。服务模式的病毒往往一直驻留在内存中,而且由于其权限高,隐藏的非常好,服务管理器一般都看不到它的踪影。如果被IceSword等工具发现后,直接利用IceSword强制删除。

U盘型病毒

Autoruns观察自启动项并非万能,其中U盘型病毒并不能观察到。病毒利用自动播放功能,启动病毒。不过这种病毒非常好识别,如果你发现文件被隐藏,而且还看不到,并且打开盘符出现异常现象(反应慢或窗口大小变化),就可以初步判断有病毒。使用dir /a:h命令能列出各盘下的隐藏文件,也可以使用attrib -s -h *.*清除所有文件的隐藏属性。中毒之后要立即结束相关进程,不要随意点击各个盘。使用del命令删除相关文件。对于这种病毒,大家不要轻易重装,然后觉得重装也不顶用,就格式化,这个就太不值了。

感染可执行文件病毒

熊猫烧香是这种病毒的主要代表,它感染系统中所有的可执行文件(windows系统文件除外,因为它有文件保护功能),并且删除系统中*.gho文件(就是前面说的ghost备份文件)。我曾经碰到过一次这个类似的病毒,使得我电脑上很多游戏都不能玩了。后来用TC编了个工具(虽然很简陋),觉得挺好用的,能将可执行文件恢复,专杀工具就是碰到可执行文件就删(无语了,要删文件的话还要你这个专杀工具干嘛)。其实这种病毒识别起来比较容易,并修改后的程序,widow资源管理器中显示的图标会有模糊的感觉,线条会变得很粗糙。对于这种类型的病毒,不要轻易运行windows以外的程序,如果不能修复可执行文件,那就直接将被感染的文件删去算了,将软件重装(系统就没必要了)。如果系统文件发生变化,可以使用安装光盘。插入光盘到光驱,运行sfc /scannow,它能将被修改的程序替换为原来的系统程序。

打了三四个小时了,终于打完了。曾经有同学问我,怎么手动杀毒,这东西不是一两句能讲清楚,所以今天就凭印象写出了相关的方法。也许就凭这几千字,很难让人学会实际去手动对付病毒,这更多的需要大家在实践中摸索。其实很多病毒来自网络,如果你不是因为受什么诱惑,你也不会进入那些恶意网站,天下没有免费的午餐,却有免费的肉鸡(傀儡机)。那些中奖信息,页面上出现的QQ形式的信息,只要大家认真去观察,就应该可以判断出陷阱。

最后说一下文中提到的工具,除了IceSword(好像是国产滴,非常优秀)外,其余的工具都来自sysinternals

(http://technet.microsoft.com/en-us/sysinternals/default.aspx)。Sysinternals成立于1996年专门开发些windows相关的高级工具(免费),应该可以称作为windows核心分析的利器。十年坚持最后被微软收购,也算是修成正果了。

[看雪官方培训] Unicorn Trace还原Ollvm算法!《安卓高级研修班》2021年秋季班火热招生!!

收藏
点赞0
打赏
分享
最新回复 (4)
雪    币: 203
活跃值: 活跃值 (12)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
wyfe 活跃值 2009-8-16 09:21
2
0
谢谢,好好看看
雪    币: 116
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
geshaoyeli 活跃值 2009-8-16 12:29
3
0
楼主辛苦啦,文章真是精彩啊
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
幻剑 活跃值 2009-8-16 14:32
4
0
谢谢楼主辛苦的工作。。
雪    币: 1288
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
dgrzh 活跃值 1 2009-8-18 10:44
5
0
谢谢楼主分享杀毒经验,很不错的文章,收藏了。
游客
登录 | 注册 方可回帖
返回