SiS001! Board - [第一会所关闭注册]

标题: [交流] 手工查杀电脑病毒，及如何防御病毒的一些基础教材 [打印本页]

作者: lkmiphic 时间: 2008-3-8 15:59 标题: 手工查杀电脑病毒，及如何防御病毒的一些基础教材

手工查杀电脑病毒，及如何防御病毒的一些基础教材
看到有很多会员提出想学习一下手工查杀病毒的方法。特此发贴。虽然步骤很简单。希望能对一般不懂手工查杀的会员朋友们一个学习的提示。配合下面的几个帖一起学习一下。
http://bbs.mmbest.com/viewthread ... =page%3D1#pid440751
http://bbs.mmbest.com/viewthread.php?tid=71885&extra=page%3D1
http://bbs.mmbest.com/viewthread.php?tid=71880&extra=page%3D1
http://bbs.mmbest.com/viewthread.php?tid=71883&extra=page%3D1
http://bbs.mmbest.com/viewthread.php?tid=71886&extra=page%3D1
2月1日更新部分
http://bbs.mmbest.com/viewthread.php?tid=73502&extra=page%3D1
http://bbs.mmbest.com/viewthread ... mp;extra=#pid440760
http://bbs.mmbest.com/redirect.p ... oto=newpost#newpost
http://bbs.mmbest.com/viewthread ... p;extra=page%3D1###
http://bbs.mmbest.com/redirect.p ... oto=newpost#newpost
http://bbs.mmbest.com/viewthread.php?tid=73500&extra=page%3D1
http://bbs.mmbest.com/viewthread.php?tid=72783&extra=page%3D1
2月12日更新部分
http://bbs.mmbest.com/viewthread.php?tid=75367&extra=page%3D1
http://bbs.mmbest.com/viewthread.php?tid=75366&extra=page%3D1
http://bbs.mmbest.com/viewthread.php?tid=75370&extra=page%3D1
http://bbs.mmbest.com/viewthread.php?tid=75369&extra=page%3D1
http://bbs.mmbest.com/viewthread.php?tid=75368&extra=page%3D1
http://bbs.mmbest.com/viewthread ... mp;page=1#pid490514
3月2日更新内容
http://bbs.mmbest.com/viewthread.php?tid=77775&extra=page%3D1
http://bbs.mmbest.com/viewthread.php?tid=77777&extra=page%3D1
http://bbs.mmbest.com/viewthread.php?tid=77778&extra=page%3D1
3月8日更新内容
http://bbs.mmbest.com/viewthread.php?tid=78377&extra=page%3D1
http://bbs.mmbest.com/viewthread.php?tid=78379&extra=page%3D1
3月16日更新内容
http://bbs.mmbest.com/viewthread.php?tid=78757&extra=page%3D1
http://bbs.mmbest.com/viewthread.php?tid=72783&extra=page%3D1
（文章里的毒不仅仅是病毒）

你的电脑安全吗？你的电脑可以防黑吗？

我现在就跟大家说说手动杀毒的几个常用的方法。你也许会说现在的杀毒软件那么多啊，为什么我们还要学习用手动来杀毒呢？你想想病毒的产生肯定是比你的杀毒软件的升级快很多的，既然是那个样子的话，我们学习手动杀毒就对我们很有帮助，也可以让我们更加熟悉计算机的进程以及对我们将来学习更多的计算机技术打下很好的基础。费话多说了，现在我们开始。因为我使用的是XP操作系统，那这里就以XP的版本先给大家讲解一下。

首先，对于自己的计算机要有洞悉力，说得通俗点就是如果发现什么不对的就要考虑下是什么原因了。因为是讲手工杀毒那就先讲中毒的几个特别征兆，例如：你的电脑在上网的时候自己会打开不知名的网站（恶意代码也是会这样的啊，我们也把它暂时当病毒吧）；你的电脑的速度变得很慢很慢，特别是开机的时候要很久；你的电脑文件有的开不了；有时候点一个陌生的文件突然一闪而过；有时候总跳出非法操作……可以说你觉得很可疑的时候，都可能是中了病毒。那么我们就要找到病毒。

1.找到病毒

进程法：有的病毒在热启动（CTRL+ALT+DEL)就可以看出来，它们总是想隐藏自己成为系统里面的特殊文件，仔细看就可以看出猫腻了。什么把l(字母）写成1（数字）啦，把O（字母）变成了0的啊，更好笑的是连大小写都出来了，其实只要认真看问题就简单。如果你对进程不是很了解的话，建议把它名字记下来去百度找找，应该可以找到答案。特别要注意的是你在用热启动的时候，最好不要开任何文件和软件，这样比较好辨认。

启动法：现在的病毒和木马都会自己随系统而启动，那么我们就可以根据这个把它找到。开始——运行——输入msconfig在启动选项就可以看到启动的项目和命令还有位置，把你觉得十分可疑的前面的沟去掉就可以了。记下那些可疑的启动项命令的地址，将来杀的时候能够用到。这样可就看到病毒了，也可以在运行里面输入regedit（注册表），HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion的RunOnce，还有RunServices和Run，还有另外一个HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion的RunOnce，以及RunServices和Run的可疑的启动文件都删就好。

文件法：这个比较难麻烦，一步步来就好。我们先打开“我的电脑”工具栏里面的“工具选项”——“查看”——“隐藏受保护的操作系统文件（推荐）”的勾去掉，选择显示所有文件和文件夹，去以下的文件夹看看有没有可疑的文件。

