最近一段时间,各种木马,蠕虫,,流氓软件层出不穷啊……我等小菜每天被折磨的提心吊胆的,生怕一念之间电脑即刻分崩离析啊。不过还好,即使水平虽菜,对系统核心编程就算了解不够深入,无法效仿PJF等牛人写出ICEWORAD等防黑利器,不过网上高人们写好先现成的工具也是信手捻来。由于黑客知识的大众化,改特征码,加壳等免杀手法即使小菜也能融会贯通,故我对杀毒软件早已丧失信心了,只好手抄更专业的利器亲自杀毒…
在这里,我想向大家介绍一些小而精悍的软件,来弥补智能化杀毒软件在杀毒中的不足。
本文共分 剑:
分别是启动方式查杀——怎样查找病毒
进程查杀——怎样杀掉内存中的病毒
文件查杀——怎样杀掉硬盘中的病毒
独孤九剑第一式——总诀式
要想杀毒,先得查清毒的具体位置。根据病毒的厉害程度,大体可分为三种:第一种最肤浅,也最原始,仅仅利用.exe文件驻留内存;第二种比较高级点,用了DLL达到隐藏自己的目的;第三中算最牛了吧,采取驱动加载的方式,并且挂接系统服务,时刻监控木马本体,让人欲卸不能啊……
不过正所谓“独孤九剑”,即是要破尽天下各门各派病毒。剑法讲究的便是“料敌先机”四字,首先对敌方所用招式做出判断,分析,再进而破之。且本心法正如其名,越是精妙的招数(既病毒的诡计),越容易被破……说至此大概读者要起哄了,别急,下面我会解释的,呵呵。
……
独孤九剑第二式——破剑式
启动方式查杀
本式既破解天下病毒的启动方式。前面说了,病毒有三种类型,那么启动方式也有所高低精妙之别。最简单的莫过于直接放到启动文件夹里。不过这也太暴露了,故有点常识的人就会采取以下几种自启动手法:(以下为网上摘抄)
一.自启动项目:开始---程序---启动,里面添加一些应用程序或者快捷方式.这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.路径:C:\Documents and Settings\Owner\「开始」菜单\程序\启动二. 第二自启动项目:这个是很明显却被人们所忽略的一个,使用方法和第一自启动目录是完全一样的, 只要找到该目录,将所需要启动的文件拖放进去就可以达到启动的目的.路径:C:\Documents and Settings\User\「开始」菜单\程序\启动三. 系统配置文件启动:对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方式启动.1)WIN.INI启动:启动位置(xxx.exe为要启动的文件名称):[windows] load=xxx.exe[这种方法文件会在后台运行]run=xxx.exe[这种方法文件会在默认状态下被运行]2)SYSTEM.INI启动:启动位置(xxx.exe为要启动的文件名称): 默认为:[boot] Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows资源管理器,属于正常]可启动文件后为:[boot] Shell= Explorer.exe xxx.exe [现在许多病毒会采用此启动方式,随着Explorer启动, 隐蔽性很好]注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe xxx.exe换为Shell=xxx.exe,这样会使Windows瘫痪!3) WININIT.INI启动:WinInit即为Windows Setup Initialization Utility, 中文:Windows安装初始化工具.它会在系统装载Windows之前让系统执行一些命令,包括复制,删除,重命名等,以完成更新文件的目的.文件格式: [rename] xxx1=xxx2 意思是把xxx2文件复制为文件名为xxx1的文件,相当于覆盖xxx1文件如果要把某文件删除,则可以用以下命令:[rename] nul=xxx2以上文件名都必须包含完整路径.4) WINSTART.BAT启动: 这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.如: “@if exist C:\WINDOWS\TEMPxxxx.BAT call C:\WINDOWS\TEMPxxxx.BAT”这里是执行xxxx.BAT文件的意思5) USERINIT.INI启动[2/2补充]:这种启动方式也会被一些病毒作为启动方式,与SYSTEM.INI相同.6) AUTOEXEC.BAT启动:这个是常用的启动方式.病毒会通过它来做一些动作. 在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y 等等其它.四. 注册表启动:通过注册表来启动,是WINDOWS中使用最频繁的一种.----------------------------------------------------------------------------------------------------------------- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\BootExecuteHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\BootExecuteHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\NotifyHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\HKEY_CURRENT_USER\Control Panel\DesktopHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session ManagerHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserinitHKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\runHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\loadHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\HKLM\SOFTWARE\Classes\Protocols\FilterHKLM\SOFTWARE\Classes\Protocols\HandlerHKLM\SOFTWARE\Microsoft\Active Setup\Installed ComponentsHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskSchedulerHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoadHKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooksHKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\ApprovedHKLM\Software\Classes\Folder\Shellex\ColumnHandlersHKCU\Software\Microsoft\Internet Explorer\UrlSearchHooksHKLM\Software\Microsoft\Internet