查看完整版本: 系統自帶不起眼但又很強的殺毒工具
頁: [1] 2 3

kheching123 發表於 2008-10-14 05:46 PM

系統自帶不起眼但又很強的殺毒工具

系統自帶不起眼但又很強的殺毒工具

【資源利用】:系統自帶的最不起眼但又最強的殺毒工具0Windows系統集成了無數的工具,它們各司其職,滿足用戶不同的應用需求。其實這些工具“多才多藝”,如果你有足夠的想象力並且善於挖掘,你會發現它們除了本行之外還可以幫我們殺毒。不信?你看吧! *RSKs)   
  一、任務管理器給病毒背後一刀 6OPw2C`  
   aT};ff RBE  
  Windows任務管理器是大家對進程進行管理的主要工具,在它的“進程”選項卡中能查看當前系統進程信息。在默認設置下,一般只能看到映像名稱、用戶名、CPU占用、內存使用等幾項,而更多如I/O讀寫、虛擬內存大小等信息卻被隱藏了起來。可別小看了這些被隱藏的信息,當系統出現莫名其妙的故障時,沒准就能從它們中間找出突破口。 )`f_lOV~q  
  1.查殺會自動消失的雙進程木馬 WZla,./  
  前段時間朋友的電腦中了某木馬,通過任務管理器查出該木馬進程為“system.exe”,終止它後再刷新,它又會復活。進入安全模式把c:\windows\ system32\system.exe刪除,重啟後它又會重新加載,怎麼也無法徹底清除它。從此現象來看,朋友中的應該是雙進程木馬。這種木馬有監護進程,會定時進行掃描,一旦發現被監護的進程遭到查殺就會復活它。而且現在很多雙進程木馬互為監視,互相復活。因此查殺的關鍵是找到這“互相依靠”的兩個木馬文件。借助任務管理器的PID標識可以找到木馬進程。 K|/W c}u  
  調出Windows任務管理器,首先在“查看→選擇列”中勾選“PID(進程標識符)”,這樣返回任務管理器窗口後可以看到每一個進程的PID標識。這樣當我們終止一個進程,它再生後通過PID標識就可以找到再生它的父進程。啟動命令提示符窗口,執行“taskkill /im system.exe /f”命令。刷新一下電腦後重新輸入上述命令如圖1,可以看到這次終止的system.exe進程的PID為1536,它屬於PID為676的某個進程。也就是說PID為1536的system.exe進程是由PID為676的進程創建的。返回任務管理器,通過查詢進程PID得知它就是 “internet.exe”進程進程。(如圖) .K{4tn5?j  
axoDbTi  
找到了元凶就好辦了,現在重新啟動系統進入安全模式,使用搜索功能找到木馬文件c:\windows\internet.exe ,然後將它們刪除即可。前面無法刪除system.exe,主要是由於沒有找到internet.exe(且沒有刪除其啟動鍵值),導致重新進入系統後 internet.exe復活木馬。 3Qx_51f^  
  2.揪出狂寫硬盤的P2P程序 tIIrisjwX  
  單位一電腦一開機上網就發現硬盤燈一直閃個不停,硬盤狂旋轉。顯然是本機有什麼程序正在進行數據的讀取,但是反復殺毒也沒發現病毒、木馬等惡意程序。 p@U<"oy@G  
  打開該電腦並上網,按Ctrl+Alt+Del鍵啟動了任務管理器,切換到“進程”選項卡,點擊菜單命令“查看→選擇列”,同時勾選上“I/O寫入” 和“I/O寫入字節”兩項。確定後返回任務管理器,發現一個陌生的進程hidel.exe,雖然它占用的CPU和內存並不是特別大,但是I/O的寫入量卻大得驚人,看來就是它在搗鬼了,趕緊右擊它並選擇“結束進程”終止,果然硬盤讀寫恢復正常了。 J9g`\M8  
  二、系統備份工具殺毒於無形 vepmK &  
  筆者曾遭遇一個無法刪除的病毒“C:\Program Files\Common Files\PCSuite\rasdf.exe”,同時也無法復制這個文件,如何清除它。筆者通過系統備份工具清除了該病毒,操作過程如下: _E;w) 4)  
  第一步:單擊“開始→所有程序→附件→系統工具→備份”,打開備份或還原向導窗口,備份項目選擇“讓我選擇要備份的內容”,定位到“C:\Program Files\Common Files\PCSuite”。 4l T%Hk>7  
  第二步:繼續執行備份向導操作,將備份文件保存為“g:\virus.bkf”,備份選項勾選“使用卷陰影復制”,剩余操作按默認設置完成備份。 N5%"NLm  
  第三步:雙擊“g:\virus.bak”,打開備份或還原向導,把備份還原到“g:\virus”。接著打開“g:\virus”,使用記事本打開病毒文件“rasdf.exe”,然後隨便刪除其中幾行代碼並保存,這樣病毒就被我們使用記事本破壞了(它再也無法運行)。 q-}Hh\J!  
  第四步:操作同上,重新制作“k:\virus”的備份為“k:\virus1.bkf”。然後啟動還原向導,還原位置選擇“C:\Program Files\Common Files\PCSuite\”,還原選項選擇“替換現有文件”。這樣,雖然當前病毒正在運行,但備份組件仍然可以使用壞的病毒文件替換當前病毒。還原完成後,系統提示重新啟動,重啟後病毒就不會啟動了(因為它已被記事本破壞)。 u}V]3j,`  
  三、記事本借刀殺人 S8vm]  
  1.雙進程木馬的查殺 FaL5Op#  
  現在,越來越多的木馬采用雙進程守護技術保護自己,就是兩個擁有同樣功能的代碼程序,不斷地檢測對方是否已經被別人終止,如果發現對方已經被終止了,那麼又開始創建對方,這給我們的查殺帶來很大的困難。不過,此類木馬也有“軟肋”,它只通過進程列表進程名稱來判斷被守護進程是否存在。這樣,我們只要用記事本程序來替代木馬進程,就可以達到“欺騙”守護進程的目的。 Yj`AgRkm%  
