一款優(yōu)秀的防火墻并不能防御所有的病毒,一款優(yōu)秀的殺毒軟件并不能查殺所有的帶毒程序,。在殺毒軟件不是很智能的今天,,簡(jiǎn)單的修改木馬過幾款出色的殺毒軟件并不艱難。所以,,在殺毒軟件不能識(shí)別病毒的情況下,,我們就有必要手工查殺病毒。
手工查殺病毒,,顧名思義,,就是在不使用殺毒軟件的情況下人為的使用一些系統(tǒng)自帶的或非系統(tǒng)自帶的手工輔助工具進(jìn)行查殺病毒。有些人懷疑手工殺毒是否有必要呢,?其實(shí),,殺毒軟件只是一條看門狗,作為主人的你,,理論上應(yīng)該比那條狗更清楚入屋者是不是賊才對(duì),。這只是作為管理者的一種基本意識(shí)。引用一位高手朋友的一句話:“只要?dú)⒍拒浖€要更新病毒庫,免殺就依然可以成功,。”這也就說明了手工查殺病毒很有必要,,因?yàn)闅⒍拒浖菦]辦法識(shí)別經(jīng)過免殺修改了的病毒的,這類病毒只能手工查殺,。而手工查殺是不是需要很雄厚的基本功呢,?實(shí)話實(shí)說,是應(yīng)該對(duì)系統(tǒng)有所了解才能做得到,,但是,,意識(shí)都是慢慢培養(yǎng)的,學(xué)習(xí)也是一個(gè)緩慢的過程,,接觸多了,,也就簡(jiǎn)單了。
廢話至此,,下面開始簡(jiǎn)單介紹一些查殺病毒的的方法:
課程總體分布
#1.任務(wù)管理器
#2.命令提示符(CMD)
#3.IceSword(冰刃)
#4.360安全衛(wèi)士(輔助學(xué)習(xí)的好工具)
#5.簡(jiǎn)單應(yīng)用,,免殺灰鴿子手工查殺實(shí)例
#6.常用啟動(dòng)項(xiàng)
#7.映像劫持
#8.單挑07年毒王----AV終結(jié)者
一.常用工具使用簡(jiǎn)介
1.任務(wù)管理器
任務(wù)管理器是大家最常用的工具,有兩種比較簡(jiǎn)單的打開方式:一種是組合鍵Ctrl+Alt+Delete,,另一種是在任務(wù)欄右鍵→任務(wù)管理器,。在任務(wù)管理器的應(yīng)用程序欄里面顯示的是正在運(yùn)行的正常程序的,而病毒程序是不會(huì)顯示出來的,, 所以我們一般都查看進(jìn)程欄,。在這里我首先向大家介紹一些主要的系統(tǒng)進(jìn)程:
QUOTE:
1.svchost.exe
進(jìn)程文件:svchost或者svchost.exe
描述:svchost host proscess是一個(gè)標(biāo)準(zhǔn)的動(dòng)態(tài)鏈接庫主機(jī)處理服務(wù)
2.iexplore.exe
進(jìn)程文件:iexplore或者iexplore.exe
描述:microsoft internet explorer瀏覽器用于瀏覽網(wǎng)頁。
3.rundll32.exe
進(jìn)程文件:rundll32或者rundll32.exe
描述:windows rundll32 為了需要調(diào)用dlls的程序,。
4.ctfmon.exe
名稱:alternativeuserinputservices
描述:office xp輸入法圖標(biāo),。
5.winlogon.exe
進(jìn)程文件:winlogon或者winlogon.exe
描述:windows NT用戶登錄程序。
6.alg.exe
進(jìn)程文件:alg或者alg.exe
描述:這是一個(gè)應(yīng)用層網(wǎng)關(guān)服務(wù)用于網(wǎng)絡(luò)共享,。
7.smss.exe
進(jìn)程文件:smss或者smss.exe
描述:進(jìn)程為會(huì)話管理子系統(tǒng)用以初始化系統(tǒng)變量,,ms-dos驅(qū)動(dòng)名稱類似lpt1以及com,調(diào)用win32殼子系統(tǒng)和運(yùn)行在windows登錄過程,。
8.explorer.exe
進(jìn)程文件:explorer或者explorer.exe
描述:windows program manager或者windows explorer用于控制windows圖形shell,,包括開始菜單、任務(wù)欄,,桌面以及文件管理,。
9.csrss.exe
進(jìn)程文件:csrss或者csrss.exe
描述:客戶端服務(wù)子程序,用以控制windows圖形相關(guān)子系統(tǒng),。
10.lsass.exe
進(jìn)程文件:lsass或者lsass.exe
描述:本地安全權(quán)限服務(wù)控制windows安全機(jī)制,。
11.conime.exe
