Keep on going, never give up.

隐藏病毒木马的感染部署与常用处理方法(二)

之前天缘发了《隐藏病毒木马的感染部署与常用处理方法(一)》一文,今天我们来看一下隐藏病毒木马的常用处理方法,所谓知己知彼,方能应对自如,实际上现在的真正的有点水准的病毒和木马程序都是相当难写的,因为自从VISTA开始内核管理策略做了很大调整,WINDOWS 7上更是如此,审查和分级会越来越严格,现在广泛流行的ROOTKIT、HOOK内核等技术,要在VISTA和WINDOWS 7上运用自如已经不是一件简单的事情。

当然了,道告一尺魔高一丈,办法总是有的,但对病毒作者的编程水平要求也越来越高,半道出家的病毒“名人”也将会越来越少,除非是发现了系统的重大漏洞,至少他应该熟悉汇编、C、内核管理、内存管理等方面的知识,同时为了支撑病毒或木马的传播,还需要具备网络基础、网络语言等知识,更多请阅读:

隐藏病毒木马的感染部署与常用处理方法(一)

编写一个病毒木马程序不是那么容易的事情,但是要想杀掉一个病毒木马要要简单的多,很多人感到困难是因为没有能力判断出正确的病毒文件。

一、病毒木马的典型外部特性

1、商业利益企图

该类病毒或木马只要上身后,都会有明显的一些特征,比如莫名弹窗、修改首页、莫名访问(肉鸡)、浏览器插件等等,大部分特征我们都可以从WINDOWS 窗口和防火墙、浏览器上体现出来,如果是被装上灰鸽子或后台窃号木马,如果杀毒软件没有提示可能根本“看不出来”,只能通过系统使用感觉、防火墙规则以及可疑模块等方式判断。

还有以攻击或协助攻击为主要目标的木马程序,这类程序不是一般病毒木马程序,单纯是为了窃取用户资料或协助攻击,一般事情做完之后会自动卸掉所有可能的蛛丝马迹,普通用户一般没这个运气碰上。

2、损人不利己和恶作剧

这类程序现在已经很少了,90年代的时候最多,后来这些作者都钻到钱眼里头去了,现在少有闲人在做。

 

下面看一下常用的处理方法,天缘只根据经验尽可能的多列一些,实际使用都需要综合运用。

二、面向新手的方法

1、安全模式下启动杀毒软件扫描,一般发现或提示病毒,请记住该病毒的文件名(如果可以的话),如果重启机子后没有清理掉,可以查看该文件是否仍然存在,如果还存在就使用下面方式针对性的删除。

2、使用流氓软件清理软件,网上很多大师、助手之类的都可以使用,这个根据个人习惯选用,下载时候注意来源最好官方,如果可以升级病毒库,最好先升级后再查杀。

4、如果上面的两个方法还是不行,一般来讲,你想更换杀毒软件是很难的,病毒大都会检测防病毒程序的安装启动情况,可以直接KILL掉,即使你GHOST还原系统分区也未必就可以清理掉,所以天缘也只能说声抱歉,最好还是找找身边懂电脑的朋友,实在找不到就再试一下:

三招搞定计算机上的病毒、木马、插件

 

三、稍有经验的网友

1、首先定位病毒文件,把驱动器根目录下的文件包括隐藏文件检查一下,回想一下刚刚防病毒程序的提示,根据中毒前操作情况检查IE TEMP目录、WINDOWS TEMP目录下的临时可执行程序,把能看到的可以程序都放回收站去,然后开始干干净净检查任务管理器是否存在可疑进程或使用tasklist和taskkill,尽量在机子未重启时候清理,有些非即插即用驱动类病毒不启动机子也没办法生效的。如果有可疑进程,应先终止进程删除文件,下面方法可以综合运用,目的就是干掉进程文件。

2、如果任务管理器没有发现可疑进程,就使用隐藏进程查看器(很多软件都带,网上也有专门的),查看可疑的DLL或DRV驱动。常用软件ICESWORD、UNLOCKER、Wsyscheck......,在VISTA和WINDOWS 7上,目前也有病毒或木马照样过冰忍的,所以一种软件没查出来可以考虑更换另一种,下载请参考:

两款免费的强制删除卸载工具——Unlocker和IceSword冰刃

3、运行msconfig查看启动项,注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun查看启动项。

4、控制面板——管理工具里或注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services查看可疑服务。

5、如果是GHOST还原系统,还原后第一次最好直接进安全模式或PE系统下,检查其它驱动器下是否存在AUTORUN,从我的电脑到驱动器操作,慎用鼠标双击,而改用鼠标右键打开。

6、有些驱动病毒程序加载之后(安全模式照样可以加载),无法KILL掉(系统再保护这些内核级驱动)。是因为系统服务在保护着病毒文件不被删除,该病毒启动程序有可能还会检测后台服务的启动状态。驱动病毒一般系统驱动WINDOWS\system32\drivers下的SYS文件,尝试先在控制面板——管理工具——设备管理器,右键查看显示隐藏设备中,查找并停用掉可疑的非即插即用驱动程序,然后检查注册表中的对应的加载项并删除之,回头再来卸载掉设备。驱动类病毒还有drv或vxd等格式,drv一般是运行在ring3级的比较好搞定。vxd虽然是ring0级,但是面向Win9x之前使用的驱动程序,现在少用了。.sys则是NT内核驱动(NT/2K+),运行在ring0级,也是最高级,想删除是要费点功夫。

7、在删除驱动级病毒文件时可能会出现权限不足问题,尤其是再VISTA和WINDOWS 7上尤其明显(NTFS),这时候就需要进行提权操作后删除,提权方法请参考:

Windows 7提权办法图解

8、如果病毒DLL或驱动SYS被强制删除后,最好检查一下注册表项里时候还有加载设置,否则再次启动系统可能会因为找不到该病毒程序而出现加载错误。

9、还有一个办法就是通过检查系统目录下文件的修改时间来定位病毒文件,删除还可以通过双系统交叉定位删除等方式。

 

更多文章:

如何选择安装合适的杀毒软件、防火墙

关于电脑维护和使用习惯方面文章汇总推荐

为什么杀毒软件会对很多内存注册机、破解软件报病毒

如何养成让您电脑更安全的使用习惯

相关评论(0):  

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

订阅博客

最新文章

本站采用创作共用版权协议, 要求署名、非商业用途和保持一致. 转载也必须遵循“署名-非商业用途-保持一致”的创作共用协议. 返回顶部
Copyright@2005-2016 Metsky.com, All rights Reserved.