浅谈手工杀毒技术

《浅谈手工杀毒技术》由会员分享，可在线阅读，更多相关《浅谈手工杀毒技术（21页珍藏版）》请在金锄头文库上搜索。

1、浅谈手工杀毒技术浅谈手工杀毒技术刘鑫刘鑫前言前言 杀毒软件随着病毒的升级而升级，一个好的杀毒杀毒软件随着病毒的升级而升级，一个好的杀毒软件并不能保证随时杀出所有的病毒，当遇到不软件并不能保证随时杀出所有的病毒，当遇到不能杀掉的病毒时，最好的办法就是手工杀毒。能杀掉的病毒时，最好的办法就是手工杀毒。 手工杀毒听起来挺高深，其实就是手工杀毒听起来挺高深，其实就是Windows的的使用而已，学习一下基本软件的使用，就这么简使用而已，学习一下基本软件的使用，就这么简单单.本文所涉及的内容本文所涉及的内容杀毒所需要知道的基本概念杀毒所需要知道的基本概念病毒的隐藏手段病毒的隐藏手段Exe类型的病毒清除类型

2、的病毒清除Dll类型的病毒清除类型的病毒清除U盘病毒全面封杀盘病毒全面封杀网页传播病毒的原理网页传播病毒的原理合理的配置预防病毒合理的配置预防病毒需要知道的基本概念需要知道的基本概念进程进程 进程是程序在计算机上的一次执行活动。当进程是程序在计算机上的一次执行活动。当你运行一个程序，你就启动了一个进程。显你运行一个程序，你就启动了一个进程。显然，程序是死的然，程序是死的(静态的静态的)，进程是活的，进程是活的(动动态的态的)。进程可以分为系统进程和用户进程。进程可以分为系统进程和用户进程。凡是用于完成操作系统的各种功能的进程就凡是用于完成操作系统的各种功能的进程就是系统进程，它们就是处于运行状

3、态下的操是系统进程，它们就是处于运行状态下的操作系统本身；用户进程就是所有由你启动的作系统本身；用户进程就是所有由你启动的进程。进程是操作系统进行资源分配的单位。进程。进程是操作系统进行资源分配的单位。系统运行所必需的进程系统运行所必需的进程system Idle Processcsrss.exeexplorer.exe c:windowslsass.exeservices.exesmss.exespoolsv.exesvchost.exewinlogon.exesystem.exe程序全部位于程序全部位于C:windowssystem32认识病毒认识病毒 病毒就是我们不想运行的恶意的程序，隐

4、藏病毒就是我们不想运行的恶意的程序，隐藏在系统中偷窥我们的信息，既然病毒也是程在系统中偷窥我们的信息，既然病毒也是程序那么病毒就应该有它自己的进程，我们只序那么病毒就应该有它自己的进程，我们只要用任务管理器结束它，在删除掉病毒的主要用任务管理器结束它，在删除掉病毒的主程序似乎就杀掉了病毒，不过既然是病毒，程序似乎就杀掉了病毒，不过既然是病毒，它的开发者也想到了这点，他会让病毒每次它的开发者也想到了这点，他会让病毒每次开机都自动运行。怎样开机自动运行？需要开机都自动运行。怎样开机自动运行？需要知道第二个概念。知道第二个概念。第二个概念第二个概念注册表注册表 注册表是注册表是windows的命根，

5、里面储存着大量的命根，里面储存着大量的系统信息，是一个庞大的数据库。注册表里的系统信息，是一个庞大的数据库。注册表里面所有的信息平时都是由面所有的信息平时都是由windows操作系统操作系统自主管理的，也可以通过软件或手工修改。注自主管理的，也可以通过软件或手工修改。注册表里面有很多系统的重要信息，包括外设，册表里面有很多系统的重要信息，包括外设，驱动程序，软件，用户记录等等，注册表在很驱动程序，软件，用户记录等等，注册表在很大程度上大程度上“指挥指挥”电脑怎样工作。注册表有很电脑怎样工作。注册表有很大的用处，功能非常强大，是大的用处，功能非常强大，是windows的核的核心。通过修改注册表，

6、我们可以对系统进行限心。通过修改注册表，我们可以对系统进行限制、优化等等制、优化等等 。杀毒时所必须知道的就是注册。杀毒时所必须知道的就是注册表里的启动项。百分之九十的病毒都是通过注表里的启动项。百分之九十的病毒都是通过注册表与服务启动的。册表与服务启动的。 注册表的一些启动键值注册表的一些启动键值1 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun2 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce3 HKEY_LOCAL_MACHINESoft

