手工查杀病毒常见文件型解析总结[Windows安全]
本文“手工查杀病毒常见文件型解析总结[Windows安全]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
好久没写点自己的东西了,本日更新点这么久来堆集的一点关于病毒查杀方面的东西,但愿对大家日后碰到常见疾病毒,各种顽固病毒都能有应对的战略.
但愿我的这些经验能对大家今后查杀病毒有所帮忙,不足之处请高手指导,本文在今后自己工作当中还会不断完善和增添更多,新的内容和本领假如您想鉴戒本文一些知识请注明根源:http://hi.百度.com/%B5%C8%B0%AE%B5%C4%D1%DB%BE%A6/blog/item/709fce35f2c02f8da61e1287.html.
首先,来说说说常见疾病毒表现情势,如:系统呈现反映超慢,cpu占用率长期100%,运路程序老弹出错误光盘系统文件修复, 程序非常崩溃,qq无端吊线什么也没提醒,网页窗口不断弹出小广告等 都属于病毒传染,恶意插件的范围.
接着是病毒的破坏原理. 我们来看看他们对我们系统都做了些什么,目前风行的大都病毒以好处为底子,主如果盗号为主,恶意广告插件广告绑定为辅,风行的还有机械狗,磁碟机,下载者,木马群等等这类的病毒,通过各种手段躲藏,系统加载躲藏,消息攻击,改正日期等手段关闭杀毒软件,更有rootkit类的后门大概驱动范例病毒,竟跟系统驱动,复原卡争取掌握权.
导致很多软硬件复原卡类的保护系统 也遭遭到了致命打击.有的病毒实施多重传染可履行文件,如:aoturun.inf范例导致很多正常文件翻开迟钝大概无法翻开.因此程序一旦传染近似这类,有大概招致你的一些利用程序失效,所以应当即便做好数据备份工作,避免数据丧失,普通的备份办法有ghost和系统复原.
接下来看看若何应对这类病毒,病毒解析查杀我分两个方面来说,
第一
针对普通用户,就是对病毒不太理解,碰到病毒不知道若何下手,只知道重装系统才能办理这类问题的用户,可以下载杀毒软件来举行查杀,举荐利用360顽固病毒查杀工具,卡巴斯基,nod32,ast超级巡警这类软件查杀,小红伞的杀毒软件,avg杀毒软件.此中卡巴,瑞星占用系统资源太大,所以一班配置不好的用启迪范例的杀毒软件比方:nod32 ,东方微点. 一定要常常进级杀毒软件,假如发现杀毒软件不能正常运行大概无法启动,那就换一些不常用的杀毒软件查杀病毒. 还有假如杀毒软件查杀不出来,阐明这个是新型的病毒,大概是加壳和变种病毒.可以考虑用第二种筹划去手工查杀.
第二
针对有杀毒有一定经验的,我给一个大家常见的手工查杀思绪,病毒要进入电脑必必要在电脑里运行,当然手工查杀病毒需求先断开网络,避免病毒链接网络像下载者这类的病毒,可以自己下载病毒到本机运行,还有最好电脑关闭电源一次(不是重启)因为有些病毒即便你把硬盘格局化了还会有,因为他会存在内存当中.这种病毒目前还对比少见,毕竟病毒作者编程水平还广泛没有到达这个层次.
普通常见疾病毒运行方法有以下几种
1.自启动项在开始运行里输入msconfig的启动里便大概看到全部开机启动项,大概你可以在注册表的run项下看到这些启动项除了输入法的ctfmon.exe WINNT系统的是internat.exe 别的的视个人安装的杀毒软件防火墙而定启动项.别的不常见的全部删除吧.
2.系统服务型自启动项范例的木马病毒的启动需求你对系统服务和他们启动途径相当理解,也可以参考一些工具软件大概百度上的一些进程服务注释,最好能把服务列表备份一份以便今后好用记事本做对比,可以在cmd下输入 net services >>c:\1.txt 这样导出一个备份服务列表的记事本 下次做对比可以这样 cmd下输入 net services >>c:\2.txt 这样然后在cmd下用fc c:\1.txt c:\2.txt 这样对比2个服务文件的差别可以判断出那些可疑服务是木马服务.
