對熊貓燒香進行手動查殺學習筆記:
手動查殺:只不通過代碼的方式對病毒進行查殺,通過鼠標指指點點+DOS命令實現殺毒
粗淺,往往不能查殺乾淨
並不代表什麼軟件都不用,專業分析軟件
手動查殺病毒木馬固定的流程:
1. 排查可疑進程。因爲病毒往往會創建出來一個或多個進程,因此我們需要分辨出哪些進程是由病毒所創建,然後刪除可疑進程。
2. 檢查啓動項。病毒爲了實現自啓動,會採用一些方法將自己添加到啓動項中,從而實現自啓動,所以我們需要把啓動項中的病毒清楚。
3. 刪除病毒。在上一步的檢查啓動項中,我們就能夠確定病毒主體的位置,這樣就可以順藤摸瓜,從根本上刪除病毒文件。
4. 修復被病毒破壞的文件。這一步一般來說無法直接通過純手工完成,需利用相應的軟件,不是我們討論的重點。
既然計算機有殺毒軟件,爲什麼還要學習手動查殺病毒呢?
因爲殺毒軟件存在嚴重的滯後性,等到殺毒軟件公司的工程師抓取到病毒的樣本對其進行分析,總結出這個病毒的特徵碼,並將這個特徵碼加入到殺毒軟件的庫中,這樣的話我們的殺毒軟件才能識別這個病毒,而採用特徵碼這種方式,一旦病毒出現變種我們的殺毒軟件就無法在對這個病毒查殺了,因此說手動查殺在技術上是非常必要的。
如何編寫病毒的專殺工具?
專殺工具的編寫與手動查殺的流程和思想基本一致,掌握查殺手動查殺病毒的原理。
環境
操作場景:windows xp
實驗工具:Windows系統自帶程序
實驗文件:Setup.exe
實驗思路:
1. 學會基本的手動查殺理論
2. 利用DOS命令行刪除病毒及其影響
開始實驗:
一.排查可疑進程的工作:
1. 運行病毒程序之前,打開任務管理器,記錄下來,運行病毒程序,通過比對任務管理器,知道病毒程序創建了哪些進程(printScreen鍵:截圖)
2. 運行病毒,發現任務管理器關閉了,再次嘗試打開,任務管理器一閃而過,說明病毒已經對系統產生影響。
影響1:無法打開任務管理器。
問:如何在任務管理器打不開的情況下查看當前系統的進程?
答:在命令提示符下,輸入tasklist命令,就可以列出當前系統的所有進程。
4. 我們可以通過與之前的截圖進行對比,比對之後可以發現當前的系統多了一個spoclsv.exe的一個程序,這個程序就是病毒所創造出來的進程。
5. 我們現在的工作應該是殺掉多出的進程,使用taskkill命令,taskkill /f /im 1548,成功終止了pid爲1548這個進程,再看一遍tasklist進程
/f:強制殺毒
/im+pid值 im:文件的鏡像
二.排查系統啓動項:
1.啓動項我們可以在運行裏輸入msconfig,我們可以看到spoclsv這個啓動項,它的程序本體在windows\system32\drivers\裏面,然後還可以看到在註冊表中創建了一個鍵值,就是在這個Current/Version下面。
2.我們打開註冊表看一下regedit,註冊表中HKEY_CURRENT_USER下面的Software,然後是Microsoft,然後是Windows的CurrentVersion的Run,發現病毒創建了一個名爲svcshare這個名稱,它會啓動位於drivers下的這個程序,將spoclsv啓動項目取消勾選,確定。
3.刷新註冊表,發現啓動項消失了,說明我們第二個操作檢查啓動項已經完成。
三.刪除病毒
1.我們檢查啓動項知道了病毒所在的位置,我們打開命令提示符,病毒就在windows下的system32下的drivers(cd windows\system32\drivers)
2.查詢是不是存在 輸入dir spoclsv.exe,看到病毒文件確實存在,下面我們刪除。
3. 使用del 可以使用/f 強制刪除,輸入病毒的文件名稱spoclsv.exe 回車(del /f spoclsv.exe),然後再用dir查看下,可以看到本體的病毒文件已經刪除了。
注:這個病毒不單單是將自身複製到drivers目錄下,而且吧自己複製到了每一個盤的根目錄下。
4.我們可以進入c盤根路徑dir一下,發現沒有病毒的程序,原因是病毒將自身設置了隱藏,用命令dir /ah(顯示隱藏的文件,其中a代表屬性,h代表隱藏),列出c盤根路徑下所有隱藏的文件。
注:1.autorun.inf是病毒程序所經常利用的可以實現自啓動的程序
2.setup.exe是病毒的本體程序
5.刪除這兩個文件。由於這兩個文件是隱藏屬性,所以刪除的時候用del /ah /f 強制刪除,del /ah /f autorun.inf。我們也可以用另一種方法,先消除系統屬性,再消掉隱藏屬性attrib –s –r –h 文件名稱,然後我們再查看一下隱藏文件,在查看一下正常文件,在進行del刪除。
相關鏈接:http://bbs.ichunqiu.com/thread-8819-1-1.html?from=csdnJG
