瑞星卡卡安全论坛

2010年2月6日[流行病毒概况以及手动查杀方法]-讲义

讲师：newcenturymoon

本次课程答疑时间：2010年2月6日（周六）20:00-22:00

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问！

流行病毒概况以及手动查杀方法讲义:http://bbs.ikaka.com/showtopic-8648180.aspx

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; InfoPath.2; MAXTHON 2.0)

前排占座听课:kaka12:

先占个座位:kaka5:

占坐学习

1：现在一般的病毒已经不可能那么傻有自己的进程了，有的话一般也是隐藏了，或者说自我保护巨强的，对吧，老师?
2：有的病毒会通过注入到正常程序达到启动或者说运行的效果，我们要怎么知道这个看起来正常的系统进程被注入了呢？要怎么对其进行查杀呢？还有就是病毒是通过什么方式实现的呢？是通过加载dll文件吗？
3:HOOK技术可以实现屏幕和键盘的记录，这我是知道的，问题是，我们应该用什么好的工具查看可以的HOOK呢，我们又该怎么判定这个是不是正常的HOOK呢？冰刃中的SSDT是不是就可以查看HOOK？遇到了HOOK要怎么处理？
4：dll文件是叫动态函数链接库，有些用户误将dll文件删除会发现不能正常启动计算机的现象，如果说木马病毒利用的dll文件，我们怎么在N多正常的DLL文件中发现这个就是木马的DLL文件呢？就算找到了，我们是不是应该先结束掉启动它的进程完了再删除dll文件呢？要是这个dll文件是跟随某些个重要的进程启动的呢，你一结束进程系统就直接蓝色了？这样的情况我们又要怎么处理呢？
5：文中提到了替换文件，我们一般查杀的时候都是用杀毒软件查杀，当然众所周知有杀软有些个病毒是无法查杀的，当我们的杀软对病毒束手无策时，我们应该怎样手动的查出替换文件和被劫持的dll呢？
6：传说中的ring0是不是和系统的驱动程序有关系？
7：如果说病毒也可以进入ring0这里的话，那么是不是可以杀掉杀软呢？如果说杀软这最后一道防线都被攻陷了，我们要怎么来处理病毒呢？
8：刚才查了下rootkit的资料，在想，要是木马病毒使用了rootkit技术，是不是就可以隐身了么？如果连进程都没有，甚至连通讯端口都没有，my god，这不就无敌了吗？= =！！大汗。。。怎么判定自己的计算机存在不存在rootkit呢？要是遇到了这么个情况要怎么个处理啊~
9：文章最后提到了采用冰刃等工具来查杀，如果说用户的计算机是Vista或者说是win7，那个冰刃根本没法运行又该怎么办呢？
10：对于感染性的病毒，我们那PEID查入口点干嘛？
11：对于杀不死的病毒中，那个具有U盘传播的，要怎么用winrar查看呢，我们直接拿冰刃打开我的电脑直接把autorun.inf咔嚓掉不行吗？这样会不会中招？
12：前些日子中了回worm，是通过U盘感染的，我们的一台电脑中招后，我拿U盘拷了个软件，就中招了，对于这些U盘感染性病毒，我们有什么好的放法防范吗？还有就是有什么好的方法杀掉？排除杀毒软件这一点，当时的情况是杀软直接无效，能查出是什么病毒但是无法清除。
13：PE系统是不是就是我们平常使用的ISO啊，不好意思，没使用过这方面的工具，希望讲解下。
今个问题有点多，因为自己曾经深受病毒困扰，有的同学中的病毒都很奇怪，经常的让我过去整电脑，我汗啊，嘛病毒都有，有的甚至连重装系统都没办法结局，貌似也有感染别的盘，希望老师能够解答，谢谢了~
还有就是老师能不能拿confickr这个病毒实例来讲解下清除的过程呢，因为前些日子在中完威金后就是中的这个，当时搞了一天，头都大了，现在还不知道当时怎么搞好的，我汗。。麻烦了，老师~

（前面一大段看的晕晕乎乎了，明天脑子清醒了再来仔细斟酌:kaka16: ）

提问：
1、文中提到我们可以使用断电 大 法 对付病毒的回写操作，那么冰刃或其他工具删除病毒文件，重启进入系统是否又会导致病毒回写注册表；有些病毒文件可能不是一次性能删除的，需要反复重启删除方能彻底删除，此过程中应该会导致病毒回写注册表回写文件，进行自身复制与保护？
2、病毒会挂钩相关API,一般先利用SRENG进行修复，如若不行再采用冰刃、rootkit unhooker等越权工具强制修复，如果病毒屏蔽了冰刃、狙剑等工具应如何处理

