手工殺毒技術(shù)

服務(wù)病毒黑客手工殺毒技術(shù).李詩(shī)平(南京信息工程大學(xué)圖書(shū)館，江蘇南京210044)摘要:該文根據計算機病毒感染的一般特性，從計算機病毒的痕跡追蹤入手，討論了Windows下和Dos下的幾種手工殺毒方法關(guān)鍵詞:計算機病毒;手工殺毒;動(dòng)態(tài);靜態(tài); DOS; WindowsTechnology of killing virus by handLi Shi-ping(Library of nanig Iniersity of iformnation science & Technobey, Nanimg 210044 P. 居。Chia)Abstract: Acording the general of virus spreading, this paper dsussed some ways of klling viruses by hand in dos and windows mode，firststep is tracing them.Key words; computer virus; kil virus by hand;active; quiet;DOS; Windows1引言等等，這些工具是手工殺毒的利器。計算機病毒的氣勢在當下似乎已經(jīng)壓住了殺毒軟件,因為許多安裝了正版殺毒軟件的計算機，有時(shí)候非但殺不2計算機病毒痕跡的簡(jiǎn)易追蹤法了病毒卻反被病毒殺死;有時(shí)候，不安裝病毒的計算機運如果計算機運行異常緩慢，異常文件被刪除又立即產(chǎn)行正常，安裝了防火墻(病毒和安全防火墻)的卻常常伴生了，異常啟動(dòng)甚至藍屏等等，那么計算機系統中就有可隨著(zhù)運行緩慢和死機現象。這種情況使得普通用戶(hù)叫苦不能存在病毒。發(fā)現病毒的存在位置，是解決病毒的關(guān)鍵所迭;具備計算機知識的用戶(hù)常常重新安裝計算機系統。但在。是現在的病毒發(fā)展速度驚人，隱藏的服務(wù)(Service). 隱享譽(yù)世界的華裔刑偵專(zhuān)家李昌鈺博士相信:凡發(fā)生必藏的進(jìn)程(Process) 比比皆是,從而造成了病毒不能發(fā)現，留下痕跡，證據總有說(shuō)話(huà)的一- 天。計算機病毒也是如此，正版殺毒軟件也不能除去等等。遇到這種情況，許多用戶(hù)總會(huì )留下痕跡。.往往選擇重新安裝。重新安裝，對于不怎么重要的個(gè)人計2.1查看計算機運行程序和進(jìn)程發(fā)現病毒算機是可以的，但是對于重要的計算機，包括重要的辦公查找計算機病毒首先要用Windows自帶的任務(wù)管理機、監控機以及服務(wù)器等就不適用了。有識之士認為，手器，它提供正在您的計算機上運行的程序和進(jìn)程的相關(guān)信工殺毒是未來(lái)必備的基本技術(shù)，手工殺毒也必將成為計算息。如果發(fā)現有異常進(jìn)程,就必領(lǐng)知道進(jìn)程的用途。對于簡(jiǎn)單的病毒，鼠標右鍵點(diǎn)擊就能終止。如果沒(méi)有發(fā)現異常機的基礎教育之一。手工殺毒，就是計算機工作人員運用操作系統的基本進(jìn)程，但是System Idle Process 條目的CPU占用是95思想，用一些工具軟件排除病毒和惡意插件?？梢钥隙?，以下，甚至是零，就需要知道占用時(shí)間長(cháng)的那個(gè)進(jìn)程。其工具軟件是非常重要的，與現實(shí)生產(chǎn)關(guān)系中的性質(zhì)一樣，次,用Msconfig查看啟動(dòng)項目,看看有哪些啟動(dòng)是異常的。它是決定性環(huán)節。