7、wareMicrosoftWindowsCurrentVersionRunService 4 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce5 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun6 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce7 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionR

8、unOnceSetup8 HKEY_USERSDefaultSoftwareMicrosoftWindowsCurrentVersionRun9 HKEY_USERSDefaultSoftwareMicrosoftWindowsCurrentVersionRunOnce10 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon11 HKEY_LOCAL_MACHINESystemCurrentControlSetServic esVxD12 HKEY_CURRENT_USERControl PanelDesktop

9、13 HKEY_LOCAL_MACHINESystemCurrentControlSetContro lSession Manager14HKEY_L_MSoftwareMicrosoftWindowsNTCurrentVersionWinlogonUserinit15HKEY_L_MSoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad16HKEY_C_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsrun17HKEY_C_USERSoftwareMicrosof

10、tWindowsNTCurrentVersionWindowsload18HKEY_C_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerrun19HKEY_L_MSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerrun第三个概念第三个概念说说服务说说服务服务概述服务概述 定义：执行指定功能的程序或进程，以便支定义：执行指定功能的程序或进程，以便支持其他程序，尤其是底层程序。持其他程序，尤其是底层程序。 服务服务是一种在后台运行的应用程序类型，它是一种在后台运行的应用程序

11、类型，它与与 UNIX 后台应用程序类似。服务应用程后台应用程序类似。服务应用程序通常可以在本地和通过网络为用户提供一序通常可以在本地和通过网络为用户提供一些功能，例如客户端些功能，例如客户端/服务器应用程序、服务器应用程序、Web 服务器、数据库服务器以及其他基于服务器、数据库服务器以及其他基于服务器的应用程序。服务器的应用程序。病毒的伪装手段病毒的伪装手段进程的伪装进程的伪装 病毒为了不让自己被轻易的发现，会修改自己的文件名和系统进病毒为了不让自己被轻易的发现，会修改自己的文件名和系统进程类似来干扰我们，如数字程类似来干扰我们，如数字1和字母和字母l，数字，数字0和字母和字母O。 （svc

12、host！=svch0st）图标的伪装图标的伪装 将本身的图标改称图片的图标或着是计事本的图标来达到伪装的将本身的图标改称图片的图标或着是计事本的图标来达到伪装的目的和目的和钓鱼钓鱼的目的。的目的。 小知识：小知识：windows下的图片察看器是下的图片察看器是 C:windowssystem32shimgvw.dll 在在explorer.exe里里 Rootkit技术技术Exe类型的病毒清除类型的病毒清除Exe类型病毒清除的一般思路类型病毒清除的一般思路1 结束进程（可能是多个进程）结束进程（可能是多个进程） 不建议使用任务管理器，用杀毒助手、不建议使用任务管理器，用杀毒助手、 ICESw

13、ord等等2 去掉启动项去掉启动项 不建议用不建议用msconfig，用，用Autorun.exe3 删除病毒文件删除病毒文件 一般在系统文件夹下一般在系统文件夹下4 修复注册表修复注册表 txt,exe关联，关联，IE等恢复等恢复Dll型病毒的清除型病毒的清除Dll病毒简介病毒简介 Dll是动态链接库的意思，它是是动态链接库的意思，它是Windows的基础，因的基础，因为所有的为所有的API函数都是在函数都是在Dll中实现的。中实现的。Dll文件不能独文件不能独立运行，一般都是由进程加载并调用的，所以进程列表立运行，一般都是由进程加载并调用的，所以进程列表中并不会出现中并不会出现Dll，如果

14、进程是可信的，那么，如果进程是可信的，那么Dll也是可也是可信的。现在许多恶意软件都钟情信的。现在许多恶意软件都钟情Dll方式，方式，dll病毒一般病毒一般通过通过Rundll32使用动态插入的技术插入到系统关键进使用动态插入的技术插入到系统关键进程，如果插入到程，如果插入到IExplore.exe、Svchost.exe等进等进程，可以轻易穿透防火墙。程，可以轻易穿透防火墙。 病毒发展的最高境界是病毒发展的最高境界是DLL加上加上RootKit技术！技术！Dll类型的病毒清除类型的病毒清除 由于病毒由于病毒Dll独特的启动方式和隐蔽性，使独特的启动方式和隐蔽性，使许多的菜鸟加老鸟都素手无策、

15、头疼不已，许多的菜鸟加老鸟都素手无策、头疼不已，可以考虑用可以考虑用IceSword对插入的对插入的Dll文件进文件进行强制解除，不过找到这个行强制解除，不过找到这个Dll文件是一个文件是一个很大的难题，光很大的难题，光system32下就有一千多下就有一千多个个Dll文件，文件，IE加载的就有一百左右，如何加载的就有一百左右，如何判断？这就需要先前做好准备。判断？这就需要先前做好准备。备份必要的文件备份必要的文件 Dir C:WindowsSystem32*.dll /a dll_bak.txt Listdlls svchost.exe svc_bak.txt 无法判断病毒的无法判断病毒的D

16、ll，感觉中了，感觉中了Dll木马之后再用木马之后再用 Dir C:WindowsSystem32*.dll /a dll_xin.txt Listdlls svchost.exe svc_xin.txt 用用 fc dll_bak.txt dll_xin.txt dll_diff.txt fc svc_bak.txt svc_xin.txt svc_diff.txt 来逐个判断来逐个判断 对于前面提到的系统进程建议全部做备份对于前面提到的系统进程建议全部做备份dll文档文档手工杀毒实例手工杀毒实例 目前比较流行的木马有神气、灰鸽子、目前比较流行的木马有神气、灰鸽子、PcShare、黑洞、上兴

17、远程控制、冰、黑洞、上兴远程控制、冰河等，还有被认为是正常的系统软件河等，还有被认为是正常的系统软件有时也被黑客利用如有时也被黑客利用如Radmin等，以等，以神气木马为例讲解手工杀毒神气木马为例讲解手工杀毒 手工清除神气木马手工清除神气木马 手工清除神气木马测试手工清除神气木马测试U盘病毒的全面封杀盘病毒的全面封杀网上流传的错误说法网上流传的错误说法 网上说右键打开就可以避免运行网上说右键打开就可以避免运行U盘病毒，可是通盘病毒，可是通过查阅资料可以发现这种说法是完全错误的。过查阅资料可以发现这种说法是完全错误的。 U盘病毒运行的机理：盘病毒运行的机理： 根目录下根目录下Autorun.in

18、f 最简单的内容为：最简单的内容为： AutoRun open=木马木马.exe 如果替换成如果替换成 shellopencommand=mm.exe shellexplorecommand=mm.exe shellfindcommand=mm.exe 实例实例U盘病毒的全面封杀盘病毒的全面封杀1 关闭自动播放关闭自动播放 Gpedit.msc,计算机配置计算机配置管理模版管理模版系统中系统中“关闭自动播放关闭自动播放”2 正确的打开磁盘正确的打开磁盘 我得电脑我得电脑文件夹文件夹打开磁盘，地址栏转到的方法打开磁盘，地址栏转到的方法3 以文件夹方式进行查看以文件夹方式进行查看4 给键值设上权限

19、给键值设上权限 HKEY_CURRENT_USERSoftWareMicrosoftWindowsCurrentVersionExplorerMountPoints2网页传播病毒的机理网页传播病毒的机理 据我统计百分之九十就是的病毒都是浏览网据我统计百分之九十就是的病毒都是浏览网站中的，江民公司调查表明站中的，江民公司调查表明80%的网站带的网站带毒运行，但是我们是怎样中病毒的？毒运行，但是我们是怎样中病毒的？ 黑客叫黑客叫“挂马挂马”，就是我们浏览网页时，由，就是我们浏览网页时，由于网页中有恶意代码使我们下载病毒并执行。于网页中有恶意代码使我们下载病毒并执行。 代码代码 实例实例学校邮件服务

20、器跨站漏洞学校邮件服务器跨站漏洞 知道了中木马的原理，再来看一下看邮件是知道了中木马的原理，再来看一下看邮件是怎样中病毒的，以咱们学校邮件系统为例：怎样中病毒的，以咱们学校邮件系统为例： 实例实例合理的配置尽量预防病毒合理的配置尽量预防病毒1 优化系统启动项优化系统启动项 用用Autorun删除除了系统进程和杀毒软件的所有启动项，删除除了系统进程和杀毒软件的所有启动项， 给一些注册表的启动项设置只读权限。给一些注册表的启动项设置只读权限。2 优化系统服务项优化系统服务项 停掉不必要的系统服务如自动升级、停掉不必要的系统服务如自动升级、 server等等3 注意新出的系统漏洞，勤打补丁注意新出的系统漏洞，勤打补丁4 更改更改vbs、bat、vbe等脚本文件的打开方式等脚本文件的打开方式5 多看看系统安全方面的书，配置人比配置电脑更重要多看看系统安全方面的书，配置人比配置电脑更重要 欢迎指正欢迎指正 谢谢谢谢