Explorer\ToolbarHKLM\Software\Microsoft\Internet Explorer\ExtensionsHKLM\System\CurrentControlSet\Control\Session Manager\BootExecuteHKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution OptionsHKLM\System\CurrentControlSet\Control\Session Manager\KnownDllsHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHostHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\NotifyHKCU\Control Panel\Desktop\Scrnsave.exeHKLM\System\CurrentControlSet\Services\WinSock\Parameters\Protocol_Catalog9HKLM\SYSTEM\CurrentControlSet\Control\Print\MonitorsHKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication PackagesHKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification PackagesHKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages五.其他启动方式:(1).C:\Explorer.exe启动方式:这种启动方式很少人知道.在Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的名称,而并没有指定绝对路径,所以Win9X会搜索Explorer.exe文件.搜索顺序如下: (1).搜索当前目录. (2).如果没有搜索到Explorer.exe则系统会获取 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]的信息获得相对路径.(3).如果还是没有文件系统则会获取[HKEY_CURRENT_USER\Environment\Path]的信息获得相对路径.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]和[HKEY_CURRENT_USER\Environment\Path]所保存的相对路径的键值为:“%SystemRoot%System32;%SystemRoot%”和空.所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这样系统搜索Explorer.EXE的顺序应该是: (1).%SystemDrive%(例如C:\) (2).%SystemRoot%System32(例如C:\WINNT\SYSTEM32) (3).%SystemRoot%(例如C:\WINNT)此时,如果把一个名为Explorer.EXE的文件放到系统根目录下,这样在每次启动的时候系统就会自动先启动根目录下的Explorer.exe而不启动Windows目录下的Explorer.exe了. 在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系统启动时要使用的外壳文件(Explorer.exe)的名称放到了: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell] 而在Windows 2000 SP2中微软已经更改了这一方式.(2).屏幕保护启动方式:Windows 屏幕保护程序是一个*.scr文件,是一个可执行PE文件,如果把屏幕保护程序*.scr重命名为*.exe的文件,这个程序仍然可以正常启动,类似的*.exe文件更名为*.scr文件也仍然可以正常启动.文件路径保存在System.ini中的SCRNSAVE.EXE=的这条中.如: SCANSAVE.EXE=/%system32% xxxx.scr这种启动方式具有一定危险.(3).计划任务启动方式:Windows 的计划任务功能是指某个程序在某个特指时间启动.这种启动方式隐蔽性相当不错.[开始]---[程序]---[附件]---[系统工具]---[计划任务],按照一步步顺序操作即可.(4).AutoRun.inf的启动方式:Autorun.inf这个文件出现于光盘加载的时候,放入光盘时,光驱会根据这个文件内容来确定是否打开光盘里面的内容.Autorun.inf的内容通常是: [AUTORUN] OPEN=文件名.exe ICON=icon(图标文件).ico 1.如一个木马,为xxx.exe.那么Autorun.inf则可以如下:OPEN=Windows\xxx.exe ICON=xxx.exe 这时,每次双击C盘的时候就可以运行木马xxx.exe.2.如把Autorun.inf放入C盘根目录里,则里面内容为:OPEN=D:\xxx.exe ICON=xxx.exe 这时,双击C盘则可以运行D盘的xxx.exe(5).更改扩展名启动方式:更改扩展名:(*.exe)如:*.exe的文件可以改为:*.bat,*.scr等扩展名来启动.六.Vxd虚拟设备驱动启动方式:应用程序通过动态加载的VXD虚拟设备驱动,而去的Windows 9X系统的操控权(VXD虚拟设备驱动只适用于Windows 95/98/Me).可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序,使得几个应用程序可以同时使用这些资源.七.Service[服务]启动方式:[开始]---[运行]---输入"services.msc",不带引号---即可对服务项目的操作.在“服务启动方式”选项下,可以设置系统的启动方式:程序开始时自动运行,还是手动运行,或者永久停止启动,或者暂停(重新启动后依旧会启动).注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services通过服务来启动的程序,都是在后台运行,例如国产木马"灰鸽子"就是利用此启动方式来达到后台启动,窃取用户信息.八.驱动程序启动方式:有些病毒会伪装成硬件的驱动程序,从而达到启动的目的.1.系统自带的驱动程序.[指直接使用操作系统自带的标准程序来启动]2.硬件自带的驱动程序.[指使用硬件自带的标准程序来启动]3.病毒本身伪装的驱动程序.