手工殺毒者，必要具備- -些基礎知識，ProcessExplorer是手工殺毒者推崇的一款軟件,它尤其是操作系統的理論，這樣才能更好地使用工具排除病能輕易地顯示任務(wù)管理器無(wú)法偵查的病毒線(xiàn)程或隱藏毒。用于殺毒的工具軟件越來(lái)越多，這也是伴隨著(zhù)病毒的進(jìn)程，它還能查出系統中進(jìn)程(包括system進(jìn)程)使發(fā)展而發(fā)展的。這些工具包括SSM、超級兔子、瑞星卡用計算機資源的狀況。對于--些惡意網(wǎng)站如piaoxue、卡，gmer,冰刃、unlocker, knlsc. ProcessExplorer.hao中國煤化工ocessExplorer用戶(hù)就ListDIls. RegMon, filemon, Sreng. ac (attribution可以HC N M H G都是啟動(dòng)某個(gè)或多個(gè)服change)以及帶有NTFSPRO、ghost的DOS啟動(dòng)光盤(pán)務(wù)導致的。在ProcessExplorer的窗口下，鼠標右鍵點(diǎn)擊6計明機字象據007.12www.nsc.org.cn病毒黑客服務(wù)system進(jìn)程，選擇properties,選擇threads就能夠發(fā)現壞軟件)，mal前綴是非常貼切的。手工殺毒主要強調在存在名字怪異且非?；钴S的線(xiàn)程，這些就是我們要排除的瑞星、金山毒霸等軟件無(wú)法正常防護的情況下，用戶(hù)能憑目標?！笆止⒍尽钡募夹g(shù),維護計算機正常運行。在手工殺毒時(shí)，然而，也存在一一些服務(wù)，它不是活躍的，由其他的殺毒軟件必須安裝，因為它起保護作用，起掃蕩作用。手進(jìn)程或線(xiàn)程帶動(dòng)的，ProcessExplorer 就不能立即捕捉到，工殺毒的對象是新的頑固的病毒。就需要另外- 款工具Sreng (系統修復工程師)來(lái)完成。3.1手工殺毒的思路如果說(shuō)ProcessExploer是實(shí)時(shí)性監視體現其功能的話(huà)，注冊表是Windows操作系統協(xié)調各個(gè)任務(wù)的紐帶。Sreng則是“以靜制動(dòng)”的。Sreng是以一種全面掃描的有個(gè)別用戶(hù)認為，如果熟悉了注冊表就可以解決問(wèn)題了，方式，可以看到不屬于系統進(jìn)程的異常進(jìn)程或線(xiàn)程;對于原因是惡意軟件就是以修改注冊來(lái)表達到目的。這是-一種開(kāi)始裝載的不隸屬于系統的服務(wù)也能立即顯示出來(lái)?；孟?，因為注冊表的鍵(包括系統的)太多，其作用不可2.2尋找插件病毒能--窮盡:不同任務(wù)有不同的鍵，新的程序會(huì )在注冊表插件是為了方便人們使用而設計的，但是卻像“潘多產(chǎn)生新的鍵，同一個(gè)鍵可能涉及到多個(gè)任務(wù)，多個(gè)鍵同一拉盒子”被打開(kāi)一樣，成了病毒設計者很好的武器，而且個(gè)任務(wù)也是非常普遍的?？傊?，通過(guò)熟悉注冊表來(lái)達到殺這種武器是自由的，種類(lèi)數不勝數-給查詢(xún)帶來(lái)了許多的毒目的不一定取得好的效果。麻煩。了解系統的調度過(guò)程,當然是必要的。因為只有這樣，有時(shí)候計算機很慢，但是任務(wù)管理器、才能知道導致系統異常環(huán) 節在什么時(shí)間發(fā)生的，在何處發(fā)ProcessExplorer等軟件卻發(fā)現不了異常;有時(shí)候某個(gè)文生的，可能由哪些模塊引起。件刪除了，但過(guò)會(huì )兒又出現了，但工具軟件又顯示不出。手工殺毒，整體上需要有一種“無(wú)為”思想。不管病這種情況可能由插件引起的，而且大部分是惡意插件?