VIP可享有论坛特权,免看广告,负分归零,重新加分开始!
「我要成为VIP」
| 该用户匿名发帖 发表于 2008-3-17 00:31 只看TA 1楼 |
|---|
| 该用户已被删除 |
|
[交流] 【转贴】手工查找病毒需要哪些知识 这个问题也许是困扰许多朋友的问题。因为有不少人问过我。我这里简单回答一下。然后,哪有不会的。去学哪。因为,其实并不难。首先最重要的就是进程。进程你要懂。举个例子比如 svchost.exe 这个进程,我们大家应该都知道它的目录应该是 c:\windows\system32\svchost.exe 。也就是说,如果你发现有进程其路径不是这个,你可以有99.9%的把握确定他是病毒/木马。比如他的进程有可能是c:\windows\svchost.exe。那么你先找到c:\windows\svchost.exe,然后把进程结束,再把文件删除。当然由于种种原因我们可能找不到它,或者结束不了进程,或者说从任务管理器中无法看到此进程的路径。那我该怎么办。这里大概就要借助三方工具了-可以查看进程路径的软件(NN多,本站的GMER,冰刃,DoIt都可以。)既然进程里存在那我们却通过进程路径找不到文件,那么病毒肯定做了手脚,把自身设为隐藏文件,而且使系统不能显示隐藏文件,所以我们就看不到了。我们可以通过手动修改注册表来让系统显示隐藏文件。或者用DoIt 一键显示隐藏文件。这样我们就可以找到它并删除了。 其次是注册表。注册表你也要知道一些。至少你要知道哪些是自启动项。这里列举几项: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run* HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run HKEY_CURRENT_USER\Software\Microsoft\Command Processor (启动DOS窗体时激活病毒) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell 还有 开始-程序-启动 这里也可以实现程序自启动。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 这一项也可以被病毒利用。 呵呵,还有很多的地方需要我们注意。慢慢积累吧。 再次就是系统服务。大名鼎鼎的灰鸽子在NT/XP系统下就是用服务启动。那有什么好方法呢。好方法没有,笨方法倒是有一个,去记忆这些系统服务。 到这里也该结束了,还有一种 Rootkit 病毒你从以上这些找不到它。呵呵,这也是最为难杀的病毒。期待高人把本贴未完成的 Rootkit 病毒清理方案绪完。 |
| 0 |
| 作者的其他主题 |
|---|
| 【转贴】如何设置局域网内的打印服务器 |
| 【转贴】手工查找病毒需要哪些知识 |
| 【转贴】DM使用图解,给不会使用的人学习 |
| 【转贴】讲解如何将局域网的端口通过ISA防火墙映射到外网 |
| 【转贴】Skype 2.0.0.63 for Linux |
| 【转贴】VMware Workstation v6.0.3 Build 80004 |
不过手工杀实在太累了 一不小心就漏掉某个部分
