手工杀毒技术

服务病毒黑客手工杀毒技术.李诗平(南京信息工程大学图书馆，江苏南京210044)摘要:该文根据计算机病毒感染的一般特性，从计算机病毒的痕迹追踪入手，讨论了Windows下和Dos下的几种手工杀毒方法关键词:计算机病毒;手工杀毒;动态;静态; DOS; WindowsTechnology of killing virus by handLi Shi-ping(Library of nanig Iniersity of iformnation science & Technobey, Nanimg 210044 P. 居。Chia)Abstract: Acording the general of virus spreading, this paper dsussed some ways of klling viruses by hand in dos and windows mode，firststep is tracing them.Key words; computer virus; kil virus by hand;active; quiet;DOS; Windows1引言等等，这些工具是手工杀毒的利器。计算机病毒的气势在当下似乎已经压住了杀毒软件,因为许多安装了正版杀毒软件的计算机，有时候非但杀不2计算机病毒痕迹的简易追踪法了病毒却反被病毒杀死;有时候，不安装病毒的计算机运如果计算机运行异常缓慢，异常文件被删除又立即产行正常，安装了防火墙(病毒和安全防火墙)的却常常伴生了，异常启动甚至蓝屏等等，那么计算机系统中就有可随着运行缓慢和死机现象。这种情况使得普通用户叫苦不能存在病毒。发现病毒的存在位置，是解决病毒的关键所迭;具备计算机知识的用户常常重新安装计算机系统。但在。是现在的病毒发展速度惊人，隐藏的服务(Service). 隐享誉世界的华裔刑侦专家李昌钰博士相信:凡发生必藏的进程(Process) 比比皆是,从而造成了病毒不能发现，留下痕迹，证据总有说话的一- 天。计算机病毒也是如此，正版杀毒软件也不能除去等等。遇到这种情况，许多用户总会留下痕迹。.往往选择重新安装。重新安装，对于不怎么重要的个人计2.1查看计算机运行程序和进程发现病毒算机是可以的，但是对于重要的计算机，包括重要的办公查找计算机病毒首先要用Windows自带的任务管理机、监控机以及服务器等就不适用了。有识之士认为，手器，它提供正在您的计算机上运行的程序和进程的相关信工杀毒是未来必备的基本技术，手工杀毒也必将成为计算息。如果发现有异常进程,就必领知道进程的用途。对于简单的病毒，鼠标右键点击就能终止。如果没有发现异常机的基础教育之一。手工杀毒，就是计算机工作人员运用操作系统的基本进程，但是System Idle Process 条目的CPU占用是95思想，用一些工具软件排除病毒和恶意插件。可以肯定，以下，甚至是零，就需要知道占用时间长的那个进程。其工具软件是非常重要的，与现实生产关系中的性质一样，次,用Msconfig查看启动项目,看看有哪些启动是异常的。它是决定性环节。手工杀毒者，必要具备- -些基础知识，ProcessExplorer是手工杀毒者推崇的一款软件,它尤其是操作系统的理论，这样才能更好地使用工具排除病能轻易地显示任务管理器无法侦查的病毒线程或隐藏毒。用于杀毒的工具软件越来越多，这也是伴随着病毒的进程，它还能查出系统中进程(包括system进程)使发展而发展的。这些工具包括SSM、超级兔子、瑞星卡用计算机资源的状况。对于--些恶意网站如piaoxue、卡，gmer,冰刃、unlocker, knlsc. ProcessExplorer.hao中国煤化工ocessExplorer用户就ListDIls. RegMon, filemon, Sreng. ac (attribution可以HC N M H G都是启动某个或多个服change)以及带有NTFSPRO、ghost的DOS启动光盘务导致的。在ProcessExplorer的窗口下，鼠标右键点击6计明机字象据007.12www.nsc.org.cn病毒黑客服务system进程，选择properties,选择threads就能够发现坏软件)，mal前缀是非常贴切的。手工杀毒主要强调在存在名字怪异且非常活跃的线程，这些就是我们要排除的瑞星、金山毒霸等软件无法正常防护的情况下，用户能凭目标。“手工杀毒”的技术,维护计算机正常运行。在手工杀毒时，然而，也存在一一些服务，它不是活跃的，由其他的杀毒软件必须安装，因为它起保护作用，起扫荡作用。