痞酷網_PIGOO

 找回密碼
 立即註冊
!!! [系統偵測到廣告阻擋軟體] !!!

如果您覺得痞酷網對您有些許幫助,或者您認同痞酷網的理想,

那麼希望您將痞酷網設定為白名單.

並請在上論壇的時候,動動您的手指,用行動支持我們.

謝謝!
查看: 8660|回復: 10

系統自帶不起眼但很強的殺毒工具

[複製鏈接]
發表於 2009-6-3 10:29:24 | 顯示全部樓層 |閱讀模式
系統自帶不起眼但很強的殺毒工具

Windows系統集成了無數的工具,它們各司其職,滿足用戶不同的應用需求。其實這些工具"多才多藝",如果你有足夠的想像力並且善於挖掘,你會發現它們除了本行之外還可以幫我們殺毒。

一、工作管理員給病毒背後一刀

Windows工作管理員是大家對進程進行管理的主要工具,在它的"進程"選項卡中能查看當前系統進程資訊。在默認設置下,一般只能看到映射名稱、用戶名、CPU佔用、記憶體使用等幾項,而更多如I/O讀寫、虛擬記憶體大小等資訊卻被隱藏了起來。可別小看了這些被隱藏的資訊,當系統出現莫名其妙的故障時,沒准就能從它們中間找出突破口。
                  
1.查殺會自動消失的雙進程木馬前段時間朋友的電腦中了某木馬,通過工作管理員查出該木馬進程為"system.exe",終止它後再刷新,它又會復活。進入安全模式把c:\windows\system32\system.exe刪除,重啟後它又會重新載入,怎麼也無法徹底清除它。從此現象來看,朋友中的應該是雙進程木馬。這種木馬有監護進程,會定時進行掃描,一旦發現被監護的進程遭到查殺就會復活它。而且現在很多雙進程木馬互為監視,互相復活。因此查殺的關鍵是找到這"互相依靠"的兩個木馬檔。借助工作管理員的P I D標識可以找到木馬進程。

調出Windows工作管理員,首先在"查看→選擇列"中勾選" P I D(進程識別字)",這樣返回工作管理員視窗後可以看到每一個進程的P I D標識。這樣當我們終止一個進程,它再生後通過P I D標識就可以找到再生它的父進程。啟動命令提示符視窗,執行"taskkill /im system.exe /f"命令。刷新一下電腦後重新輸入上述命令如圖1,可以看到這次終止的system.exe進程的P I D為1536,它屬於P I D為676的某個進程。也就是說P I D為1536的system.exe進程是由P I D為676的進程創建的。返回工作管理員,通過查詢進程P I D得知它就是"internet.exe"進程進程。

找到了元兇就好辦了,現在重新啟動系統進入安全模式,使用搜索功能找到木馬檔c:\windows\internet.exe ,然後將它們刪除即可。前面無法刪除system.exe,主要是由於沒有找到internet.exe(且沒有刪除其啟動鍵值),導致重新進入系統後internet.exe復活木馬。

2.揪出狂寫硬碟的P2P程式
單位一電腦一開機上網就發現硬碟燈一直閃個不停,硬碟狂旋轉。顯然是本機有什麼程式正在進行資料的讀取,但是反復殺毒也沒發現病毒、木馬等惡意程式。

打開該電腦並上網,按Ctrl+Alt+Del鍵啟動了工作管理員,切換到"進程"選項卡,點擊功能表命令"查看→選擇列",同時勾選上"I/O寫入"和"I/O寫入位元組"兩項。確定後返回工作管理員,發現一個陌生的進程hidel.exe,雖然它佔用的CPU和記憶體並不是特別大,但是I/O的寫入量卻大得驚人,看來就是它在搗鬼了,趕緊右擊它並選擇"結束進程"終止,果然硬碟讀寫恢復正常了。

二、系統備份工具殺毒於無形

筆者曾遭遇一個無法刪除的病毒"C:\Program Files\Common Files\PCSuite\rasdf.exe",同時也無法複製這個檔,如何清除它。筆者通過系統備份工具清除了該病毒,操作過程如下:
第一步:單擊"開始→所有程式→附件→系統工具→備份",打開備份或還原嚮導視窗,備份專案選擇"讓我選擇要備份的內容",定位到"C:\Program Files\Common Files\PCSuite"。