3.exe和dll进程插入范例病毒,exe插入简单被杀 dll插入这类病毒普通杀毒软件即便发现了这类病毒也很难杀病毒,因为windows系统保护系统正在运行的程序,这类dll运行方法以同享的情势插入了多个进程,大概被多个程序调用和同享,所以这类病毒在查找和发现方面也存在一定的技术难度,比方说系统一个进程加载的dl非常多,名字也非常不简单辨认.这样的病毒我们该若何下手呢? 其实有个对比简单的查杀工具"安全之盾 SysCheck"他可以显示并标志危险的进程,你点中这类进程时底下不会显示全部正常的系统dll,而是显示的不常见和可疑的dll 这样给我们的解析带来了极大的便利,即便是系统关键进程winlogon.exe这样的进程它也能简单的删除正在运行的dll文件 不过删除后系统会崩溃蓝屏,当然重启过后会答复正常了.
4 关于驱动范例大概像 userinit.exe启动范例病毒 ,这类文件替换型的病毒我们以机械狗范例的病毒为例,主如果通过文件免疫,还有权限管理,判断这类病毒可以通过察看userinit.exe文件系统的系统版本号,假如无版本号阐明被替换大概改正过了,证明被传染此类病毒.可以找一个正常的这个文件替换系统文件便可.然后再吧网维的文件免疫文件夹拷贝到divers目录便可以实现免疫了.
5.关于文件关联范例的病毒,比方记事本关联的冰河,.rar范例紧缩包病毒关联等都属于这类的启动,这类病毒的排除可以用一个简单的号令搞定cmd下输入 ftype exefile="%1" %*
6.关于反复杀掉反复传染范例的.exe文件确切让人头疼到了顶点 可以在开始运行里输入cmd然后输入
ftype exefile=notepad.exe %1 这样就把.exe范例的病毒以记事本翻开了,这样就实现了病毒无法正常运行的目的.删撤除乱码记事本里的内容保存退出,然后进入c盘系统目录下找到cmd.exe文件便可以再次翻开cmd 输入ftype exefile=%1 %* 这样就撤消了exe 关联记事本,就又可以正常运行.exe文件了.
7.关于autorun.inf范例的u盘传抱病毒,可以先关闭掉光盘自动运行,开始运行里输入gpedit.msc然后在组战略里的计算机 配置=》管理模板=》系统里右边找到关闭自动播放,挑选全部驱动器便可关闭自动播放功效,然后在cmd下输入dir /ah
taskkill /im 病毒名字.exe /t
attrib -s -r -h *.* 这样就显示了全部的躲藏文件
然后cmd下autorun.inf 文件查看下他里面的文件是跟哪一个自启动文件一同关联然后一同删除便可,
号令以下:type autorun.inf
del 病毒文件.exe
按照这样的操作把其他盘底下的也这样删撤除 便可以了.为了避免病毒今后还会重新对磁盘举行这类病毒文件的写入,我们可以新建一个和病毒名字一样的免疫文件来避免这类病毒的再次侵入,然后可以加入避免写入的号令 在dos下操作以下:
cacls 文件途径 /G 用户名:R /G参数是属组的意思.用户名普通都是administrator r的意思只读,假如想撤消只读可以在背面加一个f这样的参数如:cacls 文件途径 /G 用户名:F
常见例子:cacls C:\autorun.inf /G adminstrator:R
8.有很多传染范例的病毒他的原理是向pe文件里写入了病毒文件代码,假如不能完好排除这些就会招致文件的破坏,这类病毒需求你对反编译,以及文件构造,提取病毒特点码对比理解才妙手动排除,普通用户不倡议利用这类办法,假如传染此类病毒最好下载这类病毒的专杀工具排除,大概把病毒库更新至最新,推崇大家利用一款不错的启迪式查杀的杀毒软件nod32 大家可以试试看.假如只是为了杀木马类的可以用avg杀毒.