手进程或线程带动的，ProcessExplorer 就不能立即捕捉到，工杀毒的对象是新的顽固的病毒。就需要另外- 款工具Sreng (系统修复工程师)来完成。3.1手工杀毒的思路如果说ProcessExploer是实时性监视体现其功能的话，注册表是Windows操作系统协调各个任务的纽带。Sreng则是“以静制动”的。Sreng是以一种全面扫描的有个别用户认为，如果熟悉了注册表就可以解决问题了，方式，可以看到不属于系统进程的异常进程或线程;对于原因是恶意软件就是以修改注册来表达到目的。这是-一种开始装载的不隶属于系统的服务也能立即显示出来。幻想，因为注册表的键(包括系统的)太多，其作用不可2.2寻找插件病毒能--穷尽:不同任务有不同的键，新的程序会在注册表插件是为了方便人们使用而设计的，但是却像“潘多产生新的键，同一个键可能涉及到多个任务，多个键同一拉盒子”被打开一样，成了病毒设计者很好的武器，而且个任务也是非常普遍的。总之，通过熟悉注册表来达到杀这种武器是自由的，种类数不胜数-给查询带来了许多的毒目的不一定取得好的效果。麻烦。了解系统的调度过程,当然是必要的。因为只有这样，有时候计算机很慢，但是任务管理器、才能知道导致系统异常环 节在什么时间发生的，在何处发ProcessExplorer等软件却发现不了异常;有时候某个文生的，可能由哪些模块引起。件删除了，但过会儿又出现了，但工具软件又显示不出。手工杀毒，整体上需要有一种“无为”思想。不管病这种情况可能由插件引起的，而且大部分是恶意插件。现毒是如何猖獗，只要用户以自身的不变应病毒的万变，以在有许多工具都带有安全助手，如超级兔子、瑞星卡卡、坚韧的精神，追查病毒的痕迹，找出最后的顽凶，因为，Sreng等等，可以帮助用户查找插件。尽管这些助手不能凡发生必留下痕迹，切不可“知难而退”，重装操作系统。发现全部，但用户可以通过各个助手的交叉工作，来弥补手工杀毒还需要有策略，就是先外围后内部，先易后难，它们各自的不足。先解决影响大的后清除影响小的。2.3利用软件发现异常用户无需知道恶意软件干了哪些“坏事”， 因为在追以隐藏服务形式出现的病毒，常常需要用Knlsc 工具查痕迹的过程中，它们的劣迹自然会一一彰显出来;更无软件。需知道它们是什么病毒类型，因为病毒划分标准不同，类有几个软件: Filemon, Regmon, ListDlls, .型也不同。手工杀毒关注的病毒只有静态和动态两种类型。eXeScop,虽然很小，但是其功能却不可忽视。Filemon3.2清除病毒是监控文件操作的，包括删除、创建、读写等以及文件病毒，有两个显著特征:自我复制，在逻辑上构成闭操作由哪个进程发出的。Remon 是能够监控到注册表读环;病毒只有进入系统才能有作为，这是其发作的根本途写情况，什么时间由什么进程修改的什么注册表键，都径。病毒以复制自身为其生命的首要任务，而所谓的破坏能--显示出来， 如添加服务等。Regmon之所以如此重亦或造成系统的瘫痪、异常的缓慢，实是病毒设计中比较要，是因为计算机的任何行为都是围绕着注册表进行的。次要的部分。杀毒第一步就是阻止它们进入系统，构成闭ListDIls 能够显示出内存中某个DLL被哪个进程调用的。环生命链条的病毒，肯定不会轻易让“阻止”成功的。需eXeScope能够知道某个dlexe.sys文件调用了哪些进程。要再次强调的，在实战中，用户无需知道病毒的“原理” ,ac,是文件属性修改器，无论什么文件作什么限制，只需按“痕迹”解决问题。ac都能轻松改变，是真的attribution change.3.2.1不能修改注册表中国煤化工如某某应用不能运3手工杀毒方法行，无JIYHC N M H GisableTaskMgEr)、计算机病毒(包括恶意插件) ,都是malware (英文名，隐藏文件不能显示(nchidden)等等，基本都是通过修2007.12。计算机安全[87www.nsc.org.cn服务病毒黑客勇改键值来达到目的。但是用户要修改注册表键值，往往因害是用户不知道文件夹而执行了病毒体。这种病毒行为为病毒感染不能运行相关的软件。本不值得奇怪，可是也不知道病毒设计者有意还是无意注册表，兵家必争之地，历来是病毒设计者关注的的一-反 正Program files 文件夹里的explorer文件夹目地方。病毒总是在注册表中寻找改动小影响大的键，如录变成了执行文件explorer .exe,名称和windows下的exefile, AppInit. _DLLs等。许多exe文件不能执行，explorer .exe - -样，从而造成系统调用了两个explorer.com文件可以执行，就是exefile被改动了。