[指病毒本身伪装的标准程序来启动]06/3/11补充[来自peter_yu]:windir\Start Menu\Programs\Startup\User\Startup\All Users\Startup\windir\system\iosubsys\windir\system\vmm32\windir\Tasks\c:\explorer.exe c:\autoexec.batc:\config.syswindir\wininit.iniwindir\winstart.batwindir\win.ini - [windows] "load"windir\win.ini - [windows] "run"windir\system.ini - [boot] "shell"windir\system.ini - [boot] "scrnsave.exe"windir\dosstart.batwindir\system\autoexec.ntwindir\system\config.nt06/3/25补充[来自smzd2005]:Folder.httdesktop.iniC:\Documents and Settings\用户名\Application Data\Microsoft\Internet Explorer\Desktop.htt06/8/1补充[本人补充(注册表启动方式)]:HKLM\SYSTEM\CurrentControlSet\Control\MPRServicesHKCU\ftp\shell\open\commandHKCR\ftp\shell\open\commandHKCU\Software\Microsoft\oleHKCU\Software\Microsoft\Command ProcessorHKLM\SOFTWARE\Classes\mailto\shell\open\commandHKLM\SOFTWARE\Classes\PROTOCOLSHKCR\PROTOCOLSHKCU\Control Panel\DesktopHKLM\SOFTWARE\Policies\Microsoft\Windows\System\ScriptsHKLM\SOFTWARE\Microsoft\Code Store Database\Distribution UnitsHKLM\SYSTEM\CurrentControlSet\Services\WinSock2HKLM\SYSTEM\CurrentControlSet\Control\LsaHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunHKLM\SOFTWARE\Microsoft\Active Setup\Installed ComponentsHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCacheHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoadHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskSchedulerHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooksHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell FoldersHKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\StartupHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServicesHKLM\Software\Microsoft\Active Setup\Installed ComponentsHKCU\Software\Microsoft\Windows NT\CurrentVersion\WindowsHKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows06/8/6补充[本人补充(注册表启动方式)]:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution OptionsHKLM\System\CurrentControlSet\Control\Session Manager\KnownDllsHKLM\SOFTWARE\Classes\Protocols\HandlerHKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupProgramsHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell。
……
说了这么多,大家肯定不赖烦了吧,嘿嘿,下面才是本剑式的要决:autoruns光荣出场!
对我等菜鸟来说,autoruns确实是一款不可多得神兵利刃。先看下界面:
由此可见,autoruns可谓是一应俱全啊,病毒能想的启动项autoruns基本都想到了.如果病毒权限不是太高,或不厉害的那种,没时刻监视注册表,直接在autoruns里关启动项就可防范未然了。
当然既然本文是面向菜鸟的,有可能很多人甚至还看不懂那些启动项有,哪些又是病毒伪装的。这点上,autoruns就算想的周全了:对陌生启动项单击右键[图],可看到GOOGLE一项,单击,即可立即在网上查到有关的详细信息,于广大菜鸟朋友造福不浅啊……
这里有个要注意的地方:凡是autoruns认为没有经过微软数字签名的启动项,都是有问题的,大家多注意这些地方,一般都能找到病根。
另外,也有些服务是隐藏的,此时在服务栏中看到红色显示的服务项,这表示是隐藏的服务,这时,找到对应的DLL,删除
用autoruns查启动项,绝大数病毒能被查出来,此时怎么杀,就要看下面的了。
独孤九剑第三式:
第三式,
进程查杀!
这里出场的便是”超级巡警”!这款软件出道不长,不过功能可谓强大!
先看界面:
建议大家用“标准版”的,功能更强,主要是有“保险箱”,好处多多哦,一旦中了毒,首先看看“启动管理”,这里和第二剑类似,不过一些小功能可能更方便些,比如右键菜单中的“定位到文件”,一旦确认可疑,直接定位,删除!
不过这里推荐超级巡警,是另外的原因:注意看“进程管理”的黄色或红色选项,黄色代表进程被插入了可疑的DLL(动态链接库),此时就有必要怀疑其安全性了,这对于菜鸟真是福音,可能很多人到现在还分不清哪些是系统进程,哪些是非系统进程吧,即使知道是系统进程,但进程里面的DLL实在太多,记不下来,就算看到了也不知道该不该谢载吧。呵呵,现在一目了然了,在下方的模块列表中,找到黄色选项,凭经验判断是否为正常DLL,这里有个小技巧,对于你不熟悉的DLL,可以直接用右键 google搜索一下,一般就能知道答案了。其次是红色进程,这时应该严重关注了,它代表有远程线程!一般很少有程序会用远程线程,现在看到红色,岂不是标榜自己是病毒?杀而快之吧!
“超级巡警”的进程管理也十分强大!
可以看到,功能很多,值得注意的是“从内核获取进程列表”,这是杀rootkit 的好方法!有些病毒,有多进程的守护,此时选中全部的可疑进程,一起杀掉,再“打开所在文件夹”,删掉,病毒就没了。
更进一步,刚才的方法只能对付中级的—有进程在列表的病毒,或隐藏的不够深入的病毒;而先今更强的rootkit,已经能躲过目前大部分进程工具(超级巡警能否躲过未测试,但有更好的选择了)不过这一切,在冰刃里,就全然失效了!
引用冰刃的话“绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系统调用(前二者最终也用到此调用)来编写,随便一个ApiHook就可轻轻松松干掉它们”。的确,想要查杀更高级的rootkit,冰刃在好不过了。这时注意,冰刃里的红色进程,直接就是隐藏进程,无须怀疑,直接右键杀掉!
再介绍一个技巧,
总结:当感觉系统中毒时,用“超级巡警”查看可疑进程,DLL,再用冰刃查杀隐藏进程,可疑线程。
没有评论:
发表评论