ButterflyLove

感谢大家的踊跃提问，程虎作为一个反病毒专家，有处理不完的事情。当我收集完问题让他回答的当天，他

正要出差，但是他还是挤出时间来回答大家的问题，感谢他的配合和支持。也感谢大家的支持。。。


本栏目会继续努力，为大家请来更多的嘉宾进行技术学习和交流。

引用:

技术相关链接：

机械狗再度泛滥，金山毒霸专家推出整体方案 http://www.duba.net/zt/autodog/


AV终结者来势汹汹 http://www.duba.net/zt/avkiller/

ButterflyLove

引用:

一把锈剑 问: “请问睡大师 病毒调试小技巧 Oy ^_^”

专家回答：
有些技巧，但最主要的还是反汇编代码阅读能力，这个才是最关键的。至于调试技巧，本人实在不敢多说，因为都是zmworm等大虾教的，或者是看雪上学来的。建议多逛逛看雪论坛。

ButterflyLove

（二）

引用:

幸福的耗子 问 :“请专家谈谈机器狗、ａｖ终结者、和磁碟机 的特点。如何防范机器狗、ａｖ终结者、和磁碟机?”

专家回答：
最大的特点都是游戏盗号木马下载器。
机器狗的特点是驱动级穿透还原，该方法同时还可以过部分主动防御和文件监控，但前提是杀毒软件没有这个病毒的特征，所以实时升级病毒库特别重要。
av终结者的特点是ring3环对抗杀毒软件，隐藏注册表启动项，使用文件名(进程目录下其它文件)、版本信息、在线更新的内存特征等方式关闭并删除杀毒软件程序。会感染QQ、QQGame、TT等目录。
磁碟机的特点是具备感染型特征，捆绑加密感染，变种很多。也会关闭杀毒软件。
防御方法：
1、漏洞补丁打上；
2、打开文件实时监控；
3、实时升级病毒库；
4、开启网页防挂马功能。
5、禁用AutoRun自动播放功能。
这样不能保证不中毒，但可以降低中毒概率。病毒总是主动的(很多新病毒如机器狗等可以突破杀毒软件或主动防御)，但杀毒软件如果能够及时更新病毒库，也可以很好的制止病毒进一步扩大感染范围。

ButterflyLove

三）

引用:

chengdongxing 问 ：“流行病毒的分析，講講看，怎么分析?”

专家回答：
分析病毒代码，涉及到静态分析、动态调试等。最重要的是汇编能力和windows编程能力。详细的请逛逛看雪学院。本人不是看雪出来的，但是师从看雪前辈，或者该说兄弟。

ButterflyLove

（四）

引用:

没吃饱的熊 问:“除了专杀工具，还有什么方法可以有效对付机器狗呢？（我朋友的机器已经启动不起来了，汗~~）比如用引导光盘启动，然后进行查杀，有什么推荐的吗？”

专家回答：
可以用毒霸的杀毒U盘在一台好的机器上升级病毒库到最新，然后用杀毒U盘引导启动那台中毒机器，并进行杀毒。

ButterflyLove

（五）

引用:

▲Mr`dog＂ 问:“跟大伙儿分享下
找到可疑文件后是如何找出二进程代码
来确定是哪个病毒的变种（MS不通顺）?”

专家回答：
还是需要分析病毒的，通过行为仅仅能分辨是不是病毒，或者跟哪个病毒具有相似的行为，如果要确定是哪个病毒，必须详细分析病毒。方法同问题3的答案。

ButterflyLove

（六）

引用:

▲IP PH-Winter 问:
请问水大师金山在做专杀的时候怎么想到要添加修复功能
包括面对机器狗时提供正常的 Userinit 以供替换
以及面对磁碟机时加入 kavdx 以清除感染?
P.S. 水大师贵庚? ^^
P.S. 又 P.S.
敏感+尖锐问题:
水大师对专杀被毒霸主防误报(6.4)及专杀生成物(TMP)被监控杀掉(6.7)有何看法?

专家回答：
很容易想到，因为用户在清完毒之后系统还是有各种各样的问题，既然我着手这一块了，就要对用户负责。至于加入kavdx，毒霸有很好的查杀感染型病毒的引擎，并且磁碟机变种相当多，如果用专杀查杀磁碟机，编写会费时费力，还要让用户等上很久，kavdx解决了该问题。
至于我的年龄，还是保密吧。^^
专杀被毒霸主防误报的问题，是由于当时加班到很晚，没来得级入误报库导致的，因为专杀的病毒特征没有加密。以后会尽量避免类似问题。专杀生成物(TMP)被杀，因为专杀带了脱壳模块，生成的临时文件，因为专杀特征有限，没查杀这些病毒，因此脱壳生成的tmp文件被监控检测到病毒导致的，建议用户使用毒霸全面杀下毒。

ButterflyLove

（七）

引用:

阿达~ 问:“
请问 程先生，初学者学习反汇编，应该从哪里学起？
”

专家回答：
1、汇编教材，当时清华大学的黄色封面的那本，不知道现在有没有更好的。
2、《黑客反汇编揭秘》。
3、看雪论坛。

ButterflyLove

（八）

引用:

ksdb6824662 问:“病毒在文件C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\s7o\file14.dat中 Win32.Hack.Mnless.kb.16384 处理成功（操作：删除） ”
每次一上网就出现这个Win32.Hack.Mnless.kb.16384病毒毒霸显示删除成功压缩比是%38
为什么杀不尽次次上网都出现
希望各位高手帮忙解决下
另外这个病毒是什么病毒?

专家回答：
从病毒名来看，是一个黑客后门病毒。如果是上某个网站会这样，则该网站有问题，如果所有网站都这样，可能是局域网ARP欺骗，建议打开ARP防火墙。%Temp%目录下的所有文件可以清空。

ButterflyLove

（九）

引用:

大菜鸟 问: "
当越来越多的复合型病毒出现的时候，是不已经表明为了经济利益，制作病毒已经越来越不考虑病毒的“隐蔽性”了？
另外有没有可能会出现类似于“逻辑炸弹”的逻辑病毒呢？"

专家回答：
经济利益是现在病毒的主要目的。部分病毒会越来越隐蔽，如导致毒霸监控变灰的的msosXXX病毒(最新AutoTroj专杀或清理专家可查杀)，文件是找不到的。但还有大部分病毒不会隐藏，会直接杀掉杀毒软件，然后下载几十个盗号木马进行盗号。这样也可以达到目的。如av终结者和磁碟机都是这一类。
逻辑炸弹这种病毒属于炫耀技术型的，和经济利益相悖。大环境下将不会出现多少这类病毒。可能会偶尔有些学生玩玩。