找到怀疑对象以后,在资源管理器中找到文件本身。这里要注意的是病毒往往是具有“隐藏、系统”属性的,windows默认是不显示具有这类属性的文件。所以要在资源管理器的“[工具]->[文件夹选项]->查看”中,选上
将
的钩去除。
a.找到可以文件本身后,首先看其时候是具有隐藏属性:
图:可以从是否有是隐藏文件来区分病毒和正常文件
目前除非十分特殊的目的,比如防止用户修改,应用程序很少具有隐藏和系统属性,所以,如果怀疑的项目具有隐藏属性,一般就可以确定是病毒了。
b.通过“版本”信息来确定
在编写应用程序时,编写者往往会把程序的版本信息、版权信息附加在程序中,可以在应用程序的上按右键,察看属性来看到版本信息。
版本信息中往往指名了程序的用图,对于病毒而已,往往没有版本信息
图:regedit.exe的版本信息
图:伪装的病毒没有版本信息
c.是用PEiD查看应用程序签名
这里介绍的便是PEid的主要功能,exe、dll文件等程序文件均有一个统一的名字:PE文件,他们往往是由各类程序设计语言,比如C++/VB产生的,或者直接又人工汇编编写。
对于前者,各类程序设计语言生成的PE文件在其代码开始处的某些固定字节总是固定的,基于这样一个原理,可以来判断某个应用程序时什么编程语言编写的:
图:用Peid发现BitComet采用VC7编写
目前的技术:加壳,简单些说就是将原先的程序包裹起来(比如压缩起来),然后把负责解包的程序覆盖在这个应用程序的头部,这样以后运行这个程序时,实际上是先由解包程序恢复出原来的程序,然后再运行。
用于压缩程序的软件aspack、upx就是一种加壳程序,同样,也能用Peid检测:
采用aspack压缩的程序,peid会显示:
ASPack 2.1 -> Alexey Solodovnikov
通常来说,目前常见的应用程序采用加壳程序的并不多见,但有一定例外,如金山词霸、CoralQQ。一些游戏为了减少空间,其主程序也可能会压缩加壳。
而常见得加壳软件有:安全软件、各类注册机、各类算号器、加壳软件本身以及病毒。这是因为这类程序往往需要通过网络传播,所以对体积有一定要求,同时目前加壳的目的除了压缩以外更重要的是能够保证程序不被反汇编,即起到加密保护作用。
对于病毒,它不但希望减少自身体积,也希望加密代码,防止分析出工作机制。所以,病毒程序被加壳的概率很大。可以通过peid提示文字,或者在扩展工具中检测是否加壳来判断。
也有极端的情况,就是病毒直接由编写者通过汇编编写,那么往往peid会无法获得信息,这样的情况也要地方。
不过采用peid分析的办法要求有一定的基本功底,所以对于大多数人来说仅仅作为参考。
1.2 如何删除已经确定了的病毒文件
如果确定一个文件是病毒,首先要做的是是用进程管理器将其关闭。
图:将病毒文件进程关闭
这样可以确保病毒停止运作,如果有很多病毒,务必将他们都停止了。
下一步便是把注册表中的对应项目删除,然后删除文件即可。
对于无法终止进程的情况:
如果无法停止病毒进程,意味着病毒文件无法删除,同时即时在注册表中删除了对应项目,病毒也往往会重新添加一遍。
对于这样的情况,可以首先将病毒文件重命名,比如将hook.exe改外hook.ex_。这样的操作是可行的。病毒往往不会去监控自己的文件名是否更改,这样一来,在下次重启时,由于已经不存在hook.exe了,病毒就不会再加载,这样就可以放心的把注册表项目和文件删除了。
2.在系统服务中查毒
这是目前各类病毒和流氓软件的趋势,即病毒作为系统服务存在。这类病毒不会出现在上述的注册表和启动项目中,但这类病毒也会随开机自动启动,也拥有各大的权限。所以一般查毒必须检查系统服务。
系统服务是在windows系统中扮演核心功能的一类程序,比如开设web服务器的话,就会有IIS服务。
目前也有很多软件也有自己的服务程序,比如安装了Windows Live Messenger,会有“共 享 USN 杂 志 阅 读器 ”这个服务。目前的杀毒软件的核心监控程序也均是通过系统服务实现的。
自然,病毒注册为系统服务也不再少数,著名的木马“灰鸽子”便是一个系统服务。
在[控制面板]-[管理工具]-服务中 可以查看所有注册的系统服务。
图:系统服务列表
自动类型的系统服务会在系统启动后立刻执行,手动类型的服务只有通过其他程序加载或者人工开启才能执行,而禁用类型的服务只有改变了他的启动类型才可能执行。
如果病毒注册成为系统服务,启动类型自然便是“自动”,同时如果目前处在中毒环境下,自然其运行状态为:已启动。