1当然不可避免，所以最好一次性清除干净
2那么多工具木马不可能全部屏蔽，如果真的全部屏蔽了那么只能依赖于操作系统本身或者PE来修复

居然提前发布了，围观

了解了，谢谢前辈解答
:kaka1:

发布的这么早

厄~前面那位童鞋问的问题基本都包括了~ 不过老师还是麻烦您问下面几个问题~

1.请问老师PE是什么？
    PE在杀毒过程中和其他比如Xdelbox和IceSword有什么区别呢~？？

2.有些病毒会在进程运行的时候释放许多病毒文件，请问用什么软件可以跟踪到这些被释放的病毒文件呢？
    这些病毒文件又是干什么的呢？
    删除了源病毒文件后，这些释放的文件是否还有破坏和感染力？
    是不是原病毒释放完病毒文件以后，其本身就失去作用了呢？

3.这个SSDT是动态的么？需要什么权限才能修改？SSDT保持静止不变，拒绝一切改动，那么就不会有SSDT  HOOK了吧？

4.老师您看我如下的说法对不对：
    ring3层
    第一步： 应用程序有一个调用API函数的请求，
    第二步： 这个请求发给了ntdll，然后ntdll运行了一个函数，在SSDT中找到了这个API函数的索引，并传给ring0层，
    ring0层
    第三步：ntoskrnl.exe下的系统分发器利用传来的SSDT索引号找到需要调用的API函数指令所在的物理地址，并执行。
  从而达到应用程序所需要的功能
  是这样的过程么？

5.IFEO是完全通过的是可执行程序的名称来判断的么？该过程也是在ring3层么？

6.注册表管理是运行在ring3的么？

7.看猫叔他们都知道病毒的具体行为，请问老师用的是什么软件跟踪的呢？还是通过对比运行病毒前后的区别看出来的？注册表的区别也能看出来~很好奇~~
8.微软是否考虑过严禁程序修改内核程序？应该是有一些保护吧？那病毒又是怎么做到修改内核程序的呢~~·:kaka6:

    呵呵，谢谢老师~~:kaka14:

占座，这么早还是被落后了:kaka2:

先占个座位

问题：
1.在代码感染中提到的一个节是什么概念？是字节？还是编程中的一个单位？
2.查毒的时候，如果发现保护进程，怎么把他们都找出来？用冰刃之类的工具吗？

能不能提供几个杀毒实例来说明不同病毒的特性以及查杀方法？


谢谢老师啦:kaka16:

提问：
1.进入PE系统之后能使用什么主要手段杀毒？一些常用的工具能使用吗？杀软可以使用吗？
2.开机杀毒（不是每个杀软都有开机杀毒……）和安全模式下杀毒哪个效果更好？

1.是的，目前直接能在任务管理器里面看到进程的病毒不是很多了
2.一般是通过CreateRemoteThread，SetWindowsHookEx,QueueAPC这样的函数将自己的动态库或者代码注入到其他进程。如果是注入的动态库，那么可以通过sreng或者其他工具的“模块检查”发现它们；如果注入的是一段代码，放在那个进程中的一个线程中，一般通过日志什么的是无法检查的。（其实注入动态库也是在对应进程空间中写一段代码，不过写的代码一般是动态库的路径）
3.Hook中文名是“挂钩”，实质上是修改某些系统函数的代码跳转到自己的代码上进行一些处理。键盘钩子是一种，SSDT钩子是另一种，两者没有必然联系。键盘钩子是基于Windows的一种消息机制的钩子，Windows的窗口可以用来接收各种鼠标键盘消息，可以通过挂钩键盘或者鼠标消息来截获他们，有些盗号木马也是这么做的。冰刃中的SSDT看的是SSDT hook是系统服务描述表的挂钩。关于SSDT hook在文章后半部分有所介绍
4.一般情况下还是需要靠杀毒软件来识别病毒的dll文件，目前很多病毒可以感染系统的动态库，最简单的办法就是通过找其他系统的相同版本的对应文件，看其MD5等是否相同来判断系统的动态库是否被感染。如果某个dll注入到了重要的系统进程中，可以使用冰刃等强制删除工具删除这个动态库，然后重启就可以。
5.一般用冰刃或者wsyscheck这类工具就可以，他们有强制删除文件功能。杀毒软件无法删除它们的原因其实并非是技术达不到，而是为了大多数用户系统的稳定。
6.x86处理器提供了4个特权级，分别用0，1，2，3表示。0最高，3最低。windows操作系统中，内核代码在ring0,用户态代码在ring3，为了对系统内核进行保护，一般情况下用户态代码是不能访问内核下的代码的。
7.只要进入了内核，那么杀毒软件自我保护再强大也有可能被干掉，因为是同级别权限，谁都可以杀死谁。这种情况下就需要我文中后半部分介绍的方法解决问题。
8.rootkit技术是可以通过工具检查出来的，比如冰刃,gmer,rootkit unhooker等等。
9.只能找支持这些系统的软件咯。
10.对于感染型病毒，也不一定会修改程序入口点，还是建议使用杀毒软件鉴别这些文件
11.你说的方法也可以。
12.U盘插入电脑前需要进行彻底的查杀，U盘中尽量不要放exe文件，如果必须要放建议将其扩展名修改下，这样可以大大减少被感染的几率。有一些病毒伪装成文件夹图标，可以在你的电脑上利用一些美化软件将文件夹图标改掉，那么再有这样的病毒就可以轻松识别出来了。另外一定不要双击打开U盘。
13.PE也是一种系统。

confickr是通过MS08-067漏洞传播的，一般中毒机器会自动屏蔽一些杀毒软件的升级地址，首先需要将DNS cache服务停止再启动，然后通过sreng找svchost相关服务，并查找有无可疑dll，然后将其删除就可以。另外需要打全补丁。

1.可能会重写，因为即使将文件删除，但其代码实质上还是在内存中的。不一定，目前还没碰到过那么顽固的病毒。
2.实在不行只能去PE系统了

1.PE你指的是PE系统？还是PE文件？
2.可以用firemon,regmon或者其他 HIPS监控这些文件。这些文件干什么的要具体文件具体分析。
3.SSDT需要内核权限，不可能让SSDT拒绝一切改动。可能做到的是监控他们如果有改动立即恢复。
4.差不多是这个意思。
5.是
6.是
7.应该用的是SSM。
8.修改内核程序？平时病毒修改的也不是内核程序那个文件，而是系统内核，确切的说是内存中的数据。

1.这里的节是指PE结构中的区段。
2.这个只能靠杀毒经验了

谢老师！！！

谢谢老师解答
如若发现硬盘中无病毒（格式化所有分区重做系统），但病毒代码驻留在内存中是否可以断电将内存条拔出，采用放电法解决？

不用。关机以后。内存中就什么数据都没有了 除非硬盘上还有病毒开机后又驻留在了内存里面 不会存在硬盘上没有病毒了重启后内存内仍有病毒的情况

提问：
1、ARP欺骗中病毒伪造的网关是不是把自己放在发出请求的机器与真正网关之间，是本来直接从发送请求的机器到网关数据包多运行一步即通过假网关从而使数据包感染上病毒并由真网关把带病毒的数据包解析会原机器使得其中毒？
2、代码感染中的patch感染，对文件入口打补丁，当病毒运行完也把代码移回后还会运行原来的程序吗？
3、patch感染对文件内码打补丁是搜索文件入口一段范围的call或是jmp，是不死原来文件入口段有call或是jmp指令才行？而对文件入口点打补丁是原文件没有call或是jmp指令，病毒把这两个指令替换其他指令使其运行？
4、查找文件空隙感染中说的 开辟一块内存 ，这个内存是指电脑中的内存？这种方式是不是把病毒代码分散放置就好像零散的机器零件然后再被重组后运行？
5、代码感染中增加一个节并修改入口点提到 病毒代码是精心编制而非简单的自身代码的全复制，这个“病毒代码”和“自身代码”分别指的是什么啊？难道不一样吗？为什么说不是自身代码的全复制呢？
6、创建远程进程中说 产生一个特殊进程是一段代码 ，这个特殊的进程是谁产生的啊？ 老师，那个步骤的最后一步调用loadlibrary函数为他传递上面分配好的内存地址， 这个内存地址是不是就上前面被植入dll路径的那个内存地址，当loadlibrary调用 这个地址即开始运行其中被粘贴的dll路径，植入dll呢？

先问这些，接着再往下看看再接着问~~

我想问一个ARP的问题。最后的B伪装C（MAC地址伪造）去对A进行ARP应答。那成功之后，A无法PING到C，是不是因为C的IP对应的MAC被B的伪造MAC地址替换了？！
第二个问题是网关等同于IP地址吗？

感染型的病毒如何确认哪些是感染的系统文件？

不是周六没课吗？:kaka2: