【3.A.S.T】网络安全爱好者's Archiver

黑客学习

柔肠寸断 发表于 2008-8-11 23:12

如何手动搞定各种未知病毒

手动搞定各种未知病毒未知病毒意思就是没有被杀毒软件查出的病毒。你可能会说我每天更新病毒定义库,不可能有未知病毒。但是我要告诉你,我已经遇到诺顿、瑞星都杀不了的病毒了,其实应该说是木马类病毒。这类病毒传播范围小,诺顿、瑞星病毒监控中心都不可能在短时间内遇到病毒样本,也就不可能会把这个病毒加入最新定义库中了。

当然在查找病毒之前,请更新windows和杀毒软件,这是基本原则。

其实病毒的藏匿地点还是很好找的。

1.藏在管理工具-->服务中。仔细察看每个服务,如果发现过去没有的服务就要注意了,察看可执行文件的路径,确认什么服务,如果可疑就要,就把它禁用。(这个就要你平时仔细观察每个服务,熟悉每个服务了,否则病毒不会被你一下子看出来的。)注意:千万别乱禁用阿,记得第一次研究各种服务的时候,我把某个重要的服务禁用了(好像是plug and play)结果重起无法进入系统,安全模式都没用,只能重装。

2.藏在注册表中。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
以上这些地方必须一个一个检查,有没有多出不知道的东西。(这个也要看你平时的观察了,平时可以多看看刚装好的干净系统。)注意:杀毒软件和你需要的软件也在其中,别把杀毒软件去除了哦!

如果是和IE有关的病毒更改了上网方面的设置,让你每次启动IE都去那个讨厌的网站,而且还不让你改掉,可以有两个办法,一个是到注册表里查找那个讨厌的网站,把所有找到的项的内容,都一个一个清空。还有就是利用注册表修理工具(超级兔子之类的软件),但是这个就不是手动搞定了,我从来不用这类工具解决问题,用了就没有体现出自己的水平,呵呵。

3.藏在系统目录中。

察看windows目录和windows\system32\目录下有没有可疑的文件。你一定会大叫:天哪!这么多文件,我哪里知道哪个是病毒文件?别急,有办法的,你可以按照修改时间和创建时间来排序,主要看exe和dll 文件,然后观察那些可疑的文件。

技巧:可以打开可疑文件的属性,看看是否是微软系统文件,是微软的文件会标明的。一般来说,病毒文件是不会写下详细的文件版本信息的。


不过要是不确定,千万不要删除可以文件,可以移动到临时的文件夹中。如果无法移动,可以到安全模式下移动。


这个也需要平时对系统文件要熟悉,查找起来就比较快,而且病毒文件起名字都喜欢起与系统文件相似的名称,例如多一个或少一个字母,来混淆你的概念。

4.藏在内存中。
察看任务管理器,观察有没有可疑的可执行文件在运行。发现可疑的进程,立即强制结束它。有可能你无法结束这个进程,估计这个进程是通过服务方式启动的,你就必须到管理工具-->服务中停止并禁用它,才能关闭,再不行,就要到安全模式下搞定了。



以上4个地方必须一气呵成全部搞定,少做一个,病毒就会死灰复燃,并在4个地方全部恢复,你刚才的事情就算统统白干了。


我用这个办法去除病毒,到现在还没有失手过,包括解决杀毒软件未知的病毒,当然用杀毒软件和其他软件来协同搞定,效率会更高。

流氓 发表于 2008-8-12 13:30

哈!
学习路过!!
沙发!!
(*^__^*) 嘻嘻……!!

3ast 发表于 2008-8-12 16:46

:victory: :victory: :victory:

yzmno0 发表于 2010-4-18 01:00

这么好的帖子不顶不行

threeni 发表于 2010-8-28 18:21

这么好的帖子不顶不行

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.