因而,可以首先列出自动启动类型的服务,然后通过查看其功能描述(病毒往往不写功能描述,或者会伪装)。然后查看这个服务的文件路径,再采用第一部分提到的判断病毒的办法来确定是否可能是病毒。
对于怀疑的病毒项目,可以双击他,在属性对话框中先将其停止,然后设为“已禁用”来关闭这个服务。
图:如果怀疑是病毒,可以将其关闭并禁用
作为系统服务,其运行能力完全可以通过系统来控制,所以一般将其设为禁用后便可,如果偷懒完全不用删除文件本身。但是如果想删除病毒本身,请务必按下面方法进行:
2.1 如何删除系统服务
如果想将一个怀疑是病毒的系统服务删除,并不是将服务关闭,删文件那么容易。首相要将其禁用。然后删除文件。不这样做的后果是,如果服务仍旧未自动启动类型,在下次启动windows时,由于无法找到这个要启动的服务程序,windows便认为系统便无法工作,于是会蓝屏。
删除了文件后,还需要将注册的服务项目删除,也就是在注册表中删除。这个过程可以用第3方工具来进行,也可以亲在在regedit中编辑。
系统服务对应的目录是:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001(或者002\003,所有的都可能)\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
然后再这2个目录下搜索病毒的文件名,将那整个项目删除即可,如果忘记了这2个目录,直接对整个注册表进行搜索也可,不过2处目录下的项目必须均删除。
这样服务列表中便不存在该服务了。
图:必须将项目的整个目录删除
3.采用msconfig简化查毒过程。
winXP用户可以在运行中输入msconfig工具来查看当前的系统服务、自动加载的程序,简化一定的步骤。不过对于注册表项目,shell和AppInit_DLLs并不能在其中看到!
可以利用msconfig来鉴别系统服务:
图:可以通过制造商来判断病毒
往往病毒编写者会忘记填写制造商名,所以对于没有制造商信息的服务要格外注意,不过即使制造商为microsoft,也不能排除伪造的可能。
花了近一个小时。终于把这贴搞完。小小见解希望对新手有用
[ 本帖最后由 sansa520 于 2007-5-24 04:25 PM 编辑 ]
作者: 6618 时间: 2007-4-6 00:55
坐了第一张沙发,不错,加点味精。
作者: sansa520 时间: 2007-4-6 00:57
我晕。。还没编辑好你就占好沙发了。
作者: dgxhls 时间: 2007-4-6 01:05
非常感谢大侠的原创。
作者: sansa520 时间: 2007-4-6 01:10
:lol 我不是原创。。是在网上收集的相关资料。。然后大概整理一下。。感觉发出来或许有朋友能用上。。今晚没去水。可惜。。明天补上。。编完这贴该去呼呼了。。
作者: dgxhls 时间: 2007-4-6 01:32
这么高深的东西我看不懂 ,能不能搞点通俗易懂的。
作者: pandorak 时间: 2007-4-6 02:08
提示: 作者被禁止或删除 内容自动屏蔽
作者: longteeth 时间: 2007-4-6 09:19
收藏了,谢谢
作者: sansa520 时间: 2007-4-6 09:26
原帖由 打狗协会理事 于 2007-4-6 01:32 AM 发表 
这么高深的东西我看不懂 ,能不能搞点通俗易懂的。
这样啊..那我得继续上网收集了..
作者: rock269 时间: 2007-4-6 11:36
在我这怎么样片全都是叉叉啊
作者: rock269 时间: 2007-4-6 11:51
这到底是什么字体啊,看得头都大了
作者: jkfour 时间: 2007-4-6 12:18
好,高手,技术不凡,查出来删不了,那就惨
作者: sansa520 时间: 2007-4-6 13:54
还以为是图片出问题了..原来不是..又正常了..
作者: sansa520 时间: 2007-4-7 00:37
看來我也快成為第二個收集狂了。
作者: lisa 时间: 2007-5-24 15:07
字体太怪了,看得头痛
作者: sansa520 时间: 2007-5-24 16:37
原帖由 lisa 于 2007-5-24 03:07 PM 发表
字体太怪了,看得头痛
:em10 已经改过来...之前发贴那台电脑字体有问题...