9关于映象劫持范例的病毒可以先找到这个劫持的.exe文件进程然后到注册表里的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
项然后看看有没有和这个项的名字是一样的,最好先备份一下整个Image File Execution Options项目底下的注册表键值,然后再删除和方才你找到进程名字一样的项
10.系统迟钝先看进程,看这些进程也有本领,在任务管理器里设置下可以查看i/0写入 察看哪个进程i/o写入较大,然后查看除了杀毒软件插入dll以外的dll,查看这些dll属性,成立改正时间.假如发现非常先用dos号令完毕该进程(taskkill /im 进程名字.exe /t )来完毕那些进程模块以及他所关联的保护进程,大概宿主进程,然后假如该程序没有再加载在举行先备份该dll,然后再删除dll. 普通病毒在360里的恶意查件扫描便可以看到,在系统服务里可以看到能否有新增的不正常服务,查看这些服务所关联的存储地址, 可以用冰刃查看,找到并删除服务以及罢了文件.关于内核范例的改正可以用安全之盾 SysCheck这类的程序修复被改正的内核,关于hook,以及rootkit范例的病毒推崇利用ast的超级巡警检测查杀这类后门. 关于已经改正系统文件夹属性的病毒,可以在dos下利用号令查看号令是:dir /ah
然后去掉躲藏属性,attrib -s -h -r * 就可以查看到躲藏的文件.当然假如您的系统文件范例是ntfs大概会呈现号令无法显示文件的情形. 可以用安全之盾 SysCheck 去删除办理.当发现一些顽固范例病毒可以用360的顽固病毒专杀工具查杀,还有一样奥秘武器 只是你不常用 就是windows的系统复原你可以操纵复原备份正在运行系统里的病毒文件,然后用记事本翻开编辑这个备份的病毒文件,就是将里面的病毒代码全部删除,然后保存,再操纵系统复原复原回去,这样即便病毒文件正在运行也会被这招破坏掉而无法正常运行指定代码.
11.web防毒本领别的一个管理员浏览器设置快速方法,运行时按住shfit以别的用户权限运行.可以躲过很多网页病毒.因为病毒履行的是别的一个用户的权限所以当前用户属于安全,当然还有对比安全的网页浏览器
比方傲游,360浏览器,,火狐,谷歌浏览器等都可以削减web病毒侵害.
12.若何避免正在运行的病毒反复加载,反复查杀无效,这个我以我个人的查杀此类病毒为例,其实可以不用别的工具,微软本身带的有一个工具就很好使,开始运行里输入gpedit.msc 翻开组战略,然后在计算机配置=》windows设置=》安全设置=》=》软件限制战略=》其他法则在右边新建途径 把这个病毒的运行途径指向设置成不答应便可以了.
13.别的很多防火墙都有对比完善的程序 、软件运行法则,比方天网防火墙,可以去下载他的安全战略可以对比好的防备病毒入侵.
14.端口限制也是避免文件型病毒得逞的一个方面 假如是服务器我想普通最好不用的端口都不要用了,普通常用服务器端口假如是托管主机就开
3389(这个端口可以自己改正重定义具体改正可以在网上搜索),假如你用远程的影子远程掌握要开4899,mysql开放端口3306 ,mssql 1433端口 假如是大型的数据库参考oracle 默许端口http://hi.百度.com/sunlovestar/blog/item/a4e9432383daa3579822ede4.html
最后差点忘掉了 还有80端口要记得开启 假如是硬件防火墙还要开启 53端口 和500端口
15,未知文件范例病毒,还有一些未知行为病毒若何去查杀,我们可以这样用u盘先拷贝出来病毒样本,然后在vmwar虚拟机环境下先开启文件行为监督这样的工具和注册表监督工具然后通过判断病毒行为举行近一步举行查杀,在很早从前反病毒专家曾经常常操纵灌密技术拿有缺陷的虚拟主机去引诱黑客上钩,然后再解析黑客行为,当然这个经验我们也可以举荐到杀毒里嘿嘿,别的用东方微点这样主动防备范例的杀毒软件来查杀病毒也是个不错的好办法.
16.关于普通传染.exe范例的病毒目前没有太好的办理办法,除非你对病毒pe构造相当理解直接载入文件把病毒代码查找删除.
17.关于第三方软件漏洞范例的病毒木马排除筹划可以参考http://360safe.qihoo.com/custom/softleak.html#
别的举荐几款木马杀毒专用工具
非常实用是中国顶级黑客之一的孤独剑客珍藏版的.假若有爱好可以去拿来研究研究
下载地址以下:http://www.janker.org/software/90.html
假如想越发深化的理解病毒原理以及各种病毒发展历史,查杀表现情势等,可以去参考赛门铁克反病毒专家20年的病毒精辟总结书籍
<<计算机病毒防备的艺术>>
以上是“手工查杀病毒常见文件型解析总结[Windows安全]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |