《隐藏病毒木马的常用处理方法》由会员分享,可在线阅读,更多相关《隐藏病毒木马的常用处理方法(4页珍藏版)》请在金锄头文库上搜索。
1、自从 VISTA 开始内核管理策略做了很大调整,WINDOWS 7上更是如此,审查和分级会越来越严格,现在广泛流行的ROOTKIT 、HOOK内核等技术,要在VISTA 和 WINDOWS 7上运用自如已经不是一件简单的事情。当然了,道告一尺魔高一丈,办法总是有的,但对病毒作者的编程水平要求也越来越高,半道出家的病毒 “名人”也将会越来越少,除非是发现了系统的重大漏洞,至少他应该熟悉汇编、C、 内核管理、 内存管理等方面的知识,同时为了支撑病毒或木马的传播,还需要具备网络基础、网络语言等知识,更多请阅读:编写一个病毒木马程序不是那么容易的事情,但是要想杀掉一个病毒木马要要简单的多,很多人感到困
2、难是因为没有能力判断出正确的病毒文件。一、病毒木马的典型外部特性1、商业利益企图该类病毒或木马只要上身后,都会有明显的一些特征,比如莫名弹窗、修改首页、莫名访问(肉鸡)、浏览器插件等等,大部分特征我们都可以从WINDOWS 窗口和防火墙、浏览器上体现出来, 如果是被装上灰鸽子或后台窃号木马,如果杀毒软件没有提示可能根本“看不出来” ,只能通过系统使用感觉、防火墙规则以及可疑模块等方式判断。还有以攻击或协助攻击为主要目标的木马程序,这类程序不是一般病毒木马程序,单纯是为了窃取用户资料或协助攻击,一般事情做完之后会自动卸掉所有可能的蛛丝马迹,普通用户一般没这个运气碰上。2、损人不利己和恶作剧这类程
3、序现在已经很少了,90 年代的时候最多,后来这些作者都钻到钱眼里头去了,现在少有闲人在做。下面看一下常用的处理方法,只根据经验尽可能的多列一些,实际使用都需要综合运用。二、面向新手的方法1、安全模式下启动杀毒软件扫描,一般发现或提示病毒,请记住该病毒的文件名(如果可以的话),如果重启机子后没有清理掉,可以查看该文件是否仍然存在,如果还存在就使用下面方式针对性的删除。2、使用流氓软件清理软件,网上很多大师、助手之类的都可以使用,这个根据个人习惯选用,下载时候注意来源最好官方,如果可以升级病毒库,最好先升级后再查杀。4、如果上面的两个方法还是不行,一般来讲,你想更换杀毒软件是很难的,病毒大都会检测
4、防病毒程序的安装启动情况,可以直接KILL 掉,即使你GHOST 还原系统分区也未必就可以清理掉,所以也只能说声抱歉,最好还是找找身边懂电脑的朋友,实在找不到就再试一下:三、稍有经验的网友1、首先定位病毒文件,把驱动器根目录下的文件包括隐藏文件检查一下,回想一下刚刚防病毒程序的提示,根据中毒前操作情况检查IE TEMP 目录、 WINDOWS TEMP目录下的临时可执行程序, 把能看到的可以程序都放回收站去,然后开始干干净净检查任务管理器是否存在可疑进程或使用tasklist和 taskkill ,尽量在机子未重启时候清理,有些非即插即用驱动类病毒不启动机子也没办法生效的。如果有可疑进程,应先
5、终止进程删除文件,下面方法可以综合运用,目的就是干掉进程文件。2、如果任务管理器没有发现可疑进程,就使用隐藏进程查看器(很多软件都带,网上也有专门的), 查看可疑的DLL 或 DRV 驱动。常用软件ICESWORD 、 UNLOCKER 、 Wsyscheck,在 VISTA 和 WINDOWS 7上,目前也有病毒或木马照样过冰忍的,所以一种软件没查出来可以考虑更换另一种,下载请参考:两款免费的强制删除卸载工具Unlocker和 IceSword冰刃3、运行 msconfig查看启动项,注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVer
6、sionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun查看启动项。4、控制面板管理工具里或注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices查看可疑服务。5、如果是 GHOST还原系统,还原后第一次最好直接进安全模式或PE 系统下,检查其它驱动器下是否存在AUTORUN,从我的电脑到驱动器操作,慎用鼠标双击,而改用鼠标右键打开。6、有些驱动病毒程序加载之后(安全模式照样可以加载),无法KILL 掉(系统再保护这些内核级驱动)。是因为系统服务在保护着病毒文件不被删
7、除,该病毒启动程序有可能还会检测后台服务的启动状态。驱动病毒一般系统驱动WINDOWSsystem32drivers下的 SYS 文件,尝试先在控制面板管理工具设备管理器,右键查看显示隐藏设备中,查找并停用掉可疑的非即插即用驱动程序,然后检查注册表中的对应的加载项并删除之,回头再来卸载掉设备。驱动类病毒还有drv 或 vxd 等格式,drv 一般是运行在ring3级的比较好搞定。 vxd 虽然是 ring0级,但是面向Win9x之前使用的驱动程序,现在少用了。.sys 则是 NT 内核驱动( NT/2K+),运行在 ring0级,也是最高级,想删除是要费点功夫。7、在删除驱动级病毒文件时可能会出现权限不足问题,尤其是再VISTA 和 WINDOWS 7上尤其明显(NTFS ),这时候就需要进行提权操作后删除,提权方法请参考:8、 如果病毒DLL 或驱动 SYS 被强制删除后, 最好检查一下注册表项里时候还有加载设置,否则再次启动系统可能会因为找不到该病毒程序而出现加载错误。9、还有一个办法就是通过检查系统目录下文件的修改时间来定位病毒文件,删除还可以通过双系统交叉定位删除等方式。