此时要把exe,普通用户实在招架不住。这类病毒，因为占住了系regedit. exe改成regedit.com运行，或者用- -些专用工统进程的位置，亦或像soundmix一样和系统进程捆在一具修改为它的默认值。起，因而一直处于活跃状态。对这种‘强势’ 病毒，用户许多病毒会修改applications键，亦或修改Image在ProcessExplorer里，选中，直接用Del键就能终止它File Execution Options (应用程序劫持项)，导致执行们。如果删除不掉，说明还有幕后推手在维持着它的生命。文件源头指向改变。曾经有一个文件名为mshta. exe的点击processexplorer的find,出现了-一个可以寻找幕后病毒，把这里的大部分应用都修改了，explorer .exe,者的窗口，键入不能删除的文件名称，点击search,就可winword.exe等等。Regedit .exe不能执行也许在这里出以知道拥有此文件控制权的进程。终止父进程或关闭句柄了问题。只需把regedit. exe文件名称改成其他的就可以(close handle),继续前面的步骤，直到删除为止。了。3.2.3静态病毒的删除有时候注册表被禁用，用户不能修改，也许是因为静态病毒危害性比较大。它们的主要特征不在于本身DisableRegistryTools键被修改了，用超级兔子等工具直获得最高权限导致用户不能删除它们，而是埋伏在系统运接修复就可以。行的某个环节处，只要系统的某个进程启动，病毒就会被3.2.2动态病毒的去除启动以便完成它们的“任务”。所谓动态病毒，就是一直监控着某种行动，在系统一Autorun病毒就属于静态病毒，十分流行的sXS. exe,直处于活跃状态的病毒，它常常以获取系统的控制权达到就是如此。它利用了用户喜欢双击鼠标的习惯，引发了目的。因为活跃，所以在空闲时CPU也被占用，因而通病毒。这种病毒用任何管理很容易就能终止，在硬盘上过工具软件也很容易发现它们。也能容易删除，可是一会儿又出现了。这是因为-一个硬盘Arp病毒，一款典型的动态病毒，利用网络的漏洞，体，一般被划分为多个逻辑盘，用户在同-时刻不可能删不停地攻击局域网的计算机。因为它不停地扫描，用Arp除所有逻辑盘上的病毒文件，有一个被激活，那么所有盘-a命令就能发现它所在的计算机。用任务 管理器查看,体都被复制病毒了。这种病毒如今也发展了，修改了各个发现异常进程nslookupi.exe,鼠标右点此进程，然后盘符的默认打开设定，只要浏览某盘，那么病毒的副本就选择终止(不能终止用其他工具)就可以了。不能忘记会复制过来。对于任何盘符打不开,或鼠标右击盘符出现nslookupi,还有帮凶: wincap.ll, wpcap. dll, packet.auto选项(也包括没有出现auto项，选择open项很慢)dlI, wanpacket.dll等， 此时要- -并清除，- -般都是在的，都是一种类型，只需修改注册表中的mountpoint键，windows或windows\system32文件夹里;同时，还需把所有盘的+子项去除，然后清除病毒本体即可。.用msconfig (有时必须用其他工具)去除相关的启动项目。浏览器插件，apihook 等也是一-种静态病毒。 这类病恶意网站，如www . piaoxue . com,也是很典型的动毒用超级兔子或Sreng，可以轻易地去除，因为它们不是态病毒。用processexplorer查看进程,展开system进程项，以强势取得控制权见长，而是以功能体现特性的。有时候发现system进程还有cpu占用。此时,右击system进程，这类病毒，在安全模式下，用一个零字节的相同的文件来选properties,选择threads,会发现- 一个或多个名字怪代替，病毒发展的链条也就因为病毒文件没有“内容”就异的活跃线程，即是病毒体。到安全模式下删除病毒体即这样断裂了，加此。洁除病毒的其他环节就容易多了。中国煤化工可。3.2有一种病毒，把所有文件夹都变成了执行文件，把原TYHCNMH统行的。这类病毒，用来的文件变成隐藏的系统的文件夹。这种障眼法最大的危msconfig可以看到启动项目异常，但是怎么也修改不了,88计算机竞数据07.12www.nsGcc.org.cn病毒黑客服务因为有后台服务程序维持着其生命。把文件变成普通的文件:如果不知道隐藏文件的名称，可恶意网站www. haol23.net, bbs.51. vip. net等以dir /h命令查看。尽量地用ren命令修改名称，如果就是这类病毒的典型。