返回 登录
0

熊猫烧香之手动查杀

对熊猫烧香进行手动查杀学习笔记:
手动查杀:只不通过代码的方式对病毒进行查杀,通过鼠标指指点点+DOS命令实现杀毒
粗浅,往往不能查杀干净
并不代表什么软件都不用,专业分析软件
手动查杀病毒木马固定的流程:
1. 排查可疑进程。因为病毒往往会创建出来一个或多个进程,因此我们需要分辨出哪些进程是由病毒所创建,然后删除可疑进程。
2. 检查启动项。病毒为了实现自启动,会采用一些方法将自己添加到启动项中,从而实现自启动,所以我们需要把启动项中的病毒清楚。
3. 删除病毒。在上一步的检查启动项中,我们就能够确定病毒主体的位置,这样就可以顺藤摸瓜,从根本上删除病毒文件。
4. 修复被病毒破坏的文件。这一步一般来说无法直接通过纯手工完成,需利用相应的软件,不是我们讨论的重点。
既然计算机有杀毒软件,为什么还要学习手动查杀病毒呢?
因为杀毒软件存在严重的滞后性,等到杀毒软件公司的工程师抓取到病毒的样本对其进行分析,总结出这个病毒的特征码,并将这个特征码加入到杀毒软件的库中,这样的话我们的杀毒软件才能识别这个病毒,而采用特征码这种方式,一旦病毒出现变种我们的杀毒软件就无法在对这个病毒查杀了,因此说手动查杀在技术上是非常必要的。
如何编写病毒的专杀工具?
专杀工具的编写与手动查杀的流程和思想基本一致,掌握查杀手动查杀病毒的原理。
环境
操作场景:windows xp
实验工具:Windows系统自带程序
实验文件:Setup.exe
实验思路:
1. 学会基本的手动查杀理论
2. 利用DOS命令行删除病毒及其影响
开始实验:
一.排查可疑进程的工作:
1. 运行病毒程序之前,打开任务管理器,记录下来,运行病毒程序,通过比对任务管理器,知道病毒程序创建了哪些进程(printScreen键:截图)
图片描述
2. 运行病毒,发现任务管理器关闭了,再次尝试打开,任务管理器一闪而过,说明病毒已经对系统产生影响。
影响1:无法打开任务管理器。
问:如何在任务管理器打不开的情况下查看当前系统的进程?
答:在命令提示符下,输入tasklist命令,就可以列出当前系统的所有进程。
图片描述
4. 我们可以通过与之前的截图进行对比,比对之后可以发现当前的系统多了一个spoclsv.exe的一个程序,这个程序就是病毒所创造出来的进程。
5. 我们现在的工作应该是杀掉多出的进程,使用taskkill命令,taskkill /f /im 1548,成功终止了pid为1548这个进程,再看一遍tasklist进程
/f:强制杀毒
/im+pid值 im:文件的镜像
图片描述
二.排查系统启动项:
1.启动项我们可以在运行里输入msconfig,我们可以看到spoclsv这个启动项,它的程序本体在windows\system32\drivers\里面,然后还可以看到在注册表中创建了一个键值,就是在这个Current/Version下面。
图片描述
2.我们打开注册表看一下regedit,注册表中HKEY_CURRENT_USER下面的Software,然后是Microsoft,然后是Windows的CurrentVersion的Run,发现病毒创建了一个名为svcshare这个名称,它会启动位于drivers下的这个程序,将spoclsv启动项目取消勾选,确定。
3.刷新注册表,发现启动项消失了,说明我们第二个操作检查启动项已经完成。
三.删除病毒
1.我们检查启动项知道了病毒所在的位置,我们打开命令提示符,病毒就在windows下的system32下的drivers(cd windows\system32\drivers)
2.查询是不是存在 输入dir spoclsv.exe,看到病毒文件确实存在,下面我们删除。
图片描述
图片描述
3. 使用del 可以使用/f 强制删除,输入病毒的文件名称spoclsv.exe 回车(del /f spoclsv.exe),然后再用dir查看下,可以看到本体的病毒文件已经删除了。
图片描述
图片描述
注:这个病毒不单单是将自身复制到drivers目录下,而且吧自己复制到了每一个盘的根目录下。
4.我们可以进入c盘根路径dir一下,发现没有病毒的程序,原因是病毒将自身设置了隐藏,用命令dir /ah(显示隐藏的文件,其中a代表属性,h代表隐藏),列出c盘根路径下所有隐藏的文件。
注:1.autorun.inf是病毒程序所经常利用的可以实现自启动的程序
2.setup.exe是病毒的本体程序
5.删除这两个文件。由于这两个文件是隐藏属性,所以删除的时候用del /ah /f 强制删除,del /ah /f autorun.inf。我们也可以用另一种方法,先消除系统属性,再消掉隐藏属性attrib –s –r –h 文件名称,然后我们再查看一下隐藏文件,在查看一下正常文件,在进行del删除。

相关链接:http://bbs.ichunqiu.com/thread-8819-1-1.html?from=csdnJG

评论