  下面以某變種木馬的查殺為例。中招該木馬後,木馬的“internet.exe”和“systemtray.exe”兩個進程會互相監視。當然,我們中招的時候大多不知道木馬具體的監護進程。不過,通過進程名稱可以知道,“systemtray.exe”是異常的進程,因為系統正常進程中沒有該進程。下面使用替換方法來查殺該木馬。 D0YM;  
  第一步:單擊“開始→運行”,輸入“Msinfo32”打開系統信息窗口,展開“系統摘要→軟件環境→正在運行任務”,這裡可以看到“systemtray.exe”路徑在“C:\Windows\System32”下。 -X#5O[  
  第二步:打開“C:\Windows\System32”,復制記事本程序“notepad.exe”到“D:\” ,同時重命名為“systemtray.exe”。 ?{Ak}{\  
  第三步:打開記事本程序,輸入下列代碼,保存為“shadu.bat”,放置在桌面(括號為注釋,無須輸入): j:~7rrp(  
  @echo off XprR+C   
  Taskkill /f /im systemtray.exe (使用taskkill命令強行終止“systemtray.exe”進程) 1(]G S-x  
  Delete C:\Windows\System32\systemtray.exe (刪除病毒文件) /9-LI2;zQ  
  Copy d:\systemtray.exe C:\Windows\System32\(替換病毒文件) ^yN'}M  
  第四步:現在只要在桌面運行“shadu.bat”,系統會將“systemtray.exe”進程終止並刪除,同時把改名的記事本程序復制到系統目錄。這樣,守護進程會“誤以為”被守護進程還存在,它會立刻啟動一個記事本程序。 eA=_w@7  
  第五步:接下來我們只要找出監視進程並刪除即可,在命令提示符輸入: ; yiM  
  “taskkill /f /im systemtray.exe ”,將守護進程再生的“systemtray.exe”終止,可以看到“systemtray.exe”進程是由“PID 3288的進程”創建的,打開任務管理器可以看到“PID 3288的進程”為“internet.exe”,這就是再生進程的“元凶”。 Lb3eAEj!:  
  第六步:按照第一步方式,打開系統信息窗口可以看到“internet.exe”也位於系統目錄,終止“internet.exe”進程並進入系統目錄把上述兩個文件刪除即可。 SpIsrzH  
  2.使病毒失效並刪除 CSwW=$w:r  
  大家知道,文件都是由編碼組成的,記事本程序理論上可以打開任意文件(只不過有些會顯示為亂碼)。我們可以將病毒打開方式關聯到記事本,使之啟動後變成由記事本打開,失去作惡的功能。比如,一些頑固病毒常常會在注冊表的“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”等啟動位置生成難以刪除的鍵值,達到惡意啟動的目的。下面使用記事本來“廢”掉病毒的生命力。 P|\!\(F;  
  第一步:啟動命令提示符,輸入“ftype exefile=notepad.exe %1”,把所有EXE程序打開方式關聯到記事本程序,重啟系統後我們會發現桌面自動啟動好幾個程序,這裡包括系統正常的程序如輸入法、音量調整程序等,當然也包括惡意啟動的流氓程序,不過現在都被記事本打開了。 {"Cr" *r&  
  第二步:根據記事本窗口標題找到病毒程序,比如上例的systemtray.exe程序,找到這個記事本窗口後,單擊“文件→另存為”,我們就可以看到病毒具體路徑在“C:\Windows\System32”下。現在關掉記事本窗口,按上述路徑提示進入系統目錄刪除病毒即可。 5j+PJasdW  
  第三步:刪除病毒後就可以刪除病毒啟動鍵值了,接著重啟電腦,按住F8,然後在安全模式菜單選擇“帶命令提示的安全模式”,進入系統後會自動打開命令提示符。輸入“ftype exefile="%1"%*”恢復exe文件打開方式即可。 QmY^Nu  
  四、注冊表映像劫持讓病毒沒脾氣 _TG& L@7-  
  現在病毒都會采用IFO的技術,通俗的講法是映像劫持,利用的是注冊表中的如下鍵值 Ni~SjsRwn  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options位置來改變程序調用的,而病毒卻利用此處將正常的殺毒軟件給偷換成病毒程序。恰恰相反,讓我們自己可以利用此處欺瞞病毒木馬,讓它實效。可謂,瞞天過海,還治其人。 /xDW8'x  
  下面我們以屏蔽某未知病毒KAVSVC.EXE為例,操作方法如下: &4`jz~tt  
  第一步:先建立以下一文本文件,輸入以下內容,另存為1.reg ",_y\{   
  Windows Registry Editor Version 5.00 ?t`$: "N  
   kuZ/Wf-@h  
  "Debugger"="d:\\1.exe" |zjTLVX`:  
   ^O~iAkLyvh  
  "Debugger"="d:\\1.exe" a[OD'D4  
  (注:第一行代碼下有空行。) Q%=HZD  
  第二步:雙擊導入該reg文件後,確定。 LM ]VH%M  
  第三步:點“開始→運行”後,輸入KAVSVC.EXE。 P9w5C  
  提示:1.exe可以是任意無用的文件,是我們隨意創建一個文本文件後將後綴名.txt改為.exe的, m{fP  
  總結:當我們飽受病毒木馬的折磨,在殺毒軟件無能為力或者感覺“殺雞焉用宰牛刀”時,不妨運用系統工具進行病毒木馬的查殺,說不定會起到意想不到的效果。...<div class='locked'><em>瀏覽完整內容,請先 <a href='member.php?mod=register'>註冊</a> 或 <a href='javascript:;' onclick="lsSubmit()">登入會員</a></em></div><div></div>

z916842 發表於 2008-12-17 08:59 PM

看不太懂~~

可以寫簡單一點嗎
~~~~~~~~~~~~

cafemilko 發表於 2008-12-20 09:06 PM

寫得有點複雜@@
雖然我是用小紅傘
不過大大打了那麼多字
還是多謝大大的分享囉!

test.et 發表於 2009-1-3 02:24 AM

這也太麻煩
根本就是手動清除病毒嘛= =

jipen 發表於 2009-1-3 03:19 PM

我的方法是利用 到登錄檔的RUN裡查出不相關常駐程式,查出木馬來源,
刪不住他們~!就改其名稱及內容~!
再刪不住他們~!進入安全模式再去刪~!
不然重灌~!<br><br><br><br><br><div></div>

toto1985 發表於 2009-1-11 01:46 PM


nice
good!!!!!!!!!

a9436138 發表於 2009-1-15 08:38 PM

好像很好用的感覺
等等來試試看

myisolg 發表於 2009-1-28 12:18 AM

很實用的文章

感謝大大分享

fatmui 發表於 2009-1-30 10:35 AM

太覆雜了...看不懂~~~
還是用防毒好了

mw8231 發表於 2009-4-2 08:39 PM

看不懂呀...
太複雜了....<br><br><br><br><br><div></div>

scottsky1683 發表於 2009-4-17 01:11 AM

根本就是手動殺病毒嘛~~
大大你太威了!!
我要把你的文章複製下來好好研究
謝謝啦~~

onelife251013 發表於 2009-4-17 09:54 PM

好清楚的說明喔~感謝你的提供^^

kioyamazaki 發表於 2009-5-21 11:18 PM

都是技術活,一般人回頭大吧。。。{:1_newconfused:}

bat5214949 發表於 2009-5-24 08:21 AM

呵呵~~看都看不懂捏!!
但大大辛苦了~謝謝

頑童 發表於 2009-5-24 11:30 AM

大大您好.你說的好複雜喔.
我想大部分的人都無法自己來吧.<br><br><br><br><br><div></div>
頁: [1] 2 3