第二步:繼續執行備份嚮導操作,將備份檔案保存為"g:\virus.bkf",備份選項勾選"使用卷陰影複製",剩餘操作按默認設置完成備份。

第三步:雙擊"g:\virus.bak",打開備份或還原嚮導,把備份還原到"g:\virus"。接著打開"g:\virus",使用記事本打開病毒檔"rasdf.exe",然後隨便刪除其中幾行代碼並保存,這樣病毒就被我們使用記事本破壞了(它再也無法運行)。

第四步:操作同上,重新製作"k:\virus"的備份為"k:\virus1.bkf"。然後啟動還原嚮導,還原位置選擇"C:\Program Files\Common Files\PCSuite\",還原選項選擇"替換現有檔"。這樣,雖然當前病毒正在運行,但備份元件仍然可以使用壞的病毒檔替換當前病毒。還原完成後,系統提示重新啟動,重啟後病毒就不會啟動了(因為它已被記事本破壞)。

三、記事本借刀殺人

1.雙進程木馬的查殺
現在,越來越多的木馬採用雙進程守護技術保護自己,就是兩個擁有同樣功能的代碼程式,不斷地檢測對方是否已經被別人終止,如果發現對方已經被終止了,那麼又開始創建對方,這給我們的查殺帶來很大的困難。不過,此類木馬也有"軟肋",它只通過進程列表進程名稱來判斷被守護進程是否存在。這樣,我們只要用記事本程式來替代木馬進程,就可以達到"欺騙"守護進程的目的。

下面以某變種木馬的查殺為例。中招該木馬後,木馬的"internet.exe"和"systemtray.exe"兩個進程會互相監視。當然,我們中招的時候大多不知道木馬具體的監護進程。不過,通過進程名稱可以知道,"systemtray.exe"是異常的進程,因為系統正常進程中沒有該進程。下面使用替換方法來查殺該木馬。

第一步:單擊"開始→運行",輸入"Msinfo32"打開系統資訊視窗,展開"系統摘要→軟體環境→正在運行任務",這裏可以看到"systemtray.exe"路徑在"C:\Windows\System32"下。
第二步:打開"C:\Windows\System32",複製記事本程式"notepad.exe"到"D:\" ,同時重命名為"systemtray.exe"。
第三步:打開記事本程式,輸入下列代碼,保存為"shadu.bat",放置在桌面(括弧為注釋,無須輸入):

@echo off
Taskkill /f /im systemtray.exe (使用taskkill命令強行終止"systemtray.exe"進程)
Delete C:\Windows\System32\systemtray.exe (刪除病毒檔)
Copy d:\systemtray.exe C:\Windows\System32\(替換病毒檔)

第四步:現在只要在桌面運行"shadu.bat",系統會將"systemtray.exe"進程終止並刪除,同時把改名的記事本程式複製到系統目錄。這樣,守護進程會"誤以為"被守護進程還存在,它會立刻啟動一個記事本程式。

第五步:接下來我們只要找出監視進程並刪除即可,在命令提示符輸入:
"taskkill /f /im systemtray.exe ",將守護進程再生的"systemtray.exe"終止,可以看到"systemtray.exe"進程是由" P I D 3288的進程"創建的,打開工作管理員可以看到" P I D 3288的進程"為"internet.exe",這就是再生進程的"元兇"。
第六步:按照第一步方式,打開系統資訊視窗可以看到"internet.exe"也位於系統目錄,終止"internet.exe"進程並進入系統目錄把上述兩個檔刪除即可。

2.使病毒失效並刪除
大家知道,檔都是由編碼組成的,記事本程式理論上可以打開任意檔(只不過有些會顯示為亂碼)。我們可以將病毒打開方式關聯到記事本,使之啟動後變成由記事本打開,失去作惡的功能。比如,一些頑固病毒常常會在註冊表的"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"等啟動位置生成難以刪除的鍵值,達到惡意啟動的目的。下面使用記事本來"廢"掉病毒的生命力。

第一步:啟動命令提示符,輸入"ftype exefile=notepad.exe %1",把所有EXE程式打開方式關聯到記事本程式,重啟系統後我們會發現桌面自動啟動好幾個程式,這裏包括系統正常的程式如輸入法、音量調整程式等,當然也包括惡意啟動的流氓程式,不過現在都被記事本打開了。

第二步:根據記事本視窗標題找到病毒程式,比如上例的systemtray.exe程式,找到這個記事本視窗後,單擊"檔→另存為",我們就可以看到病毒具體路徑在"C:\Windows\System32"下。現在關掉記事本視窗,按上述路徑提示進入系統目錄刪除病毒即可。

第三步:刪除病毒後就可以刪除病毒啟動鍵值了,接著重啟電腦,按住F8,然後在安全模式功能表選擇"帶命令提示的安全模式",進入系統後會自動打開命令提示符。輸入"ftype exefile="%1"%*"恢復exe檔打開方式即可。

四、註冊表映射劫持讓病毒沒脾氣

現在病毒都會採用IFO的技術,通俗的講法是映射劫持,利用的是註冊表中的如下鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options位置來改變程式調用的,而病毒卻利用此處將正常的殺毒軟體給偷換成病毒程式。恰恰相反,讓我們自己可以利用此處欺瞞病毒木馬,讓它實效。可謂,瞞天過海,還治其人。
下面我們以遮罩某未知病毒KAVSVC.EXE為例,操作方法如下:
第一步:先建立以下一文字檔案,輸入以下內容,另存為1.reg

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\KAVSVC.EXE]
"Debugger"="d:\\1.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\KAVSVC.EXE]
"Debugger"="d:\\1.exe"

(注:第一行代碼下有空行。)

第二步:雙擊導入該reg檔後,確定。
第三步:點"開始→運行"後,輸入KAVSVC.EXE。
提示:1.exe可以是任意無用的檔,是我們隨意創建一個文字檔案後將尾碼名.txt改為.exe的,
總結:當我們飽受病毒木馬的折磨,在殺毒軟體無能為力或者感覺"殺雞焉用宰牛刀"時,不妨運用系統工具進行病毒木馬的查殺,說不定會起到意想不到的效果。~hm253~
發表於 2009-6-21 18:05:26 | 顯示全部樓層
M大真利害.....謝謝分享
發表於 2009-11-16 13:21:15 | 顯示全部樓層
不要坎到不該坎的就好了
發表於 2009-11-16 21:19:26 | 顯示全部樓層
真是不錯的內容~

不知此文是m大自己寫的還是網路上找的! 可以看出對系統與抓毒功力不淺! 非常不錯的內容!

謝謝分享!
發表於 2009-11-21 21:05:55 | 顯示全部樓層
還是小心一點使用.現在病毒都很強
發表於 2009-11-29 23:35:55 | 顯示全部樓層
好東西!!多謝提供分享!!
發表於 2010-1-31 23:27:12 | 顯示全部樓層
太棒了又有新的實用好資料.....
多謝大大的辛苦分享喔!
發表於 2010-3-20 15:55:22 | 顯示全部樓層
真的太猛了看來病毒不也是如此而已
筆記本戰法就夠殺毒了!
發表於 2010-4-2 17:30:41 | 顯示全部樓層
愿阿拉真主保佑你。这对我这些菜鸟来说是救命的啊。
發表於 2010-8-10 22:10:15 | 顯示全部樓層
原來是這樣子利用程序管理員的!
我也要來試試。
謝謝分享。
發表於 2010-10-19 23:04:31 | 顯示全部樓層
還真的沒玩過
可以試看看
感謝~
您需要登錄後才可以回帖 登錄 | 立即註冊

本版積分規則

關閉

站長小叮嚀上一條 /1 下一條

禁閉室|手機版|連繫我們|痞酷網電子技術論壇

GMT+8, 2024-12-23 02:21 AM , Processed in 0.073548 second(s), 17 queries , Gzip On.

Powered by Discuz! X3.4 Licensed

© 2001-2023 Discuz! Team.