進(jìn)程文件:conime或者conime.exe
描述:輸入法編輯器相關(guān)程序。
12.wmiprvse.exe
進(jìn)程文件:wmiprvse或者wmiprvse.exe
描述:用于通過winmgmt.exe程序處理wmi操作,。,。
13.services.exe
進(jìn)程文件: services 或者 services.exe
描述:用于管理windows服務(wù)系統(tǒng)進(jìn)程,。
QUOTE:
系統(tǒng)進(jìn)程路徑對(duì)照表:
alg.exe 路徑為C:\WINDOWS\system32\alg.exe;
conime.exe 路徑為C:\WINDOWS\system32\conime.exe,;
csrss.exe 路徑為C:\WINDOWS\system32\csrss.exe,;
ctfmon.exe 路徑為C:\WINDOWS\system32\ctfmon.exe;
explorer.exe 路徑為C:\WINDOWS\explorer.exe,;
iexplore.exe 路徑為C:\Program Files\Internet Explorer\iexplore.exe,;
lsass.exe 路徑為C:\WINDOWS\system32\lsass.exe;
rundll32.exe 路徑為C:\WINDOWS\system32\rundll32.exe,;
services.exe 路徑為C:\WINDOWS\system32\services.exe,;
smss.exe 路徑為C:\WINDOWS\system32\smss.exe;
svchost.exe 路徑為C:\WINDOWS\system32\svchost.exe,;
winlogon.exe 路徑為C:\WINDOWS\system32\winlogon.exe,;
wmiprvse.exe 路徑為C:\WINDOWS\system32\wbem\wmiprvse.exe;
上面的大多是一些隨著系統(tǒng)啟動(dòng)的系統(tǒng)進(jìn)程(iexplore.exe除外,,如果開機(jī)就彈出網(wǎng)頁或出現(xiàn)iexplore.exe進(jìn)程就可以初步判定它是木馬或者惡意程序), 其中有的機(jī)子rundll32.exe是不隨機(jī)啟動(dòng)的,,wmiprvse.exe開機(jī)啟動(dòng)后過些時(shí)間會(huì)消失,,必要時(shí)還會(huì)啟動(dòng)。
對(duì)于陌生進(jìn)程,,我們可以考慮到百度搜索,,查看一下是否為病毒進(jìn)程。在此推薦大家遇到危險(xiǎn)進(jìn)程的時(shí)候查看一下危險(xiǎn)進(jìn)程速查表: |
|
|
|
|
|
|
|
|
墨泉
|
【危險(xiǎn)進(jìn)程速查表】
在任務(wù)管理器我們可以獲取很多有用信息,,例如進(jìn)程的PID,,所占用的內(nèi)存、CPU,,I/O寫入等等,,在系統(tǒng)運(yùn)行不正常時(shí)我們可以根據(jù)這些信息來判斷病毒的所在。
其中PID和I/O寫入項(xiàng)在 查看→選擇列里選擇顯示,,默認(rèn)是不顯示的,,自己可以配置一下,把PID,、I/O寫入和I/O寫入字節(jié)勾選上,,即可查看到我們所想要的信息,如下圖:
【圖3】
【圖4】
【圖5】
PID指的是進(jìn)程的標(biāo)識(shí)號(hào),,系統(tǒng)中是不會(huì)存在重復(fù)PID的,,它們?cè)趩?dòng)的時(shí)候隨機(jī)生成,只有兩個(gè)例外,,如上圖:System Idle Process進(jìn)程的PID為0,System進(jìn)程的PID為4,它們是固定不變的,。
利用任務(wù)管理器,我們可以查看到每個(gè)進(jìn)程所占用的內(nèi)存和CPU的大小,正常來說,,系統(tǒng)進(jìn)程占用的內(nèi)存并不多,,一般不會(huì)超過50M,如果某個(gè)系統(tǒng)進(jìn)程超過了100M的話就要留意了,,很有可能已經(jīng)被病毒注入,。當(dāng)你發(fā)覺硬盤燈狂閃時(shí),就應(yīng)該查看一下哪個(gè)進(jìn)程占用的內(nèi)存特別多,,借以判斷問題的源頭,,但有些時(shí)候所有的進(jìn)程占用的內(nèi)存并不多而硬盤燈也狂閃,我們就可以查看I/O寫入和I/O寫入字節(jié)的大小,,問題一般都出在數(shù)值最大的進(jìn)程上,,這就是勾選出I/O寫入和I/O寫入字節(jié)I/O寫入和I/O寫入字節(jié)的作用所在。