hao123恶意插件，如果用工具软确定是病毒体才可用del命令删除病毒。件进行IE修复是可以的，也可以正常运行，即用IE时有时候碰到NTFS格式却没有ntfspro软件，或者因hao123脱钩，但是重新启动后又出现了，这是因为幕为特殊情况不能看到系统盘，那么用ghost克隆- -个盘映后还存在推手。用ProcessExplorer可以查出system进像文件。回到windows下，用ghost Explorer 可以对映程中存在异常线程:yqjpq、ylkhli, yasght. wvpscy像文件进行任意的操作，删除映像中病毒文件就如删除一等，如果用ProcessExplorer挂起这些进程，在系统启个字符那样容易。清除病毒后，再克隆回去，这样系统中动项目上却不能让它们脱钩。hao123的形式是www.就不会有病毒了。ha0123. net/ ?a0X,其中x不同，维持的进程名称也不- -样。前述的是a09。如果是a05,维持的进程名称就4结语不-样了，其中. dll, . sys成对的进程名称有uzpoqy,许多用户有这样的疑问:能不能买- -个软件， 杀死所pzznyh, mxnaii, koocvx, eimfkm, dtylfu, 不成对的有的病毒?退一步，能否保证系统不死机?其实，不可能是wkadoees. dll和ihdu5 .sys。bbs. 51.vip.net工具软件有“一- -劳永逸"的杀毒软件。杀毒软件只是对已经出现的、IE修复干脆不行，其幕后有csa5vi. s7rjng. eqv4s6 等文并已经掌握的病毒有作用。病毒和杀毒是相互交错的，彼件支持。有时候这类病毒没有任何迹象，如pvsec, CPU此在斗争中发展的。杀毒软件不可能清除所有的尤其是新占用正常，计算机运行就是慢。Pvsec由前台pvsec .dll的病毒，因为它不知道新病毒的生理特征、生命链条;但.和后台服务parcls.sys组成。是杀毒软件随着对新病毒的了解，会推出新的版本，甚至混合型病毒是非常牢固的组合，即使在安全模式下也会改变杀毒软件的结构，因为老的监控模式可能在新病毒是如此。后者保证前者成为系统的启动项目;一旦系统启面前失效了。动，前者又会保证后者以服务形式出现。这类病毒，工具在用户手工杀毒时，互联网是一个重要的资源。- 一个软件即使是Sreng也不管用了，因为Sreng设置服务不新的病毒痕迹用户不一定知道其全部信息，可以借助互联启动是重新启动才能有效，启动项目又由后台服务维持，网寻找到所需的信息。使用互联网时，用户切记不可相信- " 旦重启，启动项目又使服务有效。这类病毒构成了严格一些网名怪异的小网站:同时尽量用快照的形式分析所需意义上的闭环，常常是system级的进程调用，以服务形的信息，不要轻易地下载文件资料。式出现，软件工具可以看到，却不能删除。因此，多种工未来病毒发展是难以预料的，但是，“狐狸再狡猾,具交叉使用是非常必要的。一般地，服务可以用sreng,也难:斗好猎手”，新的软件工具也会相继出现，因为病毒gmer终止服务; processexplorer 等工具终止进程，超级无非是利用了系统存在的技术一这本是人类所共享的，兔子等工具修改启动项目，维护注册表。有时候，看上去杀毒工具也同样会利用这些技术排除相应的恶意软件。图功能单- -的工具能起大作用，如unlocker,其他工具不能清除的，不-定它不能清除。参考文献:3.3 DOS下杀毒[1] 刘尊权，计算机病毒防范与信息对抗技术。清华大学出有时，因为太“ 强势”(包括暂时还找不到删除方法版社,1991.的),如维持www . 8749.com的lcpc.dl,使用了各种方法,[2] http://www. jdepuy. net/ ?action- -viewthread- -tid- -24372.用完了各种工具,就是不能清除,这就要用到DOS系统下，[3] http://www. 712100. com/bbs/read-htm- tid- 6736868.删除它们。在DOS下，一切文件都是可以操作的，这是html.杀毒的“杀手锏”。[4] htp://log. ustc. edu . c/arcives/00 _04 .html.如果因为系统盘是NTFS格式，运行ntfspro. exe,[5] ht中国煤化Ihtarget. com. cn/windows系统盘就会变成-一个DOS下的普通逻辑盘。在.tips/26HCNMHGDOS下，会碰到隐藏系统文件，用attrib-s-h-r收稿日期:2007-08-04200712计算机安全189www.nsc.org.cn