（系统盘用X：/表示）
X：/
X：/WINOWS
X：/WINDOWS/SYSTEM32
X：/WINDOWS/SYSTEM
X：/Program Files/Internet Explorer
X：/windows/Temporary Internet Files/Temporary Internet Files
X:/temp 还有X:/winows/temp
X:/Documents and Settings/Administrator/Templates
x:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files
X:/Documents and Settings/Administrator/Local Settings/Temp

还有各个分区的这些文件夹里面都是病毒常常光顾的地方。有的文件很多，象SYSTEM32就有几百个，怎么找呢？建议使用右键排列图标——修改时间，这样就快很多了。

系统编辑器法：运行——sysedit看有没有可疑的文件，可是这个最好不要乱修改（比较危险），不确定的话还是去搜索下比较好。

2.杀毒

前面说了几种的找毒的方法，根据上面的话，我们就可以知道病毒的名称和地址。那么还不开工，杀毒最好是在断网和在安全模式的时候，为什么呢？据说是在DOS下杀毒的时候最好，可是对于杀毒新手的话，我还是认为先从安全模式下杀比较好，有GUI（图形系统）比那黑白DOS强多了。开机——按F8进入安全模式，使用文件法的前几步使隐藏文件显示，进去我的电脑按F3搜索界面，接着是搜索删文件。记得，在更多搜索选项要全选。删掉了之后还要记得在各个盘的回收站里面的东西全删去，每个盘的回收站都是叫Recycled的。

可是有的病毒是很狡猾的啊，那么我们就要用到工具。介绍几个我常用来辅助杀毒的工具：一个是Tcpview，查看端口是否存在问题，如果有木马可是一看就能发现的。还有就是IceSword和windows优化大师的WinProcess，我个人比较喜欢的是WinProcess，因为它查看进程的时候可以在网上搜索到跟进程相似的东西，省去自己上网输入进程名字的步骤，方法是进程描述中的更多相关信息。

2月28日更新内容
新手识别木马的几点误区------以下内容转载自"小熊"

一、软件被杀毒软件报警的问题
关于这个问题,因为多数发布的木马是没有经过免杀处理的,所以会被杀毒软件报警,即便是做过免杀处理,发布出来一段时间后也会被杀毒软件查杀而引起报警,因为它本身就是生成木马的工具,杀毒软件不会视而不见的,所以把它当作病毒
需要澄清的问题是:
什么是木马,什么是木马生成器
1、生成木马的工具杀毒软件只要见到了都会当作木马来处理,或是加上木马工具来标志它
2、被报警的软件未必是恶意软件,我们用的大多数黑客工具都会被报警,因为它除了黑客用途,没有其他用途,所以是杀毒软件的对立面,会被查杀
3、遇到黑客工具被报警这种情况我们怎么分辨到底是黑客工具捆绑了木马被报警还是它本身被报警?这个问题不好办,只能运行了查看系统进程是否增加,注册表选项是否增加,文件关联是否更改,服务项目是否增加,是否出现autorun文件等,根据自己的黑客知识来识别
所以,大家需要明确,被杀毒软件报警的未必是有害软件,不被报警的也未必没问题,不要过分依赖杀毒软件,尤其不能根据杀毒软件来乱说别人捆绑木马之类的

二、存在多个可执行文件头或捆绑数据的问题
  1、多文件头问题
  关于这个问题,不知道你们看没有看啊拉1209脱壳全过程动画,在里面有个问题,啊拉QQ大盗,本身文件一个,里面可以生成4个木马,分别是无图标,文本,游戏,图片4个格式,所以文件头为5个,如果不是5个,那么这个软件需要经过加密或压缩处理
这只是一个例子,可以这么说,凡是可以生成木马的东西都要至少2个文件头,不然那个木马从哪儿生成？所以大家检测到文件头有什么用？不明白为什么用这样LJ的检测工具
如果要消除多文件头,只需要找个一般的加壳软件加壳就可以了,既便不加壳,我们用木马彩衣就可以消除PE文件头标志,那LJ检测工具就够戗能检测到了（我没测试，理论推测）
如果发布的这个文件里面包括UPX压缩,木马本身,键盘插件等,5个文件头太正常了,我已经发布了检测捆绑数据工具,大家不要再用那个LJ检测文件头的工具,因为那种LJ检测工具....误报率高达80%以上
  2、捆绑数据问题
  文件脱壳后再修复,里面存在的大量由于加壳生成的花指令引起的LJ代码,我们虽然把壳脱去了,但是大部分没有减肥去除里面的花指令,所以检测时检测到多余数据是很正常的，我们不能根据检测到多余数据就断定某一个软件有问题

最后一句话,奉劝大家不要用这种LJ工具来检测,发现可疑问题直接报告版主,不要误导其他人,让大家误认为某人可能捆绑木马,众口铄金,积毁销骨、人言可畏啊,正如某菜鸟说了句阿拉QQ大盗有后门,收不到小于6位的QQ号,众菜鸟就群起响应,认为收不到,飞机的发明者莱特兄弟接受采访时说：鸟类中只有鹦鹉会说话,然而鹦鹉是飞不高的,希望大家多学技术,少做鹦鹉

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://154.84.5.200/bbs/)