當(dāng)任務(wù)管理器打不開時(shí),,可用下面三種方法修復(fù):
QUOTE:
方法一:修改注冊(cè)表,。運(yùn)行→regedit,展開到:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
找到"DisableTaskmgr"把dword值設(shè)置為00000000
方法二:
打開記事本,,把下面的內(nèi)容保存成.reg文件,,然后雙擊導(dǎo)入恢復(fù)。
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskmgr"=dword:00000000
(最后一行留一空行)
方法三:利用組策略:
開始/運(yùn)行/gpedit.msc,
在用戶配置-管理模板-系統(tǒng)-CTRL+ALT+DELE選項(xiàng),,在左邊找到“刪除任務(wù)管理器”
雙擊打開,,設(shè)置為未配置,或者禁用,。
當(dāng)注冊(cè)表都被鎖上時(shí),,可用記事本把下面內(nèi)容保存成.bat文件,然后雙擊運(yùn)行解鎖:
QUOTE:
@reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d 00000000 /f
start regedit 2.命令提示符(CMD)
命令提示符是在OS / 2 ,, Windows CE與Windows NT平臺(tái)為基礎(chǔ)的操作系統(tǒng)(包括Windows 2000和XP中,, Vista中,和Server 2003 )下的“MS-DOS 方式”,。
命令提示符是一個(gè)容易被大家忽略的強(qiáng)大的病毒查殺工具,,在本課程只介紹命令提示符里幾個(gè)簡(jiǎn)單的命令。
1.Dir命令
QUOTE:
DIR [drive:][path][filename] [/A[[:]attributes]] [/C] [/D] [/L] [/N]
[/O[[:]sortorder]] [/P] [/Q] [/S] [/T[[:]timefield]] [/W] [/X] [/4]
[drive:][path][filename]
指定要列出的驅(qū)動(dòng)器,、目錄和/或文件,。
/A 顯示具有指定屬性的文件。
attributes D 目錄 R 只讀文件
H 隱藏文件 A 準(zhǔn)備存檔的文件
S 系統(tǒng)文件 - 表示“否”的前綴
/B 使用空格式(沒有標(biāo)題信息或摘要),。
/C 在文件大小中顯示千位數(shù)分隔符,。這是默認(rèn)值。用 /-C 來
停用分隔符顯示,。
/D 跟寬式相同,,但文件是按欄分類列出的,。
/L 用小寫。
/N 新的長(zhǎng)列表格式,,其中文件名在最右邊,。
/O 用分類順序列出文件。
sortorder N 按名稱(字母順序) S 按大小(從小到大)
E 按擴(kuò)展名(字母順序) D 按日期/時(shí)間(從先到后)
G 組目錄優(yōu)先 - 顛倒順序的前綴
/P 在每個(gè)信息屏幕后暫停,。
/Q 顯示文件所有者,。
/S 顯示指定目錄和所有子目錄中的文件。
/T 控制顯示或用來分類的時(shí)間字符域,。
timefield C 創(chuàng)建時(shí)間
A 上次訪問時(shí)間
W 上次寫入的時(shí)間
/W 用寬列表格式,。
/X 顯示為非 8dot3 文件名產(chǎn)生的短名稱。格式是 /N 的格式,,
短名稱插在長(zhǎng)名稱前面,。如果沒有短名稱,在其位置則
顯示空白,。
/4 用四位數(shù)字顯示年 |
|
|
|
|
|
|
|
|
墨泉
|
Dir命令主要用來查看隱藏的病毒文件,,就例如盤符下的autorun.inf文件等.
假如想顯示e:\zhouzhou\ 下的所有文件則輸入命令dir e:\zhouzhou\ ,讓文件夾按時(shí)間順序排列就在后面加 /od ,按大小排就加 /os .........
如圖:
【圖6】
2.Netstat
QUOTE:
netstat命令的功能是顯示網(wǎng)絡(luò)連接,、路由表和網(wǎng)絡(luò)接口信息,,可以讓用戶得知目前都有哪些網(wǎng)絡(luò)連接正在運(yùn)作.
netstat [選項(xiàng)]
命令中各選項(xiàng)的含義如下:
-a 顯示所有鏈接和監(jiān)聽窗口。
-b 顯示包含于創(chuàng)建每個(gè)鏈接或監(jiān)聽端口的可執(zhí)行文件,。
-c 每隔1秒就重新顯示一遍,直到用戶中斷它,。
-i 顯示所有網(wǎng)絡(luò)接口的信息.
