|
君临天下 上尉
首席观察员 - 积分
- 4502
- 威望
- 9229
- 元宝
- 42
- 铜钱
- 225
|
1楼
大 中
小 发表于 2008-2-23 00:31 只看该作者
关于目前已知顽固病毒攻略
在当今网络时代,似乎很少发现没有遭遇过顽固病毒或者非常流氓软件光顾的机子了,我相信即使是这方面的高手也并非能保持一个长期无病毒的系统,所谓的高手只不过能够及时察觉病毒的存在,甚至防范于未然罢了,而从一个此方面的菜鸟变到高手没有什么捷径.个人认为,对系统模块要熟悉,对于病毒,流氓软件的惯用”伎俩”要及时察觉,各种反病毒技术做到灵活运用.凭借这三大技能,你基本上就可以成功”降服”各种稀奇古怪的病毒了.
本文也许并不能解决你遭遇的困境,也并不能囊括所有的病毒,流氓软件解决技术,但是,对于这方面知识或多或少对你有益,不妨一看.^_^
遭遇病毒,流氓软件骚扰时的常见解决方法
1.充分利用网络信息,安全工具
除非是未知病毒,一般的病毒都有名称,可以利用google或者baidu的搜索功能,查找此类病毒是否有通用的解决方法或者专杀工具,有的工具甚至能修复被病毒破坏的文件,所以,如果是破坏性病毒,专杀工具一般能达到最好的修复效果.另外,例如Trojan.Win32.Agent.vfw,最后的vfw可能是病毒的变种代号,如果这种病毒在网络上搜索不到,可以试着去掉最后一段文字再搜索,得到的信息一般有一定参考价值,但是目前,国际上对病毒没有一种通用的命名方法,不同公司出品的软件,可能对同一个病毒采用不同的命名,这也是一大遗憾.
同时,在你无可奈何地发现以上方法不行的时候,可以使用一些第三方安全工具,最常用的有360安全卫士,Arswp,金山清理专家,瑞星卡卡助手,以上这些工具适用于对病毒,系统方面不熟系的人,因为这些工具会对系统安全进行自动诊断,删除各种流氓工具,同时,这也是学习的好途径,当处理多了这些流氓软件之后,你对于流氓软件,病毒的藏身之处也算熟门熟路了,以后直接对症下药吧.
另外,还有很多优秀工具比如HijackThis,SREng,IceSword,这些工具需要对系统有一定的熟悉程度后才能上手,因为其中一些配制和系统的稳定性直接相关,不建议入门者使用.
还有,虽然目前还没有遇到过这种情况,不过还是要提醒一下,最好在正规途径下载安全工具,验证安全工具的MD5或者CRC效验之类的之后再使用.这方面的介绍后面有详细说明.
另附常见病毒代号:
Win32(感染Windows系列的病毒)/Torjan木马/Worm蠕虫(通过邮件传播)/Backdoor(后门程序)/Adware(广告软件)/Spyware(间谍软件)/etc..
2.自己动手,丰衣足食~
虽然说对付病毒,以上方法基本上绰绰有余了,不过万一发现电脑中招时手头没有这类工具,或者你需要进一步理解这些病毒,流氓软件是如何在你的机子上做恶的,请看下文吧.
2.1自启动
2.1.1介绍
所谓的自启动是指操作系统在启动时自动加载一些必要服务,程序的过程,原本这项功能是操作系统为了优化自身速度,或者为了方便用户而使用的,不过被一些很邪恶的人利用了之后,就成了万恶之源了,一般病毒会利用各种手段实现自启动,自启动的目的不但是使病毒本体能够长期驻留在系统内,还给病毒的删除带来一定的难度(Windows系列系统有保护机制,不允许修改,删除正在被调用的文件).所以,对自启动项的防护能够很有效地抑制病毒发作.
2.1.2 注册表
开机,系统加载时会加载注册表中的某些启动项,这也是病毒常用的伎俩,利用windows自带的regedit可以编辑注册表中的信息,启动的方法是按win+r后输入regedit.或者直接在资源管理器地址栏输入%windir%\regedit.exe(如果系统此时已面临很大安全问题,建议先验证程序身份后在执行程序,具体过程后面详细叙述)
这里顺便提一下,%windir%代表Windows安装的文件夹,Winxp/98默认为C:\Windows,Win2000是C:\WINNT
通过环境变量可以很容易地访问Windows的系统文件.
以下是常见的在注册表中的自启动位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify
键值:
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Load
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CommandProcessor\AutoRun
再此推荐使用Autoruns程序来察看自启动项,个人觉得此非常详细地列举了系统的启动对象.
2.1.3Windows服务
这是Windows开启时会自动加载的东西(可能在用户登入之前已经被启动了)
例如灰鸽子,会将自己注册为服务,在注册表中,服务的位置如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Windows的服务管理软件的运行:
Win+r,输入services.msc
注意一些敏感的服务,不要开着:
Indexing Serivce
Remote Registry
Shell HardWare Detection
Telnet
Terminal Serivces
Messenger
还有这些,我认为重要的服务如下:
DHCP Client
Event Log
Plug And Play
RPC
Windows Audio
你要在services.msc里做的就是看一看有没有陌生的服务,没有说明的服务,对”注册表”,”远程”这类词要有极高的警觉意识.
2.1.4驱动程序
所谓的驱动级病毒就是将自己伪装成驱动而自动加载的病毒,这种病毒在任务管理器中找不到,而你无法完全删除它.
据说在运行或者命令行中运行regsvc32/u <文件绝对路径>可以卸载驱动,不过我没有用过 (= = |||||||)
我的方法是Win+PauseBreak,调出系统属性,硬件,设备管理器,查看,显示隐藏设备,之后可以看到非即插即用设备,展开,看看有没有那个无法删除文件的身影,有的话卸载掉,就可以把那个病毒挂在驱动里的”救命稻草”over了,接着和删除一般的文件一样对待它吧.
推荐几个工具:
Unlocker(需要安装,不会很大)此工具可以强制删除文件,甚至查找调用该文件的进程,有利于”一网打尽”
Xdelbox此软件利用纯DOS模式删除文件,避免病毒文件抢先加载而导致删除失败.
2.1.5启动文件夹
这个人人都知道,如果病毒放在这个地方那也太搞笑了~
2.1.6 AutoRun.inf
当打开每一个文件夹的时候,如果你把硬盘自启动服务开着,autorun中的信息就被加载,此文件可以放在任意位置,并且这个文件能在你打开文件夹或驱动器时自动加载程序,解决方法就是用cmd或者command查看被怀疑的文件夹中的autorun.inf,如果里面有加载病毒的位置…呵呵,把要autorun.inf中描述的程序删了吧.
说明一点,autorun.inf只对explorer有作用,也就是你只要不用Windows资源管理器访问硬盘,一般来说相应的autorun.inf不会被激活.
(名词解释:explorer.exe是Windows的外壳程序,你如果尝试结束这个进程,你便发现你的桌面图标和任务栏消失了..这便是”外壳”的作用,建立用户和操作系统间的沟通,同时,explorer.exe也是资源管理器程序)
2.1.7IFEO劫持
全称Image FileExecution Options,位于下列位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options原理是用相应的文件代替正常文件的运行,就比如你在一堆人中叫张三,张三会答复你.如果张三在IFEO中被李四代替了,那么你喊张三时候, 张三是听不见的,而回应你的人是李四.
解决方法很简单,把以上的键值整个删掉就可以了.
2.1.8 Rootkit
这是一种鲜为人知的东西,危害也非常大,Rootkit通过修改系统内核注入你的电脑,这种病毒可以神不知鬼不觉进入你的电脑, 即使你知道病毒文件在哪里,叫什么名字.也有可能查找不到,毕竟你的查找文件操作要通过内核中病毒的”审批”,目前对付这种技术,最常见的是Anti-Rootkit技术,由于个人不太了解,而且这方面操作涉及系统内核,所以一笔带过,大家见谅.
2.1.9使用一些第三方软件
比如Hijackthis,sreng,Autoruns什么的,可以查看各种奇怪的自启动方法.多多利用.
