原创文章如转载,请注明:转载自冠威博客 [ http://www.guanwei.org/ ]
本文链接地址:http://www.guanwei.org/post/platformsecurity/07/Killing-the-virus-manually.html
一款优秀的防火墙并不能防御所有的病毒,一款优秀的杀毒软件并不能查杀所有的带毒程序。在杀毒软件不是很智能的今天,简单的修改木马过几款出色的杀毒软件并不艰难。所以,在杀毒软件不能识别病毒的情况下,我们就有必要手工查杀病毒
手工查杀病毒,顾名思义,就是在不使用杀毒软件的情况下人为的使用一些系
某论坛人才的一句话:“只要杀毒软件还要更新病毒库,免杀就依然可以成功。”这也就说明了手工查杀病毒很有必要,因为杀毒软件是没办法识别经过免杀修改了的病毒的,这类病毒只能手工查杀。而手工查杀是不是需要很雄厚的基本功呢?实话实说,是应该对系统有所了解才能做得到,但是,意识都是慢慢培养的,学习也是一个缓慢的过程,接触多了,也就简单了。
废话至此,下面开始简单介绍一些查杀病毒的的方法:
#1.任务管理器
#2.命令提示符(CMD)
#3.IceSword(冰刃)
#4.360安全卫士(辅助学习的好工具)
#5.简单应用,免杀灰鸽子手工查杀实例
#6.常用启动项
#7.映像劫持
#8.单挑07年毒王----AV终结者
一.常用工具使用简介
1.任务管理器
任务管理器是大家最常用的工具,有两种比较简单的打开方式:一种是组合键Ctrl+Alt+Delete,另一种是在任务栏右键→任务管理器。在任务管理器的应用程序栏里面显示的是正在运行的正常程序的,而病毒程序是不会显示出来的,
所以我们一般都查看进程栏。在这里我首先向大家介绍一些主要的系统进程:
1.svchost.exe
进程文件:svchost或者svchost.exe
描述:svchost host
proscess是一个标准的动态链接库主机处理服务
2.iexplore.exe
进程文件:iexplore或者iexplore.exe
描述:microsoft internet
3.rundll32.exe
进程文件:rundll32或者rundll32.exe
描述:windows
4.ctfmon.exe
名称:alternativeuserinputservices
描述:office xp输入法图标。
5.winlogon.exe
进程文件:winlogon或者winlogon.exe
描述:windows NT用户登录程序。
6.alg.exe
进程文件:alg或者alg.exe
描述:这是一个应用层网关服务用于网络共享。
7.smss.exe
进程文件:smss或者smss.exe
描述:进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登录过程。
8.explorer.exe
进程文件:explorer或者explorer.exe
描述:windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单、任务栏,桌面以及文件管理。
9.csrss.exe
进程文件:csrss或者csrss.exe
描述:客户端服务子程序,用以控制windows图形相关子系统。
10.lsass.exe
进程文件:lsass或者lsass.exe
描述:本地安全权限服务控制windows安全机制。
11.conime.exe
进程文件:conime或者conime.exe
描述:输入法编辑器相关程序。
12.wmiprvse.exe
进程文件:wmiprvse或者wmiprvse.exe
描述:用于通过winmgmt.exe程序处理wmi操作。
13.services.exe
进程文件: services 或者 services.exe
描述:用于管理windows服务系统进程。
系统进程路径对照表:
alg.exe 路径为C:/WINDOWS/system32/alg.exe;
conime.exe 路径为C:/WINDOWS/system32/conime.exe;
csrss.exe 路径为C:/WINDOWS/system32/csrss.exe;
ctfmon.exe 路径为C:/WINDOWS/system32/ctfmon.exe;
explorer.exe 路径为C:/WINDOWS/explorer.exe;
iexplore.exe 路径为C:/Program Files/Internet Explorer/iexplore.exe;
lsass.exe 路径为C:/WINDOWS/system32/lsass.exe;
rundll32.exe 路径为C:/WINDOWS/system32/rundll32.exe;
services.exe 路径为C:/WINDOWS/system32/services.exe;
smss.exe 路径为C:/WINDOWS/system32/smss.exe;
svchost.exe 路径为C:/WINDOWS/system32/svchost.exe;
winlogon.exe 路径为C:/WINDOWS/system32/winlogon.exe;
wmiprvse.exe 路径为C:/WINDOWS/system32/wbem/wmiprvse.exe;
上面的大多是一些随着系统启动的系统进程(iexplore.exe除外,如果开机就弹出网页或出现iexplore.exe进程就可以初步判定它是木马或者恶意程序), 其中有的机子rundll32.exe是不随机启动的,wmiprvse.exe开机启动后过些时间会消失,必要时还会启动。
对于陌生进程,我们可以考虑到百度搜索,查看一下是否为病毒进程。在此推荐大家遇到危险进程的时候查看一下
【危险进程速查表】
在任务管理器我们可以获取很多有用信息,例如进程的PID,所占用的内存、CPU,I/O写入等等,在系统运行不正常时我们可以根据这些信息来判断病毒的所在。
其中PID和I/O写入项在 查看→选择列里选择显示,默认是不显示的,自己可以配置一下,把PID、I/O写入和I/O写入字节勾选上,即可查看到我们所想要的信息,如下图:
PID指的是进程的标识号,系统中是不会存在重复PID的,它们在启动的时候随机生成,只有两个例外,如上图:System Idle Process进程的PID为0,System进程的PID为4,它们是固定不变的。
利用任务管理器,我们可以查看到每个进程所占用的内存和CPU的大小,正常来说,系统进程占用的内存并不多,一般不会超过50M,如果某个系统进程超过了100M的话就要留意了,很有可能已经被病毒注入。当你发觉硬盘灯狂闪时,就应该查看一下哪个进程占用的内存特别多,借以判断问题的源头,但有些时候所有的进程占用的内存并不多而硬盘灯也狂闪,我们就可以查看I/O写入和I/O写入字节的大小,问题一般都出在数值最大的进程上,这就是勾选出I/O写入和I/O写入字节I/O写入和I/O写入字节的作用所在。
当任务管理器打不开时,可用下面三种方法修复:
方法一:修改注册表。运行→regedit,展开到:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]
找到"DisableTaskmgr"把dword值设置为00000000
方法二:
打开记事本,把下面的内容保存成.reg文件,然后双击导入恢复。
REGEDIT4
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableTaskmgr"=dword:00000000
(最后一行留一空行)
方法三:利用组策略:
开始/运行/gpedit.msc,
在用户配置-管理模板-系统-CTRL+ALT+DELE选项,在左边找到“删除任务管理器”
双击打开,设置为未配置,或者禁用。
当注册表都被锁上时,可用记事本把下面内容保存成.bat文件,然后双击运行解锁:
@reg add "HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System" /v DisableRegistryTools /t reg_dword /d 00000000 /f
start regedit