-n 以網(wǎng)絡(luò)IP地址代替名稱,,顯示出網(wǎng)絡(luò)連接情形。
-r 顯示核心路由表,。
-t 顯示TCP協(xié)議的連接情況,。
-u 顯示UDP協(xié)議的連接情況。
-v 顯示正在進(jìn)行的工作,。
一般建議使用 netstat -nba ,,它顯示的內(nèi)容比較全面,連帶進(jìn)程所調(diào)用的dll文件都可以顯示出來:
【圖7】
用 netstat -an 所獲得的信息相對(duì)少一點(diǎn):
【圖8】
netstat 命令主要用于查找木馬,,通過查看連接端口以及連接狀態(tài),,可以較為準(zhǔn)確的判斷出木馬進(jìn)程。如下圖:
【圖9】
除了一個(gè)IE和QQ鏈接外,,其他的正常鏈接我都斷掉了,,此時(shí)可以發(fā)覺還有另一個(gè)IE鏈接正處于Established狀態(tài),我只開了一個(gè)IE,,為什么會(huì)有兩個(gè)鏈接呢,?顯然,,它是個(gè)木馬。
【圖10】
|
|
|
|
|
|
|
|
|
墨泉
|
注釋:
QUOTE:
1,、LISTENING:
LISTENING表示處于偵聽狀態(tài),,就是說該端口是開放的,等待連接,,但還沒有被連接,。
2、ESTABLISHED:
ESTABLISHED的意思是建立連接,。表示兩臺(tái)機(jī)器正在通信,。
3、CLOSE_WAIT:
CLOSE_WAIT對(duì)方主動(dòng)關(guān)閉連接或者網(wǎng)絡(luò)異常導(dǎo)致連接中斷,,這時(shí)我方的狀態(tài)會(huì)變成CLOSE_WAIT ,。
4、TIME_WAIT:
TIME_WAIT的意思是己方結(jié)束了這次連接,。說明某端口曾經(jīng)有過訪問,,但訪問結(jié)束了。
3.Tasklist
QUOTE:
TASKLIST [/S system [/U username [/P [password]]]]
[/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]
參數(shù)含義
/S system 指定連接到的遠(yuǎn)程系統(tǒng),。
/U [domain\]user 指定使用哪個(gè)用戶執(zhí)行這個(gè)命令,。
/P [password] 為指定的用戶指定密碼。
/M [module] 列出調(diào)用指定的DLL模塊的所有進(jìn)程,。如果沒有指定模塊名,,顯示每個(gè)進(jìn)程加載的所有模塊。
/SVC 顯示每個(gè)進(jìn)程中的服務(wù),。
/V 顯示詳細(xì)信息,。
/FI filter 顯示一系列符合篩選器指定的進(jìn)程。
/FO format 指定輸出格式,,有效值:TABLE,、LIST、CSV,。
/NH 指定輸出中不顯示欄目標(biāo)題,。只對(duì)TABLE和CSV格式有效。
查到木馬進(jìn)程,,我們可以通過Tasklist /svc 來查看所有進(jìn)程以及木馬的服務(wù)項(xiàng),,進(jìn)而抑制木馬啟動(dòng)。
4.Taskkill
QUOTE:
TASKKILL [/S system ]]]
{ [/FI filter] [/PID processid | /IM imagename] } [/F] [/T]
描述:
這個(gè)命令行工具可用來結(jié)束至少一個(gè)進(jìn)程,。
可以根據(jù)進(jìn)程 id 或圖像名來結(jié)束進(jìn)程,。
參數(shù)列表:
/S system 指定要連接到的遠(yuǎn)程系統(tǒng)。
/U [domain\]user 指定應(yīng)該在哪個(gè)用戶上下文執(zhí)行這個(gè)命令,。
/P [password] 為提供的用戶上下文指定密碼,。如果忽略,,提示輸入。
/F 指定要強(qiáng)行終止進(jìn)程,。
/FI filter 指定篩選進(jìn)或篩選出查詢的的任務(wù),。
/PID process id 指定要終止的進(jìn)程的PID。
/IM image name 指定要終止的進(jìn)程的圖像名,。通配符 '*'可用來指定所有圖像名,。
/T Tree kill: 終止指定的進(jìn)程和任何由此啟動(dòng)的子進(jìn)程。
/? 顯示幫助/用法,。
遇到雙進(jìn)程或多進(jìn)程保護(hù)的病毒,,我們可以使用taskkill /f /pid 來結(jié)束“狼狽為奸”的病毒進(jìn)程,因?yàn)槿蝿?wù)管理器一次只能結(jié)束其中的一個(gè),,一個(gè)病毒進(jìn)程被結(jié)束,,另一個(gè)進(jìn)程又會(huì)將它啟動(dòng),使得你無法用任務(wù)管理器切底關(guān)閉病毒程序,。此時(shí)我們可以用taskkill /f /pid來達(dá)到結(jié)束它的目的,,格式如下圖:
【圖11】
5.Ntsd
QUOTE:
同taskkill命令一樣,可以用來結(jié)束命令:
方法一:利用進(jìn)程的PID結(jié)束進(jìn)程
命令格式:ntsd -c q -p pid
命令范例: ntsd -c q -p 4440
方法二:利用進(jìn)程名結(jié)束進(jìn)程
命令格式:ntsd -c q -pn ***.exe (后綴.exe不能?。?
命令范例:ntsd -c q -pn QQ.exe
6.Attrib
QUOTE:
attrib指令的格式和常用參數(shù)為
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[drive:] [path] filename] [/S [/D]]
+ 設(shè)置屬性,。
- 清除屬性。
R 只讀文件屬性,。
A 存檔文件屬性,。
S 系統(tǒng)文件屬性。
H 隱藏文件屬性,。
[drive:][path][filename]
指定要處理的文件屬性,。
/S 處理當(dāng)前文件夾及其子文件夾中的匹配文件。
/D 也處理文件夾,。
本命令可以用來顯示出隱藏的病毒文件,例如autorun.inf之類的文件,。假如要查看D盤根目錄下有沒有autorun.inf,,則可輸入attrib d:\autorun.inf -s -h把隱藏著的autorun.inf給顯示出來,并且去掉它的系統(tǒng)屬性,。
7.Del
QUOTE:
Del命令用于刪除一個(gè)或數(shù)個(gè)文件,。
DEL [/P] [/F] [/S] [/Q] [/A[[:]attributes]] names
names 指定一個(gè)或數(shù)個(gè)文件或目錄列表。通配符可被用來
刪除多個(gè)文件,。如果指定了一個(gè)目錄,,目錄中的所
有文件都會(huì)被刪除。
/P 刪除每一個(gè)文件之前提示確認(rèn),。
/F 強(qiáng)制刪除只讀文件,。
/S 從所有子目錄刪除指定文件,。
/Q 安靜模式。刪除全局通配符時(shí),,不要求確認(rèn),。
/A 根據(jù)屬性選擇要?jiǎng)h除的文件。
要?jiǎng)h除C盤根目錄下的123.exe文件,,則在cmd輸入del /f c:\123.exe命令即可,,借此命令刪除一些病毒文件。3.IceSword(冰刃)
網(wǎng)上比較詳細(xì)的冰刃實(shí)用教程是在是太多了,,在此我就不班門弄斧了,,只稍微簡(jiǎn)單的介紹一下它的部分功能.
IceSword在進(jìn)程查殺強(qiáng)大且方便,在IceSword前,,所有的隱藏端口,、隱藏進(jìn)程、隱藏文件一覽無遺,,可同時(shí)選中的多個(gè)任意進(jìn)程一并殺除(System Idle Process,、System、csrss.exe進(jìn)程除外),,不過,,若錯(cuò)誤關(guān)閉了其他主要的系統(tǒng)進(jìn)程就有可能會(huì)引起系統(tǒng)崩潰,所以在結(jié)束進(jìn)程前請(qǐng)確認(rèn)是否是重要的系統(tǒng)進(jìn)程,,避免差錯(cuò),。
冰刃查殺病毒的一般步驟是:
1、查找病毒進(jìn)程 2,、結(jié)束進(jìn)程 3,、刪除病毒文件 4、清理注冊(cè)表
冰刃的主界面:
【圖12】
進(jìn)程項(xiàng):
冰刃可以查看所有的隱藏和非隱藏進(jìn)程,,其中隱藏進(jìn)程以紅色顯示出來(這里沒有),,它還顯示了進(jìn)程的PID以及路徑,在其右鍵菜單中有結(jié)束進(jìn)程等幾個(gè)選項(xiàng),,支持一次結(jié)束多個(gè)進(jìn)程,,只要同時(shí)選中多個(gè)進(jìn)程右鍵結(jié)束即可。
【圖13】
端口項(xiàng):
冰刃可以顯示所有正在連接中的端口,,及其所對(duì)應(yīng)的本地,、遠(yuǎn)程地址,狀態(tài),,進(jìn)程PID以及進(jìn)程路徑,,當(dāng)你把所有的正常連接都關(guān)閉之后,刷新,,理論上就剩下非正常的連接,,對(duì)比一下即可輕易找出處于連接中的木馬進(jìn)程及其他信息,,進(jìn)而準(zhǔn)備木馬的刪除工作。
【圖14】
啟動(dòng)組:
用于查看是兩個(gè)RUN子鍵的內(nèi)容,,包括項(xiàng)目所對(duì)應(yīng)的注冊(cè)表路徑以及文件路徑,,在這里常常可以找到不法進(jìn)程的啟動(dòng)項(xiàng)目,,根據(jù)相應(yīng)的注冊(cè)表路徑,,找到其注冊(cè)表,刪掉即可抑制某些不法程序的啟動(dòng),。
【圖15】
BHO:
BHO 全名Browser Helper Object,,瀏覽器輔助對(duì)象,說的簡(jiǎn)單點(diǎn),就是網(wǎng)上常常提到的IE插件,。比較下面兩個(gè)圖,,就可以發(fā)覺病人的插件檢測(cè)功能并不比在這方面下了大力氣的360安全衛(wèi)士要弱,在想刪除的插件上右鍵即可看到刪除菜單,。
【圖16】
【圖17】
監(jiān)視進(jìn)程創(chuàng)建:
