查看完整版本: 菜鸟自杀病毒－进程管理篇 『本文适用与 Windows xp SP2 NTFS』

菜鸟自杀病毒－进程管理篇 『本文适用与 Windows xp SP2 NTFS』

菜鸟自杀病毒－进程管理篇 『本文适用与 Windows xp SP2 NTFS』

前言： 锈到的剑，作为广大菜鸟朋友中的一份子，今天和大家一起学习下如果利用操作系统自带的工具，和如果使用常见的进程管理工具来管理进程


[quote]
[size=4][color=red][b]第一部分 操作系统自带的small工具[/b][/color][/size]

[b][color=blue]物尽其材，使用操作系统自带的命令结束部分病毒进程[/color][/b]

[b][size=3][color=green]1,随心所欲的任务管理器[/color][/size][/b]
[b][size=3][color=#008000][/color][/size][/b]
[b]1)如何召唤[/b]：[code]键盘组合    ctrl+alt+del 或者ctrl+shift+esc
鼠标飞点    右键任务栏－－－任务管理器[/code][b]2)如何使用:
[/b][code]切换到进程项目，然后选择要结束的进程，右键结束进程[/code][attach]16090219[/attach]


[b][size=3][color=green]2,黑白双煞 taskilist taskkill[/color][/size][/b]

[b]1,白煞tasklist 显示当前运行的进程列表[/b]

1) 如何召唤：[code] 开始－运行 输入 cmd 进入命令提示行以后，运行tasklist即可召唤[/code]2) 如何使用;[code] 可以输入tasklist /?查询命令支持的参数或者直接运行即可[/code]3) 常用参数与实战;

tasklist
[attach]16090220[/attach][code]
/m Module
列出与给定模式名称匹配的加载了 DLL 模块的所有任务。如果未指定模块名称，该选项将显示每个任务加载的所有模块。
Eg；tasklist /m  LPK.DLL 这个命令将显示出所有加载了LPK.DLL的进程列表

/svc
无截断地列出每个进程的所有服务信息
Eg：tasklist /svc[/code]
[attach]16090221[/attach]
[attach]16090222[/attach]

2,黑煞taskkill，结束一个或多个任务或进程
1) 如何召唤：[code] 开始－运行 输入 cmd 进入命令提示行以后，运行tasklill即可召唤[/code]2) 如何使用;[code]通过taslist获得进程列表 然后可以输入taskkill /?查询命令支持的参数 以便用适合自己的方式管理相应的进程[/code]3) 常用参数与实战;[code]
taskkill
/pid pid代号（对应于tasklist 结果中的pid栏）
指定将终止的进程的进程 ID。
Eg  有一个进程PID 为 2864 那么我们可以命令行下输入 taskkill /pid 2864 来结束这个进程

/im 程序名称
指定将终止的进程名称。
Eg  有一个进程名叫 wintersweet.exe 那么我们可以在命令行下输入 taskkill /im wintersweet.exe来结束这个进程（进程中所有和wintersweet.exe名称相同的进程都会被结束掉）[/code]
[attach]16090224[/attach]
[attach]16090223[/attach]

[color=red][b]小技巧：[/b][/color][code]
taskkill /pid 3844 /pid 2836  这条命令将同时结束pid分别为3844和2836的进程
taskkill /im kav32.exe /im notepad++.exe 这条命令将同时结束进程名为kav32.exe 和notepad++.exe的进程[/code]


3,黑面剑客 NTSD

1) 如何召唤：[code] 开始－运行 输入 cmd 进入命令提示行以后，运行ntsd即可召唤[/code]2) 如何使用;[code] 通过taslist获得进程列表 然后可以输入ntsd /?查询命令支持的参数 以便用适合自己的方式管理相应的进程[/code][b]3) 常用参数与实战;[/b][code]
-c 执行debug命令
  q  退出
-p 调试指定PID的进程
-pn 调试指定进程名称的进程（后缀名.exe是不可省略）[/code][code]Eg1 通过tasklist命令查看到一个进程PID为 3912  我们可以通过NTSD -c q p 3912来结束该进程，会启动一个新的cmd窗口，过一会就自动关闭了，我们想结束的进程也被结束了[/code][code]Eq2 通过tasklist命令查看到一个进程名为explorer.exe，我们可以通过NTSD -c q -pn explorer.exe来结束该进程，会启动一个新的cmd窗口，过一会就自动关闭了，我们想结束的进程也被结束了[/code]
[attach]16090225[/attach]
[attach]16090226[/attach]

[b]注意： System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它，ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出，所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限，从而能杀掉大部分的进程。[/b]

[b]4,相关资源：[/b]
   
   [url=http://technet2.microsoft.com/WindowsServer/zh-CHS/Library/552ed70a-208d-48c4-8da8-2e27b530eac72052.mspx?mfr=true][color=darkgreen]  [size=3]命令行参考[/size][/color][/url]
[/quote]


[quote]
[size=4][color=red][b]第二部分：sysinternal process xp简介[/b][/color][/size]
[b][size=4][color=#ff0000][/color][/size][/b]
[b][color=blue]使用process xp 来管理病毒进程，主要介绍它的挂起功能在查杀病毒中的利用[/color][/b]
[b][color=#0000ff][/color][/b]
[b]1，适用范围：[/b]

1)采用双进程保护自己的病毒程序，我们可以先挂起一个进程然后结束另一个进程（只需要右键病毒进程然后选择 suspend『挂起』就可以了）
[attach]16090227[/attach]

