手工杀毒介绍
手工杀毒介绍
陈志杰
北京大学计算机协会基础维修小组
December 1, 2007
手工杀毒介绍 解决问题的根本
解决问题的根本
遇到问题时,要学会利用搜索引擎. baidu,google上的答案往往比直接找别人回答你还要清楚.
手工杀毒介绍 解决问题的根本
举例
如: "u盘病毒"--约有5,300,000项符合系统时间被修改的查询结果,以下是第 1-10项 (搜索用时 0.15 秒). --百度一下,找到相关网页约4,340,000篇,用时0.001秒. "系统时间被修改"--约有836,000项符合u盘病毒的查询结果,以下是第1-10项 (搜索用时 0.04 秒). --百度一下,找到相关网页约368,000篇,用时0.001秒.
手工杀毒介绍 常用工具介绍 系统自带工具
系统自带工具
1 2 3 4 5 6
CTRL-ALT-DEL msconfig tasklist /svc regedit gpedit.msc ...靠自己去发掘
手工杀毒介绍 常用工具介绍 更加强大的工具
更加强大的工具
1 2 3 4 5 6
killbox.exe pk.exe procexp.exe fport.exe kill_u.bat 终极武器:icesword.exe
手工杀毒介绍 常用查杀方法 EXE后缀型病毒
EXE后缀型病毒
这类病毒一般是以进程的方式运行,这类病毒一般是比较容易被 发现的.下面首先介绍一下这类病毒是从哪启动的. 1 注册表 Run,RunOnce,RunServicesOnce 2 系统WIN.INI文件内 3 SYSTEM.INI文件中 在system.ini文件中,在[BOOT]下面有 个"shell=文件名".正确的文件名应该 是"explorer.exe",如果不是"explorer.exe",而 是"shell= explorer.exe 程序名",那么后面跟着的那个 程序就是"木马"程序,就是说你已经中"木马"了. 又 会有人问了 我是XP系统怎么又不一样呢 在给你个正常的 XP系统的SYSTEM.INI请大家可以参考下 正常的SYSTEM.INI 文件 4 在config.sys内 这类加载方式比较少见 ,但是并不是没有, 如果上述方法都找不到的话,请来这里也许会有收获的.
手工杀毒介绍 常用查杀方法 EXE后缀型病毒
总结:这类病毒是比较容易暴露的,建议手动删除时最好进入安 全模式下,因为安全模式只运行WINDOWS必备的系统进程,EXE型 病毒很容易暴露出来的,下边附上一张WINDOWS安全模式的 必须 进程表.
手工杀毒介绍 常用查杀方法 EXE后缀型病毒
smss.exe csrss.exe winlogon.exe services.exe lsass.exe
Session Manager 子系统服务器进程 管理用户登录 包含很多系统服务 管理 IP 安全策略以及启动 ISAKMP/Oakley 安全驱动程序.(系统服务) 产生会话密钥以 交互式客户/服务器验证的服务凭据(ticket). ->netlogon svchost.exe 包含很多系统服务 !!!->eventsystem,(SPOOL 件加载到内存中以便迟后打印.) explorer.exe 资源管理器 (internat.exe 托盘区的拼音图标 System Idle Process 这个进程是不可以从任务管理器中关掉的.这 为单线程运行在每个处理器上,并在系统不处 的时候分派处理器时间 taskmagr.exe 就是任务管理器了
手工杀毒介绍 常用查杀方法 DLL型病毒
DLL型病毒
1
Svchost.exe的键值是在"HKEY_LOCAL_MACHINE\Software \Microsoft\WindowsNT\CurrentVersion\Svchost"每个 键值表示一个独立的Svchost.exe组. 微软还为我们提供了一种察看系统正在运行在Svchost.exe 列表中的服务的方法.以Windows XP为例:在"运行"中输 入:cmd,然后在命令行模式中输入:tasklist /svc. 查看进程到底调用了什么DLL文件 普通后门连接需要打开特定的端口,DLL后门也不例外,不 管它怎么隐藏,连接的时候都需要打开端口.我们可以用 netstat(Fport )

下一页