顧名思義,,監(jiān)視進(jìn)程創(chuàng)建就是監(jiān)視一個(gè)進(jìn)程創(chuàng)建另一個(gè)進(jìn)程,這功能可以發(fā)現(xiàn)木馬后門創(chuàng)建了什么進(jìn)程和線程,,尤其是遠(yuǎn)線程,。紅色顯示的即是進(jìn)程創(chuàng)建(目標(biāo)進(jìn)程TID為0時(shí)為進(jìn)程創(chuàng)建,緊接其后的紅色項(xiàng)是它的主線程的創(chuàng)建)和遠(yuǎn)線程創(chuàng)建(應(yīng)該注意),。另外,,病毒程序被結(jié)束后有可能會(huì)再被重新啟動(dòng),用監(jiān)視進(jìn)程創(chuàng)建功能就可以簡(jiǎn)單追蹤到病毒的“朋黨”,,然后把它們的同伙一起消滅,。
【圖18】
監(jiān)視進(jìn)程終止:
與監(jiān)視進(jìn)程創(chuàng)建進(jìn)程相對(duì)應(yīng),監(jiān)視一個(gè)進(jìn)程結(jié)束另一個(gè)進(jìn)程,。
【圖19】
注冊(cè)表:
與系統(tǒng)注冊(cè)表用法類似,,它有權(quán)限打開或修改任何子鍵,使用時(shí)務(wù)必謹(jǐn)慎,,不要一不小心激動(dòng)起來把系統(tǒng)文件的注冊(cè)表也刪掉了,,那樣就有麻煩了,要知道,,刪掉了不可恢復(fù)的。
【圖20】
4.360安全衛(wèi)士(輔助學(xué)習(xí)的好工具)
眾所周知,,360不失為一款優(yōu)秀的木馬,、插件查殺工具。但在這里,,我所介紹的并不是它的木馬,、插件查殺功能,,而是通過360與上述的軟件作對(duì)比以達(dá)到更好的掌握基礎(chǔ)知識(shí)的目的。
進(jìn)程項(xiàng):
可以查看到所有正在運(yùn)行的進(jìn)程的有關(guān)描述以及其他詳細(xì)信息,。
【圖21】
啟動(dòng)項(xiàng):
在下拉菜單中很輕易就可以找到以下各項(xiàng),,它與msconfig以及regedit那幾個(gè)run子鍵中的啟動(dòng)項(xiàng)是對(duì)應(yīng)的,但360提供了更為詳細(xì)的信息,,選中某進(jìn)程,,即可在右邊文件大小、路徑等信息,。
【圖22】
BHO:
瀏覽器輔助插件查看功能,,可在右邊獲取更為詳細(xì)的信息。
【圖23】
系統(tǒng)服務(wù):
【圖24】
啟動(dòng)項(xiàng)狀態(tài):
【圖25】
系統(tǒng)服務(wù)狀態(tài):
【圖26】
系統(tǒng)進(jìn)程狀態(tài):
【圖27】
網(wǎng)絡(luò)連接狀態(tài):
【圖28】
|
|
|
|
|
|
|
|
|
墨泉
|
5.簡(jiǎn)單應(yīng)用,,免殺灰鴿子手工查殺實(shí)例
一.用系統(tǒng)工具查殺
1.斷掉正常鏈接(這里例外,,必須留下H3C上網(wǎng)認(rèn)證程序和QQ程序),打開任務(wù)管理器,,檢查可疑進(jìn)程,,就表面來說,發(fā)覺除了幾個(gè)正常軟件進(jìn)程外就找不到別的非系統(tǒng)進(jìn)程了,,如圖:
【圖29】
2.打開命令提示符,,輸入netstat -an,發(fā)覺還有程序正處于連接狀態(tài),,如圖:
【圖30】
3.輸入netstat -nba查找端口為8000的進(jìn)程項(xiàng)和服務(wù)項(xiàng),,可以看到,進(jìn)程PID為7852的路徑下,,有個(gè)路徑為c:\windows\system\svchost.exe ,很明顯,,這是個(gè)偽裝的系統(tǒng)進(jìn)程,因?yàn)檎嬲膕vchost.exe應(yīng)該在system32文件夾下的,,如下圖:
【圖31】
4.輸入tasklist /svc,,查找PID為7852的進(jìn)程的服務(wù)項(xiàng),可以看到,,所要查找的服務(wù)項(xiàng)名稱為svchost,,如下圖:
【圖32】
5.在運(yùn)行處輸入services.msc,啟動(dòng)服務(wù),,找到名稱為svchost的服務(wù)項(xiàng),,右鍵將其禁用,如下圖:
【圖33】
6.在任務(wù)管理器中結(jié)束PID為7852的進(jìn)程,,再進(jìn)入c:\windows\system\ ,,找到 svchost.exe 文件,備份,刪除,。殘留的注冊(cè)表用超級(jí)兔子清理即可,。由于灰鴿子木馬的生存能力不像惡意病毒那么強(qiáng)盛,至此即可收工了,,灰鴿子不會(huì)再啟動(dòng),。
二.用非系統(tǒng)工具查殺(這里用冰刃)
1.斷掉正常鏈接(這里例外,必須留下H3C上網(wǎng)認(rèn)證程序和QQ程序),,打開冰刃,,在 端口 項(xiàng)里查看
正在鏈接狀態(tài)的端口,一下就可以發(fā)覺PID為7852的可疑進(jìn)程了,,為了確認(rèn),,再看右邊的路徑,立刻可以完全確認(rèn)該進(jìn)程就是木馬進(jìn)程,,因?yàn)檎嬲膕vchost.exe應(yīng)該在system32文件夾下的,,如下圖:
【圖34】
2.打開 服務(wù) 項(xiàng),查找名稱為svchost服務(wù)項(xiàng),,右鍵把它禁用,,如下圖:
【圖35】
3.打開 進(jìn)程 項(xiàng),把病毒進(jìn)程關(guān)閉,,如下圖:
