SiS001! Board - [第一会所关闭注册]

标题: [交流] 【转贴】手工查找病毒需要哪些知识 [打印本页]

作者: ComingNine 时间: 2008-3-17 00:31 标题: 【转贴】手工查找病毒需要哪些知识

这个问题也许是困扰许多朋友的问题。因为有不少人问过我。我这里简单回答一下。然后，哪有不会的。去学哪。因为，其实并不难。
首先最重要的就是进程。进程你要懂。举个例子比如 svchost.exe 这个进程，我们大家应该都知道它的目录应该是 c:\windows\system32\svchost.exe 。也就是说，如果你发现有进程其路径不是这个，你可以有99.9%的把握确定他是病毒/木马。比如他的进程有可能是c:\windows\svchost.exe。那么你先找到c:\windows\svchost.exe，然后把进程结束，再把文件删除。当然由于种种原因我们可能找不到它，或者结束不了进程，或者说从任务管理器中无法看到此进程的路径。那我该怎么办。这里大概就要借助三方工具了－可以查看进程路径的软件（NN多，本站的GMER,冰刃,DoIt都可以。）既然进程里存在那我们却通过进程路径找不到文件，那么病毒肯定做了手脚，把自身设为隐藏文件，而且使系统不能显示隐藏文件，所以我们就看不到了。我们可以通过手动修改注册表来让系统显示隐藏文件。或者用DoIt 一键显示隐藏文件。这样我们就可以找到它并删除了。
其次是注册表。注册表你也要知道一些。至少你要知道哪些是自启动项。这里列举几项：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run*
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
HKEY_CURRENT_USER\Software\Microsoft\Command Processor (启动DOS窗体时激活病毒)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell

还有开始－程序－启动这里也可以实现程序自启动。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
这一项也可以被病毒利用。
呵呵，还有很多的地方需要我们注意。慢慢积累吧。
再次就是系统服务。大名鼎鼎的灰鸽子在NT/XP系统下就是用服务启动。那有什么好方法呢。好方法没有，笨方法倒是有一个，去记忆这些系统服务。
到这里也该结束了，还有一种 Rootkit 病毒你从以上这些找不到它。呵呵，这也是最为难杀的病毒。期待高人把本贴未完成的 Rootkit 病毒清理方案绪完。

作者: rabish888 时间: 2008-3-17 06:30

谢谢楼主收藏了
以前曾下过一个类似的教程不过被我电脑洗白白的时候丢了嘿嘿

不过手工杀实在太累了一不小心就漏掉某个部分
大多数条件下我都是能忍则忍
忍不住了就直接GHOST
谁让咱家一直喜欢裸奔呢

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://67.220.92.21/bbs/)