2.2披着羊皮的狼
病毒可都是藏猫猫的高手,就比如rundl132.exe(注意,最后一位是1而不是L)这种程序一定带有不良企图.
常被用来当替罪羊的有以下文件,下面列出这些文件正常的位置:
%windir%\explorer.exe(windows通用外壳和资源管理器)
%windir%\notepad.exe(记事本)
%windir%\system32\shell32.dll(shell,有一堆的图标什么的)
%windir%\system32\svchost.dll(服务加载用的,因为有很多个,所以常被菜鸟当病毒….)
%windir%\system32\spoolsv.exe(想不通打印机服务怎么老被人用….)
etc……大家自己去探索吧.
另:
大家会发现自己的进程管理器里面有很多svchost.dll文件,这不是病毒,而是系统为了加载各种服务项,调用的文件,同样的文件还有spoolsv.exe/services.exe
2.3关于删除文件软件
推荐两个软件unlocker和xdelbox,前者会在windows删除文件失败时列出调用该文件的进程
后者是在纯dos下删除文件,几乎没有病毒能逃过纯dos.
2.4打造病毒防线
首先,使用一个好的防火墙是不错的选择,个人推荐Jetico Firewall Personal Ver1.0这是一个很好的防火墙,有很多规则,不过是英文的.安装之后记得配置一下,打开主界面,Options->General->AutomaticallySave Changes,以后就不要反复配置了,如果需要还原到最初配置,可以使用File->Revert To FactorySettings.不过Jetico安装后会打开几个风险端口,大家可以去www.firewallleaktester.com下载一个wwdc.exe,关掉端口.
杀毒方面,如果机器配置好,kaspersky是很好的选择,配置差的或者老机子,推荐NOD32.
防流氓软件的工具很多,没有什么好坏之分,学会灵活运用,比如用用360safe免费升级补丁什么的^_^.
另外,大家不要吝啬时间,windows漏洞是连firewall也防不了的,必须打补丁.
同样的,学会定期更新软件,没有害处.
个人觉得ie太可怕了,不要或少用ie,用用firefox+ietab是个好习惯.
2.5 病毒的藏匿处
一般病毒喜欢藏在系统目录(如%windir%,%windir%\system32),或者临时文件夹里面(如X:\Documents and Settings\某个用户\Local Settings或者%windir%\temp),发现问题的时候先清空临时文件夹再说吧.
另外.一些病毒或者流氓软件是随着安装程序一起捆绑安装的,解决方法是,看清安装选项,一般软件安装完成以后会出现”安装****”,前面的复选框会被很邪恶地默认选中,这个时候希望大家不要迅速地点Next……
建议多用正版软件,从知名度高的网站下载软件
2. 6关于文件效验
文件效验,常见的有MD5效验和CRC效验,目的是检查文件是否完整,或者是否被人修改过,
比如网络上下载某个文件以后,会提供一个CRC或者MD5码,你可以用WinMD5验证下载的文件是否正确,MD5和CRC都是有雪崩效应的函数,也就是,只要文件有丝毫的改动,所求得的MD5或者CRC码就会有很大差别,对照MD5码,如果一致,那么就表明文件正常,否则一定被某个人或者病毒动过手脚了.
另外,Windows系统文件也很好辨别,Windows的系统文件一般都有版本号,和版权信息.所以万一你在system32下面发现了名字古怪,没有版本,没有公司,没有版权的文件,那就要小心了.
2.7误操作的弥补措施
还有请大家注意,删除流氓软件的时候注意备份,这也是本人最近才发现的问题,不要由于一时气愤,不备份病毒文件而直接删除,由于各种反病毒工具也不是十全十美,有时会造成误删除,再想恢复时就欲哭无泪了.建议删除文件后重启动下电脑,确认系统正常后再删除备份文件.
有的人可能误删除了一些注册表值导致输入法无法启动,处理办法是将%windir%\system32\下的ctfmon.exe和conime.exe加入自启动项即可.
搜索更多相关主题的帖子:
攻略
|