2)采用线程保护自己的进程，或者通过线程插入来系统进程来达到盗号或者其他行为的病毒（双击病毒线程插入的系统进程一般是explorer.exe winlogon.exe，svchost.exe等 或者右键这些被注入病毒dll的进程选择properties『属性』 打开属性对话框 然后切换到 threads『线程』选项卡 找到病毒dll 选择suspend，然后尝试删除病毒dll文件 重启再看看
）
[attach]16090228[/attach]


[b]2,相关资源：[/b]
    [url=http://technet.microsoft.com/zh-cn/sysinternals/bb896653(en-us).aspx][color=darkgreen]  [size=3]Process Explorer v11.04官方下载页面[/size][/color][/url]
    [url=http://bbs.duba.net/attachment.php?aid=16090215][color=darkgreen]  [size=3]Process xp 11.04爱毒霸论坛点击下载[/size][/color][/url]
[/quote]



[quote]
[size=4][color=red][b]第三部分：icesword（冰刃)的加强版本的进程管理工具[/b][/color][/size]
[b][size=4][color=#ff0000][/color][/size][/b]
[color=blue][b]对付一些采用进程隐藏技术来隐藏自己进程的病毒[/b][/color]
[b][color=#0000ff][/color][/b]
[b]1,适用范围[/b]

1）采取多进程保护（可以同时选择这几个进程 然后结束进程），
2) 采取线程保护来重新创建自己进程的病毒（可以在文件设置里面设置禁止进线程创建以后再结束病毒进程）
3) 采用进程隐藏技术的病毒 比如新版本的灰鸽子会创建一个隐藏的进程任务管理器 process xp 之类的不能查看这个病毒进程，这时候我们就可以使用冰刃来结束病毒的进程

[attach]16090229[/attach]
[attach]16090230[/attach]

[b]2,相关资源[/b]
   [url=http://pjf.blogcn.com/index.shtml][color=darkgreen]  [size=3]icesword（冰刃)官方下载页面[/size][/color][/url]
   [url=http://bbs.duba.net/attachment.php?aid=16039532][color=darkgreen]  [size=3]icesword（冰刃)爱毒霸点击下载[/size][/color][/url]

[/quote]




[quote]
[size=4][color=red][b]第四部分： 金山清理专家的进程插件，会分辨黑白的进程管理插件[/b][/color][/size]
[b][size=4][color=#ff0000][/color][/size][/b]
[color=blue][b]金山清理专家进程管理优势在于能够判断进程是否安全，还可以找出存在分享的进程[/b][/color]
[b][color=#0000ff][/color][/b]
[b]1,适用范围：[/b]

1) 对系统进程不熟悉不知道无法判断是不是病毒进程的时候
2) 进程看上去都是正常，但是有病毒dll注入的情况
[attach]16090231[/attach]
[attach]16090232[/attach]
[attach]16090233[/attach]
[attach]16090234[/attach]



[b]2,相关资源：[/b]
   [url=http://buy.duba.net/download/index.shtml#kas][color=darkgreen]  [size=3]金山清理专家官方下载页面[/size][/color][/url]
   [url=http://client.download.duba.net/KASSetup.exe][color=darkgreen]  [size=3]金山清理专家直接点击下载[/size][/color][/url]
   [url=http://bbs.duba.net/thread-21849402-1-1.html][color=darkgreen]  [size=3]金山清理专家杀毒相关常用功能使用参考帖子[/size][/color][/url]
[/quote]

[[i] 本帖最后由 一把锈剑 于 2008-1-3 16:51 编辑 [/i]]

恩,学习

好贴，学习了

模块                           描述                       公司
hehnmf84.dll                             SoduiLoader.dll
btIMG32.dll                                 ImageLibrary For TIFF                      Bridgetec


这些是什么???

{sun01}

好{tsj27} {tsj27}

不错

是什么{tsj27} {tsj27} {tsj27}

学习

好贴，学习了{tsj10}

好好学习天天进步

多多学习 {tsj27}

完全看不懂哦{tsj13}

好贴啊!

支持啊,我本来在原来不知道的地方,给了我很多的补充,受教不少啊!
顶顶!!{tsj27}

学习

看不懂!{boto25}

{yct41}

{yct41} 高深..............

俺还是个菜鸟,看不懂.

*** 作者被禁止或删除 内容自动屏蔽 ***

不錯

好好学习  天天灌水  {tsj27} {tsj25}

说的不错

[i][u][size=6][color=seagreen][b]终于明白进程的用法了.[/b][/color][/size][/u][/i]

哦耶

不顶遭雷劈啊~~~

用清理专家敢不敢结束存在风险的进程呢？俺是个菜鸟，啥都不懂。

{tsj02} 辛苦啦楼主

我电脑里有个1sass.ese的进程,金山的进程管理器就开不了了?{tsj12} 是123的1哦.金山的就是杀不了

恩还是不错滴{tsj30} {tsj30} {tsj30} {tsj30} {tsj16}

还是好用滴耶{tsj30} {tsj30} {tsj30} {tsj30}

{tsj30}

{tsj30}

顶~~~~~~~~~~

顶le ~~~~~~~~~~

很好！

介绍的比较详细,多谢LZ分享.

学习{tsj28}

{tsj25} 好帖

受益匪浅,感谢分享.