，F毒是如何猖獗，只要用戶(hù)以自身的不變應病毒的萬(wàn)變，以在有許多工具都帶有安全助手，如超級兔子、瑞星卡卡、堅韌的精神，追查病毒的痕跡，找出最后的頑兇，因為，Sreng等等，可以幫助用戶(hù)查找插件。盡管這些助手不能凡發(fā)生必留下痕跡，切不可“知難而退”，重裝操作系統。發(fā)現全部，但用戶(hù)可以通過(guò)各個(gè)助手的交叉工作，來(lái)彌補手工殺毒還需要有策略，就是先外圍后內部，先易后難，它們各自的不足。先解決影響大的后清除影響小的。2.3利用軟件發(fā)現異常用戶(hù)無(wú)需知道惡意軟件干了哪些“壞事”， 因為在追以隱藏服務(wù)形式出現的病毒，常常需要用Knlsc 工具查痕跡的過(guò)程中，它們的劣跡自然會(huì )一一彰顯出來(lái);更無(wú)軟件。需知道它們是什么病毒類(lèi)型，因為病毒劃分標準不同，類(lèi)有幾個(gè)軟件: Filemon, Regmon, ListDlls, .型也不同。手工殺毒關(guān)注的病毒只有靜態(tài)和動(dòng)態(tài)兩種類(lèi)型。eXeScop,雖然很小，但是其功能卻不可忽視。Filemon3.2清除病毒是監控文件操作的，包括刪除、創(chuàng )建、讀寫(xiě)等以及文件病毒，有兩個(gè)顯著(zhù)特征:自我復制，在邏輯上構成閉操作由哪個(gè)進(jìn)程發(fā)出的。Remon 是能夠監控到注冊表讀環(huán);病毒只有進(jìn)入系統才能有作為，這是其發(fā)作的根本途寫(xiě)情況，什么時(shí)間由什么進(jìn)程修改的什么注冊表鍵，都徑。病毒以復制自身為其生命的首要任務(wù)，而所謂的破壞能--顯示出來(lái)， 如添加服務(wù)等。Regmon之所以如此重亦或造成系統的癱瘓、異常的緩慢，實(shí)是病毒設計中比較要，是因為計算機的任何行為都是圍繞著(zhù)注冊表進(jìn)行的。次要的部分。殺毒第一步就是阻止它們進(jìn)入系統，構成閉ListDIls 能夠顯示出內存中某個(gè)DLL被哪個(gè)進(jìn)程調用的。環(huán)生命鏈條的病毒，肯定不會(huì )輕易讓“阻止”成功的。需eXeScope能夠知道某個(gè)dlexe.sys文件調用了哪些進(jìn)程。要再次強調的，在實(shí)戰中，用戶(hù)無(wú)需知道病毒的“原理” ,ac,是文件屬性修改器，無(wú)論什么文件作什么限制，只需按“痕跡”解決問(wèn)題。ac都能輕松改變，是真的attribution change.3.2.1不能修改注冊表中國煤化工如某某應用不能運3手工殺毒方法行，無(wú)JIYHC N M H GisableTaskMgEr)、計算機病毒(包括惡意插件) ,都是malware (英文名，隱藏文件不能顯示(nchidden)等等，基本都是通過(guò)修2007.12。計算機安全[87www.nsc.org.cn服務(wù)病毒黑客勇改鍵值來(lái)達到目的。但是用戶(hù)要修改注冊表鍵值，往往因害是用戶(hù)不知道文件夾而執行了病毒體。這種病毒行為為病毒感染不能運行相關(guān)的軟件。本不值得奇怪，可是也不知道病毒設計者有意還是無(wú)意注冊表，兵家必爭之地，歷來(lái)是病毒設計者關(guān)注的的一-反 正Program files 文件夾里的explorer文件夾目地方。病毒總是在注冊表中尋找改動(dòng)小影響大的鍵，如錄變成了執行文件explorer .exe,名稱(chēng)和windows下的exefile, AppInit. _DLLs等。許多exe文件不能執行，explorer .exe - -樣，從而造成系統調用了兩個(gè)explorer.com文件可以執行，就是exefile被改動(dòng)了。此時(shí)要把exe,普通用戶(hù)實(shí)在招架不住。