qq9077 - 2011-2-7 21:26:00
病毒 玩过也做过 但最后 发现 都是浮云 留下来的也只有技术而已
下面就说下我对病毒的心得
杀灭病毒的过程有
1 解除执行状态
2 删除病毒代码
3 删除启动信息(可省略)
从病毒的执行方式来讲吧
有独立进程的 这个最好杀了
直接结束进程 删除文件
结束不了? R0结束进程的方法其多
KernelDetective GMER 这2个比较狠
英文软件 貌似都有中文版 版本不重要 重要的是能力
如果是木马就无大碍了
如果是蠕虫就要全盘杀毒了(这个后面详细说)
如果还中相同的木马 那么表示中的是下载者木马了
--------------------------------------------------------------------------------------------------------------
启动信息 通常是注册表搜索病毒文件名字(最好不带后缀名)
以前是RUN 后来是服务[服务的话可以设置成 启动失败(进程结束)就重新启动服务(重新创建病毒进程)
再后来是 IE啊资源管理器插件 反正病毒的目的就是 要很自然的装载进内存
以上3个方法都能通过瑞星卡卡助手查到(如果使用ROOTKIT隐藏除外)
有时我们查启动项目的时候 发现有异常启动项目 删了又回来的时候 就要警觉了
KernelDetective GMER 等也查不到文件所在的话建议重新安装系统
检测下载者的方法就是 重新开机不连网 然后打开瑞星的网络连接
不隐藏系统访问 然后连网 看下创建的连接
TCP的 而且有流量的(查流量这个卡卡要做上去)(如果是80端口的无错了)
看下进程名字(随机名字的话 他应该有个宿主 就是说开机病毒就已经启动了 查注册表)找到他 然后灭了
----------------------------------------------------------------------------------------------------
独立进程的 因为隐蔽性不好 现在已经淘汰了
dll链接库的 开始盛行了 俗称无进程的
这个也好办
还是一样 用上面-号内的去 找到进程
这个时候 就不是结束进程了
可以试下用KernelDetective GMER unlocker WSysCheck把DLL文件卸载掉
那么多dll卸载哪个呢? 你可以看下他的目录 如果在system32里面的话 查看下文件修改时间
查看文件方式 选详细列表 然后按时间排序
一般病毒的都跟系统其他文件的时间差很远的
如果这个找不到 就是说病毒把文件时间都改成跟系统的一样了
就对比下其他这个名字的进程加载的dll 然后把多出来的发到virustotal.com查下
如果病毒是替换了系统文件的话(通常这类型的病毒最容易被有云杀毒的发现的,自己也看不出来)
可以上QQ叫朋友发个过来 或者自己去system32\dllcache里找回来
如果dllcache里的也是病毒的话 那就让朋友发吧
补丁型病毒
这个是目前开始流行的
其实就是修改程序 然后把自己的代码隐藏到其他进程 (没有dll 没有进程)
这个本人还没想出完整的专杀方案
蠕虫是很无耻的 ,他借别人来启动自己
启动方式 利用autorun设置的隐患 修改文件 使用通用dll名字来加载自身
使用通用dll名字来加载自身 这个可以不用重装系统就可以杀灭的
就是打开看你的软件那 在主程序那都有一个新的文件
可以随便复制一个exe小程序 执行后他旁边就会多个dll文件
那他就是寄生虫了
然后就是 把这个文件大小的dll全灭
(因为有时名字不固定 如果大小也不固定 那就只有提交给杀毒软件 等杀毒的叫了再装系统了)
通常杀毒的会说是病毒 但是一执行exe 就出来dll 而且删不掉 退出exe后 dll被杀了
方法还是一样 卸载DLL 然后他应该被杀毒软件干掉了
全盘杀毒 把杀不掉的 用 -减号内提到的软件把文件赶出内存 再灭
其他2种 很多人都说装了系统后又重新中毒了
我的做法就是
重装系统后 我只在C盘转 (我在我的邮箱里存了个迅雷)
裸奔上百度 搜索杀毒软件(我是搜索 nod免激活)
不管什么网站 进去先下(我有迅雷) 放到C盘(重要 , 不可去其他盘)
装在C盘 然后全盘杀毒(把软件名字记下来 如果不能用了重装那软件)
一切操作都在C盘完成 如果裸奔还中个蠕虫 那算很倒霉了(中个木马怕鸟 照杀)
=流氓软件==流氓软件==流氓软件==流氓软件==流氓软件==流氓软件=
这个我感觉蛮恶作剧的
修改主页 改IE设置(淘汰了) 直接给你整个IE快捷方式 指向我的主页 直接URL 或者命令 iexplore http://xxx/
搜索你的默认浏览器 然后改掉你的软件设置(360安全浏览器照改)
搜索你的快速启动的文件夹 指向浏览器的直接重新做个快捷方式(主流的就那不到10个)
桌面的也重做 一般流氓软件我还是建议你不要自己去搞了 真的很累的
因为我做一个类 就行了 修改10几个文件 修改20几次注册表 注册几个dll 下载几个exe安装下
总之 你电脑无故多了几个软件 就表示你被流氓了
=流氓软件==流氓软件==流氓软件==流氓软件==流氓软件==流氓软件==流氓软件=
如果对以上 有不明白的地方 请回复 如果有说错的地方 请指正
不要误人子弟是最好的
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.7 (KHTML, like Gecko) Chrome/7.0.517.44 Safari/534.7
tyryrtytry - 2011-2-7 21:35:00
楼主说的很详细。
© 2000 - 2024 Rising Corp. Ltd.