【圖36】
4.在冰刃 文件 里打開c:\windows\system\ ,,找到 svchost.exe 文件,備份,,刪除,。至此,灰鴿子木馬完全失效,。殘留的注冊(cè)表用超級(jí)兔子清理即可,。(留意該文件的創(chuàng)建時(shí)間,20081119,,說明該木馬進(jìn)程是不久前安裝進(jìn)去的)
【圖37】
|
|
|
|
|
|
|
|
|
墨泉
|
|
6. 常用啟動(dòng)項(xiàng)
而對(duì)于一些惡意病毒,,我們應(yīng)該先斷網(wǎng),記錄可疑文件路徑,,再查看啟動(dòng)項(xiàng):
1.msconfig中設(shè)置開機(jī)啟動(dòng)項(xiàng),,留下ctfmon.exe,其他的都去掉(當(dāng)然,,如果你對(duì)某些進(jìn)程比較熟悉的話也可以考慮留著),。
2.去掉開始菜單啟動(dòng)項(xiàng):
對(duì)應(yīng)文件路徑:
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動(dòng)
C:\Documents and Settings\你的用戶名\「開始」菜單\程序\啟動(dòng)
3.regedit中各個(gè)Run子鍵:(可疑的導(dǎo)出再刪除)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
4.服務(wù):
可疑服務(wù)先到網(wǎng)上搜索查找信息,再做禁用的定奪,。
然后重啟,。如果病毒不再啟動(dòng),,可直接到它的安裝文件進(jìn)行備份刪除。如果病毒依然啟動(dòng),,可調(diào)出任務(wù)管理器或冰刃,結(jié)束可疑進(jìn)程,,再進(jìn)行備份刪除,,然后清理注冊(cè)表,重啟,。
7. 映像劫持:
全名:Image File Execution Options
位于注冊(cè)表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 下,。
映像劫持原理:NT系統(tǒng)在試圖執(zhí)行一個(gè)從命令行調(diào)用的可執(zhí)行文件運(yùn)行請(qǐng)求時(shí),,先會(huì)檢查運(yùn)行程序是不是可執(zhí)行文件,如果是的話,,再檢查格式的,然后就會(huì)檢查是否存在...如果不存在的話,,它會(huì)提示系統(tǒng)找不到文件或者是“指定的路徑不正確"等等....
IFEO的本意是為一些在默認(rèn)系統(tǒng)環(huán)境中運(yùn)行時(shí)可能引發(fā)錯(cuò)誤的程序執(zhí)行體提供特殊的環(huán)境設(shè)定。它對(duì)一般用戶意義不大,,相反,,它容易被病毒利用。
被病毒利用之后的癥狀:防火墻,、殺毒軟件和一些出名的殺毒輔助工具沒法運(yùn)行,當(dāng)你雙擊運(yùn)行它們時(shí),,啟動(dòng)的反而是病毒,。
07年的毒王------AV終結(jié)者就會(huì)來這套,它把大量的殺毒軟件以及工具給屏蔽掉了,,以致被感染的機(jī)子幾乎完全失去防御能力,。
當(dāng)然,,我們也可以適當(dāng)加以利用讓它為自己服務(wù),。假如你不希望cmd.exe在你電腦上運(yùn)行,,你只要在注冊(cè)表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 路徑下添加名為cmd.exe的項(xiàng),,再在右邊新建一個(gè)字符串值,命名為Debugger,,再在里面填上一個(gè)空路徑即可,。
拓展思維:有些病毒利用這招來對(duì)付我們的殺毒軟件,我們也可以以牙還牙,,用這招來對(duì)付病毒,,讓病毒無法啟動(dòng),但前提是該病毒的名稱不能與系統(tǒng)的主要進(jìn)程的名稱相同,,如果相同的話用了映像劫持會(huì)使得系統(tǒng)無法正常工作,,甚至崩潰,這點(diǎn)務(wù)必要注意,。
8.單挑07年毒王----AV終結(jié)者
剛剛寫完上面的入門基礎(chǔ)課程,,現(xiàn)在就把它給放出來,做個(gè)實(shí)例課程大家看看吧,,希望對(duì)大家能有所啟發(fā)。
好了,,AV終結(jié)者已經(jīng)安裝到電腦里去了,。可以發(fā)覺殺毒軟件無法啟動(dòng)了,,包括其他一些手殺工具,,例如冰刃、UnLocker等,還好,,可以打開任務(wù)管理器,,
【圖38】
首先,斷網(wǎng),!因?yàn)樗鼤?huì)自動(dòng)下載木馬到你的電腦上,。打開任務(wù)管理器,在任務(wù)管理器我們沒能發(fā)覺什么異常,,可以看到,,系統(tǒng)沒有創(chuàng)建新的進(jìn)程,,也沒能發(fā)覺哪個(gè)系統(tǒng)進(jìn)程占用內(nèi)存特別大的,但我們可以判斷,,病毒要不就把進(jìn)程給隱藏了,,要不就注入到系統(tǒng)進(jìn)程中去了,想確認(rèn),,借用工具(方便點(diǎn)....^_^....),!
上面的課程已經(jīng)簡(jiǎn)單介紹映像劫持了,就直接找到IFEO鍵下吧,???,大量的殺毒工具的主程序給寫進(jìn)來了,,如下圖:
【圖39】
【圖40】
【圖41】
【圖42】
【圖43】
【圖44】
AV終結(jié)者的編寫者可謂用心良苦,齊集了幾乎所有的出名殺毒軟件以及手殺工具,,沒幾款能幸免于難的,。不過,,想使用,,也很簡(jiǎn)單,直接把image file execution options子鍵刪掉就行,,至此殺毒軟件和手工殺毒工具都可以正常啟動(dòng)了,,注意,,別重啟,,一旦重啟,,它們將會(huì)被重新劫持,!
在查看被映像劫持的多個(gè)項(xiàng)里,發(fā)覺一個(gè)共同點(diǎn),,就是Debugger下的數(shù)據(jù)保持一致,,根據(jù)映像劫持里所提及的只是,,可判斷這就是病毒文件的路徑所在,。如下圖:
【圖45】
打開冰刃,在進(jìn)程里查看是否有紅色的進(jìn)程,,
【圖46】
|
|
|
|
|
|
|
|
|
墨泉
|
這里沒發(fā)現(xiàn)紅色進(jìn)程,,這是可以判斷,,病毒進(jìn)程插入到系統(tǒng)進(jìn)程里去了,,插入在哪個(gè)進(jìn)程呢?不知道,!...o(∩_∩)o...從以前獲得的信息知道,,AV終結(jié)者病毒進(jìn)程會(huì)注入到explorer.exe里面,,所以,,我們必須在explorer.exe關(guān)閉的情況下殺毒,,這樣病毒進(jìn)程也會(huì)暫時(shí)處于關(guān)閉狀態(tài),,就不會(huì)出現(xiàn)沒法刪掉病毒文件的情
況....
先打開注冊(cè)表(用冰刃的也可以),再在冰刃 文件 里的 設(shè)置 選上禁止進(jìn)程創(chuàng)建和禁止協(xié)件功能,,再關(guān)閉explorer.exe,防止它被非法啟動(dòng):
【圖47】
由以上的圖可見,,病毒生成的隨機(jī)名字為4020DE24,,為此我們就可以通過搜索功能找到它的相關(guān)注冊(cè)表和病毒文件,。
這里先從注冊(cè)表入手,搜索相關(guān)注冊(cè)表,,刪除,!如下圖:
【圖48】
【圖49】
【圖50】
【圖51】
搜啊~~~刪啊~~~~~再搜啊~~~~~~~再刪啊~~~~~~~~~直到搜完為止,如下圖:
【圖52】
好,,注冊(cè)表清理完了,,就接著清理文件吧,先按照?qǐng)D片上的路徑把病毒相關(guān)文件刪掉,,如下圖:
【圖53】
再查看各根目錄,,發(fā)覺D盤下有4020DE24.exe和AutoRun.inf,直接刪除,!
【圖54】
【圖55】
搜索病毒殘留文件,,不用客氣,刪,!
【圖56】
【圖57】
【圖58】
檢查啟動(dòng)組,有異常,,把那兩個(gè)desktop.ini刪除:
【圖59】
【圖60】
刷新一下,,查看原病毒路徑,發(fā)覺不再生成 4020DE24.exe和AutoRun.inf 之類的文件,,重啟電腦,,映像劫持已經(jīng)解除,,再檢查根目錄,,已經(jīng)不再生成病毒文件了,,至此,,病毒查殺完畢。
【圖61】
|
|
|
|
|
|
|
|
|
墨泉
|
一不小心就把它殺掉了.....(*^__^*).....
在此再處理一下其它小問題吧,可以發(fā)覺,,你不用工具的話就沒辦法查看隱藏文件了,,你選“顯示所有文件和文件夾”確定后還是查看不了,,再回到 文件夾選項(xiàng) 看,,可以發(fā)覺,,它又自動(dòng)的選上了“不顯示隱藏的文件和文件夾”選項(xiàng):
【圖62】
這個(gè)很容易解決,在注冊(cè)表里搜索showall項(xiàng),,把右邊的CheckedValue鍵值改為1即可,。
【圖63】
此外,,還多了個(gè)插件,,不知道是不是它送的見面禮,,一起送它們上路吧..
【圖64】
至此,收工,!
|
|
|
關(guān)注卡飯騰訊微博
關(guān)注卡飯新浪微博