还好你翻的贴不是很旧..要不然6618看到了肯定打你PP.
作者: wlv404 时间: 2007-5-24 19:17
学习了一下.不错.:D
作者: qiuheping 时间: 2007-5-30 13:31
如果懂电脑的,这招都会,不懂的还是没有用!不如给他一个工具,方便的多,更何况现在的病毒、流氓软件,不是这么简单可以让你清除的!
作者: sansa520 时间: 2007-5-30 18:21
难道楼上的看不出来这是个教程贴???
就是因为有些朋友对这些不是很懂..或许都有杀软..但能有文章可以用来学习.难道不好?
[ 本帖最后由 sansa520 于 2007-5-30 06:22 PM 编辑 ]
作者: qiuwang2006 时间: 2007-11-19 12:28
谢谢了,学习一下
作者: skuny 时间: 2007-11-20 11:16
怎么看不到图!!
斑竹分析具体!!
作者: 称心 时间: 2008-10-21 15:33
实在是太经典了,感谢楼主
作者: coolhui 时间: 2008-10-21 16:14
又学习了,谢谢楼主!!!
作者: 360012450 时间: 2008-10-23 12:10
不错 挺收益的
收藏了
作者: yygyxkj123 时间: 2008-12-11 15:20
[fly]好东西收下子,谢谢LZ分享[/fly]
作者: 月海一天 时间: 2008-12-11 15:52
学习下。。。。。。。。
作者: anand 时间: 2009-6-13 22:53
好全面,也好实用,谢谢!!
作者: 00798654 时间: 2009-6-16 12:31
我还是看不懂,也没太仔细看
作者: ﹎Jason 时间: 2009-6-19 15:42
学习了~!~~~~~~~~~~~
作者: anand 时间: 2009-7-14 09:47
非常感谢!!自己动手试一试,才会有所收获,新手杀毒学习之。。。谢谢
作者: leizhao 时间: 2009-7-17 20:34
很全面,很翔实
收藏
作者: 小闽 时间: 2009-9-1 16:41
新手努力学习,加油!很实用,非常感谢!
作者: cheng759 时间: 2009-10-6 22:17
标题: [分享]----《windows亲手灭毒宝典》----(新手篇)
啊,无语!云里雾里了,但是还是值得收藏的!
作者: zwd1230 时间: 2009-10-9 15:08
不错的教程,楼主辛苦了!
作者: 熄灭的火焰 时间: 2009-10-10 11:58
不错不错..收藏了..
作者: 龙女 时间: 2009-10-13 16:50
学习了,谢谢楼主发表。
作者: 大少爷 时间: 2009-10-15 14:17
希望看到提高篇,已收藏!!
作者: molingjian 时间: 2009-10-15 16:59
补充一个键值 load键
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load键值的程序也可以自启动。
作者: yindb 时间: 2009-10-15 19:46
听君一席话,胜读十年书!
作者: songhuirong1 时间: 2010-6-6 08:40
这个帖子写得好。学习了。谢谢。
作者: ×︿祌啈諨 时间: 2010-6-6 11:22
图片挂掉了耶 楼主能不能给补上啊
作者: urcc026 时间: 2010-6-7 09:37
谢谢,学习了,很实用
作者: 2010wangka 时间: 2010-7-27 14:38
本人也看不到图,楼主是不补一下。谢谢
作者: gtxsyk 时间: 2011-6-22 08:52
很实用,收藏了!感谢楼主分享
作者: 1e3e 时间: 2011-6-22 23:01
认真学习一下了,还是习惯用杀毒软件
作者: 2010weisheng 时间: 2011-11-2 05:17
很有用,谢谢楼主
分享
作者: yxyshadow 时间: 2011-11-2 10:54
还不错 就是图片看不到 有些之前也有用到过 感谢分享
作者: 逍遥高手 时间: 2011-11-10 08:33
很不错的教程啊 打个包让下载就更好了
作者: 2012weiwxsir 时间: 2012-7-1 16:50
学习了,很好的教程。
作者: 2012武汉-小虾 时间: 2012-10-23 11:30
标题: 回复 #1 sansa520 的帖子
很好的帖子。。支持一下。。。
| 欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/) |
Powered by Discuz! X3.3 |
