浅谈手工杀毒技术.doc

浅谈手工杀毒技术 刘鑫 前言 杀毒软件随着病毒的升级而升级，一个好的杀毒软件并不能保证随时杀出所有的病毒，当遇到不能杀掉的病毒时，最好的办法就是手工杀毒。 手工杀毒听起来挺高深，其实就是Windows的使用而已，学习一下基本软件的使用，就这么简单. 本文所涉及的内容 杀毒所需要知道的基本概念 病毒的隐藏手段 Exe类型的病毒清除 Dll类型的病毒清除 U盘病毒全面封杀 网页传播病毒的原理 合理的配置预防病毒 需要知道的基本概念进程 进程是程序在计算机上的一次执行活动。当你运行一个程序，你就启动了一个进程。显然，程序是死的 静态的 ，进程是活的 动态的 。进程可以分为系统进程和用户进程。凡是用于完成操作系统的各种功能的进程就是系统进程，它们就是处于运行状态下的操作系统本身；用户进程就是所有由你启动的进程。进程是操作系统进行资源分配的单位。 系统运行所必需的进程 system Idle Process csrss.exe explorer.exe c:windows lsass.exe services.exe smss.exe spoolsv.exe svchost.exe winlogon.exe system.exe 程序全部位于C:windowssystem32 认识病毒 病毒就是我们不想运行的恶意的程序，隐藏在系统中偷窥我们的信息，既然病毒也是程序那么病毒就应该有它自己的进程，我们只要用任务管理器结束它，在删除掉病毒的主程序似乎就杀掉了病毒，不过既然是病毒，它的开发者也想到了这点，他会让病毒每次开机都自动运行。怎样开机自动运行？需要知道第二个概念。 第二个概念注册表 注册表是windows的命根，里面储存着大量的系统信息，是一个庞大的数据库。注册表里面所有的信息平时都是由windows操作系统自主管理的，也可以通过软件或手工修改。注册表里面有很多系统的重要信息，包括外设，驱动程序，软件，用户记录等等，注册表在很大程度上“指挥”电脑怎样工作。注册表有很大的用处，功能非常强大，是windows的核心。通过修改注册表，我们可以对系统进行限制、优化等等 。杀毒时所必须知道的就是注册表里的启动项。百分之九十的病毒都是通过注册表与服务启动的。 注册表的一些启动键值 1 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 2 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce 3 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunService 4 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 5 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 6 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce 7 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceSetup 8 HKEY_USERSDefaultSoftwareMicrosoftWindowsCurrentVersionRun 9 HKEY_USERSDefaultSoftwareMicrosoftWindowsCurrentVersionRunOnce 10 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon 11 HKEY_LOCAL_MACHINESystemCurrentControlSetServic esVxD 12 HKEY_CURRENT_USERControl PanelDesktop 13 HKEY_LOCAL_MACHINESystemCurrentControlSetContro lSession Manager HKEY_L_MSoftwareMicrosoftWindowsNTCurrentVersionWinlogonUserinit HKEY_L_MSoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad HKEY_C_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsrun HKEY_C_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload HKEY_C_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerrun HKEY_L_MSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerrun 第三个概念说说服务 服务概述 定义：执行指定功能的程序或进程，以便支持其他程序，尤其是底层程序。 服务是一种在后台运行的应用程序类型，它与 UNIX 后台应用程序类似。服务应用程序通常可以在本地和通过网络为用户提供一些功能，例如客户端/服务器应用程序、Web 服务器、数据库服务器以及其他基于服务器的应用程序。 病毒的伪装手段 进程的伪装 病毒为了不让自己被轻易的发现，会修改自己的文件名和系统进程类似来干扰我们，如数字1和字母l，数字0和字母O。 （svchost！ svch0st） 图标的伪装 将本身的图标改称图片的图标或着是计事本的图标来达到伪装的目的和钓鱼的目的。 小知识：windows下的图片察看器是 C:windowssystem32shimgvw.dll 在explorer.exe里 Rootkit技术 Exe类型的病毒清除 Exe类型病毒清除的一般思路 1 结束进程（可能是多个进程） 不建议使用任务管理器，用杀毒助手、 ICESword等 2 去掉启动项 不建议用msconfig，用Autorun.exe 3 删除病毒文件 一般在系统文件夹下 4 修复注册表 txt,exe关联，IE等恢复 Dll型病毒的清除 Dll病毒简介 Dll是动态链接库的意思，它是Windows的基础，因为所有的API函数都是在Dll中实现的。Dll文件不能独立运行，一般都是由进程加载并调用的，所以进程列表中并不会出现Dll，如果进程是可信的，那么Dll也是可信的。现在许多恶意软件都钟情Dll方式，dll病毒一般通过Rundll32使用动态插入的技术插入到系统关键进程，如果插入到IExplore.exe、Svchost.exe等进程，可以轻易穿透防火墙。 病毒发展的最高境界是DLL加上RootKit技术！ Dll类型的病毒清除 由于病毒Dll独特的启动方式和隐蔽性，使许多的菜鸟加老鸟都素手无策、头疼不已，可以考虑用IceSword对插入的Dll文件进行强制解除，不过找到这个Dll文件是一个很大的难题，光system32下就有一千多个Dll文件，IE加载的就有一百左右，如何判断？这就需要先前做好准备。 备份必要的文件 Dir C:WindowsSystem32*.dll /a dll_bak.txt Listdlls svchost.exe svc_bak.txt 无法判断病毒的Dll，感觉中了Dll木马之后再用 Dir C:WindowsSystem32*.dll /a dll_xin.txt Listdlls svchost.exe svc_xin.txt 用 fc dll_bak.txt dll_xin.txt dll_diff.txt fc svc_bak.txt svc_xin.txt svc_diff.txt 来逐个判断 对于前面提到的系统进程建议全部做备份dll文档 手工杀毒实例 目前比较流行的木马有神气、灰鸽子、PcShare、黑洞、上兴远程控制、冰河等，还有被认为是正常的系统软件有时也被黑客利用如Radmin等，以神气木马为例讲解手工杀毒 手工清除神气木马 手工清除神气木马测试 U盘病毒的全面封杀