手工查杀病毒入门基础知识简介

原创文章如转载,请注明:转载自冠威博客 [ http://www.guanwei.org/ ]
本文链接地址:http://www.guanwei.org/post/platformsecurity/07/Killing-the-virus-manually.html
 

 

一款优秀的防火墙并不能防御所有的病毒,一款优秀的杀毒软件并不能查杀所有的带毒程序。在杀毒软件不是很智能的今天,简单的修改木马过几款出色的杀毒软件并不艰难。所以,在杀毒软件不能识别病毒的情况下,我们就有必要手工查杀病毒


    手工查杀病毒,顾名思义,就是在不使用杀毒软件的情况下人为的使用一些系

统自带的或非系统自带的手工辅助工具进行查杀病毒。有些人怀疑手工杀毒是否有必要呢?其实,杀毒软件只是一条看门狗,作为主人的你,理论上应该比那条狗更清楚入屋者是不是贼才对。这只是作为管理者的一种基本意识。引用

 

 

某论坛人才的一句话:“只要杀毒软件还要更新病毒库,免杀就依然可以成功。”这也就说明了手工查杀病毒很有必要,因为杀毒软件是没办法识别经过免杀修改了的病毒的,这类病毒只能手工查杀。而手工查杀是不是需要很雄厚的基本功呢?实话实说,是应该对系统有所了解才能做得到,但是,意识都是慢慢培养的,学习也是一个缓慢的过程,接触多了,也就简单了。

废话至此,下面开始简单介绍一些查杀病毒的的方法:
#1.任务管理器
#2.命令提示符(CMD)
#3.IceSword(冰刃)
#4.360安全卫士(辅助学习的好工具)
#5.简单应用,免杀灰鸽子手工查杀实例
#6.常用启动项
#7.映像劫持
#8.单挑07年毒王----AV终结者

 

 


一.常用工具使用简介

1.任务管理器

任务管理器是大家最常用的工具,有两种比较简单的打开方式:一种是组合键Ctrl+Alt+Delete,另一种是在任务栏右键→任务管理器。在任务管理器的应用程序栏里面显示的是正在运行的正常程序的,而病毒程序是不会显示出来的, 
所以我们一般都查看进程栏。在这里我首先向大家介绍一些主要的系统进程:

    1.svchost.exe    
  进程文件:svchost或者svchost.exe 
      描述:svchost host 
     proscess是一个标准的动态链接库主机处理服务

    2.iexplore.exe    
      进程文件:iexplore或者iexplore.exe
  描述:microsoft internet 

    3.rundll32.exe  
    进程文件:rundll32或者rundll32.exe
    描述:windows 

    4.ctfmon.exe  
  名称:alternativeuserinputservices
  描述:office xp输入法图标。

    5.winlogon.exe  
    进程文件:winlogon或者winlogon.exe
    描述:windows NT用户登录程序。

    6.alg.exe    
    进程文件:alg或者alg.exe
        描述:这是一个应用层网关服务用于网络共享。

    7.smss.exe    
    进程文件:smss或者smss.exe
    描述:进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登录过程。

     8.explorer.exe    
    进程文件:explorer或者explorer.exe
    描述:windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单、任务栏,桌面以及文件管理。

     9.csrss.exe    
    进程文件:csrss或者csrss.exe
    描述:客户端服务子程序,用以控制windows图形相关子系统。

    10.lsass.exe    
    进程文件:lsass或者lsass.exe
        描述:本地安全权限服务控制windows安全机制。

     11.conime.exe    
        进程文件:conime或者conime.exe
    描述:输入法编辑器相关程序。

    12.wmiprvse.exe    
    进程文件:wmiprvse或者wmiprvse.exe
        描述:用于通过winmgmt.exe程序处理wmi操作。

      13.services.exe    
        进程文件: services 或者 services.exe
        描述:用于管理windows服务系统进程。

系统进程路径对照表:

alg.exe           路径为C:/WINDOWS/system32/alg.exe;

conime.exe    路径为C:/WINDOWS/system32/conime.exe;

csrss.exe        路径为C:/WINDOWS/system32/csrss.exe;

ctfmon.exe    路径为C:/WINDOWS/system32/ctfmon.exe;

explorer.exe   路径为C:/WINDOWS/explorer.exe;

iexplore.exe    路径为C:/Program Files/Internet Explorer/iexplore.exe;

lsass.exe        路径为C:/WINDOWS/system32/lsass.exe;

rundll32.exe    路径为C:/WINDOWS/system32/rundll32.exe;

services.exe   路径为C:/WINDOWS/system32/services.exe;

smss.exe        路径为C:/WINDOWS/system32/smss.exe;

svchost.exe  路径为C:/WINDOWS/system32/svchost.exe;

winlogon.exe 路径为C:/WINDOWS/system32/winlogon.exe;

wmiprvse.exe 路径为C:/WINDOWS/system32/wbem/wmiprvse.exe;

    上面的大多是一些随着系统启动的系统进程(iexplore.exe除外,如果开机就弹出网页或出现iexplore.exe进程就可以初步判定它是木马或者恶意程序), 其中有的机子rundll32.exe是不随机启动的,wmiprvse.exe开机启动后过些时间会消失,必要时还会启动。
    对于陌生进程,我们可以考虑到百度搜索,查看一下是否为病毒进程。在此推荐大家遇到危险进程的时候查看一下


【危险进程速查表】


    在任务管理器我们可以获取很多有用信息,例如进程的PID,所占用的内存、CPU,I/O写入等等,在系统运行不正常时我们可以根据这些信息来判断病毒的所在。

    其中PID和I/O写入项在 查看→选择列里选择显示,默认是不显示的,自己可以配置一下,把PID、I/O写入和I/O写入字节勾选上,即可查看到我们所想要的信息,如下图:

 

 

 

 

 

 

    PID指的是进程的标识号,系统中是不会存在重复PID的,它们在启动的时候随机生成,只有两个例外,如上图:System Idle Process进程的PID为0,System进程的PID为4,它们是固定不变的。

    利用任务管理器,我们可以查看到每个进程所占用的内存和CPU的大小,正常来说,系统进程占用的内存并不多,一般不会超过50M,如果某个系统进程超过了100M的话就要留意了,很有可能已经被病毒注入。当你发觉硬盘灯狂闪时,就应该查看一下哪个进程占用的内存特别多,借以判断问题的源头,但有些时候所有的进程占用的内存并不多而硬盘灯也狂闪,我们就可以查看I/O写入和I/O写入字节的大小,问题一般都出在数值最大的进程上,这就是勾选出I/O写入和I/O写入字节I/O写入和I/O写入字节的作用所在。

    当任务管理器打不开时,可用下面三种方法修复:

方法一:修改注册表。运行→regedit,展开到: 
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System] 
找到"DisableTaskmgr"把dword值设置为00000000
 

方法二: 
打开记事本,把下面的内容保存成.reg文件,然后双击导入恢复。 
REGEDIT4 

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System] 
"DisableTaskmgr"=dword:00000000
 

(最后一行留一空行) 

方法三:利用组策略: 
开始/运行/gpedit.msc, 
在用户配置-管理模板-系统-CTRL+ALT+DELE选项,在左边找到“删除任务管理器” 
双击打开,设置为未配置,或者禁用。
当注册表都被锁上时,可用记事本把下面内容保存成.bat文件,然后双击运行解锁:

@reg  add "HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System" /v DisableRegistryTools /t reg_dword /d 00000000 /f 
start regedit

你可能感兴趣的:(手工查杀病毒入门基础知识简介)