這類(lèi)病毒，因為占住了系regedit. exe改成regedit.com運行，或者用- -些專(zhuān)用工統進(jìn)程的位置，亦或像soundmix一樣和系統進(jìn)程捆在一具修改為它的默認值。起，因而一直處于活躍狀態(tài)。對這種‘強勢’ 病毒，用戶(hù)許多病毒會(huì )修改applications鍵，亦或修改Image在ProcessExplorer里，選中，直接用Del鍵就能終止它File Execution Options (應用程序劫持項)，導致執行們。如果刪除不掉，說(shuō)明還有幕后推手在維持著(zhù)它的生命。文件源頭指向改變。曾經(jīng)有一個(gè)文件名為mshta. exe的點(diǎn)擊processexplorer的find,出現了-一個(gè)可以尋找幕后病毒，把這里的大部分應用都修改了，explorer .exe,者的窗口，鍵入不能刪除的文件名稱(chēng)，點(diǎn)擊search,就可winword.exe等等。Regedit .exe不能執行也許在這里出以知道擁有此文件控制權的進(jìn)程。終止父進(jìn)程或關(guān)閉句柄了問(wèn)題。只需把regedit. exe文件名稱(chēng)改成其他的就可以(close handle),繼續前面的步驟，直到刪除為止。了。3.2.3靜態(tài)病毒的刪除有時(shí)候注冊表被禁用，用戶(hù)不能修改，也許是因為靜態(tài)病毒危害性比較大。它們的主要特征不在于本身DisableRegistryTools鍵被修改了，用超級兔子等工具直獲得最高權限導致用戶(hù)不能刪除它們，而是埋伏在系統運接修復就可以。行的某個(gè)環(huán)節處，只要系統的某個(gè)進(jìn)程啟動(dòng)，病毒就會(huì )被3.2.2動(dòng)態(tài)病毒的去除啟動(dòng)以便完成它們的“任務(wù)”。所謂動(dòng)態(tài)病毒，就是一直監控著(zhù)某種行動(dòng)，在系統一Autorun病毒就屬于靜態(tài)病毒，十分流行的sXS. exe,直處于活躍狀態(tài)的病毒，它常常以獲取系統的控制權達到就是如此。它利用了用戶(hù)喜歡雙擊鼠標的習慣，引發(fā)了目的。因為活躍，所以在空閑時(shí)CPU也被占用，因而通病毒。這種病毒用任何管理很容易就能終止，在硬盤(pán)上過(guò)工具軟件也很容易發(fā)現它們。也能容易刪除，可是一會(huì )兒又出現了。這是因為-一個(gè)硬盤(pán)Arp病毒，一款典型的動(dòng)態(tài)病毒，利用網(wǎng)絡(luò )的漏洞，體，一般被劃分為多個(gè)邏輯盤(pán)，用戶(hù)在同-時(shí)刻不可能刪不停地攻擊局域網(wǎng)的計算機。因為它不停地掃描，用Arp除所有邏輯盤(pán)上的病毒文件，有一個(gè)被激活，那么所有盤(pán)-a命令就能發(fā)現它所在的計算機。用任務(wù) 管理器查看,體都被復制病毒了。這種病毒如今也發(fā)展了，修改了各個(gè)發(fā)現異常進(jìn)程nslookupi.exe,鼠標右點(diǎn)此進(jìn)程，然后盤(pán)符的默認打開(kāi)設定，只要瀏覽某盤(pán)，那么病毒的副本就選擇終止(不能終止用其他工具)就可以了。不能忘記會(huì )復制過(guò)來(lái)。對于任何盤(pán)符打不開(kāi),或鼠標右擊盤(pán)符出現nslookupi,還有幫兇: wincap.ll, wpcap. dll, packet.auto選項(也包括沒(méi)有出現auto項，選擇open項很慢)dlI, wanpacket.dll等， 此時(shí)要- -并清除，- -般都是在的，都是一種類(lèi)型，只需修改注冊表中的mountpoint鍵，windows或windows\system32文件夾里;同時(shí)，還需把所有盤(pán)的+子項去除，然后清除病毒本體即可。.用msconfig (有時(shí)必須用其他工具)去除相關(guān)的啟動(dòng)項目。瀏覽器插件，apihook 等也是一-種靜態(tài)病毒。 這類(lèi)病惡意網(wǎng)站，如www . piaoxue . com,也是很典型的動(dòng)毒用超級兔子或Sreng，可以輕易地去除，因為它們不是態(tài)病毒。用processexplorer查看進(jìn)程,展開(kāi)system進(jìn)程項，以強勢取得控制權見(jiàn)長(cháng)，而是以功能體現特性的。有時(shí)候發(fā)現system進(jìn)程還有cpu占用。此時(shí),右擊system進(jìn)程，這類(lèi)病毒，在安全模式下，用一個(gè)零字節的相同的文件來(lái)選properties,選擇threads,會(huì )發(fā)現- 一個(gè)或多個(gè)名字怪代替，病毒發(fā)展的鏈條也就因為病毒文件沒(méi)有“內容”就異的活躍線(xiàn)程，即是病毒體。到安全模式下刪除病毒體即這樣斷裂了，加此。潔除病毒的其他環(huán)節就容易多了。中國煤化工可。3.2有一種病毒，把所有文件夾都變成了執行文件，把原TYHCNMH統行的。這類(lèi)病毒，用來(lái)的文件變成隱藏的系統的文件夾。這種障眼法最大的危msconfig可以看到啟動(dòng)項目異常，但是怎么也修改不了,88計算機競數據07.12www.nsGcc.org.cn病毒黑客服務(wù)因為有后臺服務(wù)程序維持著(zhù)其生命。把文件變成普通的文件:如果不知道隱藏文件的名稱(chēng)，可惡意網(wǎng)站www. haol23.net, bbs.51. vip. net等以dir /h命令查看。盡量地用ren命令修改名稱(chēng)，如果就是這類(lèi)病毒的典型。hao123惡意插件，如果用工具軟確定是病毒體才可用del命令刪除病毒。件進(jìn)行IE修復是可以的，也可以正常運行，即用IE時(shí)有時(shí)候碰到NTFS格式卻沒(méi)有ntfspro軟件，或者因hao123脫鉤，但是重新啟動(dòng)后又出現了，這是因為幕為特殊情況不能看到系統盤(pán)，那么用ghost克隆- -個(gè)盤(pán)映后還存在推手。用ProcessExplorer可以查出system進(jìn)像文件?；氐絯indows下，用ghost Explorer 可以對映程中存在異常線(xiàn)程:yqjpq、ylkhli, yasght. wvpscy像文件進(jìn)行任意的操作，刪除映像中病毒文件就如刪除一等，如果用ProcessExplorer掛起這些進(jìn)程，在系統啟個(gè)字符那樣容易。清除病毒后，再克隆回去，這樣系統中動(dòng)項目上卻不能讓它們脫鉤。hao123的形式是www.就不會(huì )有病毒了。ha0123. net/ ?a0X,其中x不同，維持的進(jìn)程名稱(chēng)也不- -樣。前述的是a09。如果是a05,維持的進(jìn)程名稱(chēng)就4結語(yǔ)不-樣了，其中. dll, . sys成對的進(jìn)程名稱(chēng)有uzpoqy,許多用戶(hù)有這樣的疑問(wèn):能不能買(mǎi)- -個(gè)軟件， 殺死所pzznyh, mxnaii, koocvx, eimfkm, dtylfu, 不成對的有的病毒?退一步，能否保證系統不死機?其實(shí)，不可能是wkadoees. dll和ihdu5 .sys。bbs. 51.vip.net工具軟件有“一- -勞永逸"的殺毒軟件。殺毒軟件只是對已經(jīng)出現的、IE修復干脆不行，其幕后有csa5vi. s7rjng. eqv4s6 等文并已經(jīng)掌握的病毒有作用。病毒和殺毒是相互交錯的，彼件支持。有時(shí)候這類(lèi)病毒沒(méi)有任何跡象，如pvsec, CPU此在斗爭中發(fā)展的。殺毒軟件不可能清除所有的尤其是新占用正常，計算機運行就是慢。Pvsec由前臺pvsec .dll的病毒，因為它不知道新病毒的生理特征、生命鏈條;但.和后臺服務(wù)parcls.sys組成。是殺毒軟件隨著(zhù)對新病毒的了解，會(huì )推出新的版本，甚至混合型病毒是非常牢固的組合，即使在安全模式下也會(huì )改變殺毒軟件的結構，因為老的監控模式可能在新病毒是如此。后者保證前者成為系統的啟動(dòng)項目;一旦系統啟面前失效了。動(dòng)，前者又會(huì )保證后者以服務(wù)形式出現。這類(lèi)病毒，工具在用戶(hù)手工殺毒時(shí)，互聯(lián)網(wǎng)是一個(gè)重要的資源。- 一個(gè)軟件即使是Sreng也不管用了，因為Sreng設置服務(wù)不新的病毒痕跡用戶(hù)不一定知道其全部信息，可以借助互聯(lián)啟動(dòng)是重新啟動(dòng)才能有效，啟動(dòng)項目又由后臺服務(wù)維持，網(wǎng)尋找到所需的信息。使用互聯(lián)網(wǎng)時(shí)，用戶(hù)切記不可相信- " 旦重啟，啟動(dòng)項目又使服務(wù)有效。這類(lèi)病毒構成了嚴格一些網(wǎng)名怪異的小網(wǎng)站:同時(shí)盡量用快照的形式分析所需意義上的閉環(huán)，常常是system級的進(jìn)程調用，以服務(wù)形的信息，不要輕易地下載文件資料。式出現，軟件工具可以看到，卻不能刪除。因此，多種工未來(lái)病毒發(fā)展是難以預料的，但是，“狐貍再狡猾,具交叉使用是非常必要的。一般地，服務(wù)可以用sreng,也難:斗好獵手”，新的軟件工具也會(huì )相繼出現，因為病毒gmer終止服務(wù); processexplorer 等工具終止進(jìn)程，超級無(wú)非是利用了系統存在的技術(shù)一這本是人類(lèi)所共享的，兔子等工具修改啟動(dòng)項目，維護注冊表。有時(shí)候，看上去殺毒工具也同樣會(huì )利用這些技術(shù)排除相應的惡意軟件。圖功能單- -的工具能起大作用，如unlocker,其他工具不能清除的，不-定它不能清除。參考文獻:3.3 DOS下殺毒[1] 劉尊權，計算機病毒防范與信息對抗技術(shù)。清華大學(xué)出有時(shí)，因為太“ 強勢”(包括暫時(shí)還找不到刪除方法版社,1991.的),如維持www . 8749.com的lcpc.dl,使用了各種方法,[2] http://www. jdepuy. net/ ?action- -viewthread- -tid- -24372.用完了各種工具,就是不能清除,這就要用到DOS系統下，[3] http://www. 712100. com/bbs/read-htm- tid- 6736868.刪除它們。在DOS下，一切文件都是可以操作的，這是html.殺毒的“殺手锏”。[4] htp://log. ustc. edu . c/arcives/00 _04 .html.如果因為系統盤(pán)是NTFS格式，運行ntfspro. exe,[5] ht中國煤化Ihtarget. com. cn/windows系統盤(pán)就會(huì )變成-一個(gè)DOS下的普通邏輯盤(pán)。在.tips/26HCNMHGDOS下，會(huì )碰到隱藏系統文件，用attrib-s-h-r收稿日期:2007-08-04200712計算機安全189www.nsc.org.cn