博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
12
返回列表 发新帖
楼主: network

当杀毒软件无能为力时,手动杀毒也许是我的最后救命稻草!

[复制链接]
 楼主| 发表于 2007-5-3 04:46:35 | 显示全部楼层
防止病毒和间谍软件感染系统的正确方法 2007-04-27 20:06:46
 标签:病毒 间谍软件 Windows 



Windows内建的系统安全架构其实是很完善的,只不过很多人,包括微软自己不知道或者用错了。如果微软知道,它没理由不提醒别人。

1。如果不是为了下载安全补丁,在任何情况下都绝对不要以系统管理员的身份登陆。

遗憾的是绝大部分人都是以管理员的身份进入系统,然后上网。Windows2000/XP的默认安装也是让你以管理员的身份登陆。所以你能干什么,通过网页和下载传播的病毒和间谍软件就能干什么。Vista通过LUA(Limited User Access)来限制管理员的默认权限,除了用户的使用习惯是个问题,而且还是有办法攻破,比如一些通过social engineering的方法。所以那也不是绝对安全的。

2。在系统完成安装后,建立两个普通用户A和B,以A登陆,90%以上的普通病毒和间谍软件从此基本上是没法修改你的系统和配置文件。

3。如果上网,右点击浏览器的图标,在菜单中选择“Run As”,以B的身份运行。因为软件的session ID和你的不同,很多情况下如果它能有机会运行的话,对当前系统也是无能为力。一些有些分量的病毒通过安装driver或service的企图基本上都会失败。

4。以管理员的身份修改配置,对所有软件打开DEP(Data Execution Protection),关掉“Remote Assistance”。98%以上的恶意软件运行不了,剩下的2%则是微软的后门(它总以为别人不知道,可早晚总有人知道),和其它一些Windows的漏洞。另外,Linux并不比Windows更安全,只是写出来的恶意代码不如Windows上的通用性那么强,在我的机器上写的未必可以在你的机器上运行,所以引不起很多黑客的兴趣。

5。别太迷信反病毒和间谍软件的软件。如果他们知道或者告诉你这些方法,他们基本上是没有多少生意可做的。从80年代反DOS时代的病毒开始,他们不知道已经赚了多少银子,比如MCAFEE;可是你我觉得更安全了吗?没有。何时是个尽头?更不知道。

国内反毒厂家的水平普遍是不行的,和国外比差距较大。内行人看看广告词就知道他的水平和进展情况,当然广告也是哄普通用户的。

比如绝大部分恶意程序都被加密或/和压缩过,厂家支持多少?每个压缩和加密软件的不同版本方法又有不同,我说我支持UPX和UPACK,如果只是其中部分版本是没有意义的。因为只要漏掉一个,你的机器就难说了,而且这些个厂家是不会赔你一个子儿的,而是要你不断下载补丁。

Windows上的虚拟机运行是病毒分析的相对较新的方法,几年前几大著名厂家都在做,但现在还在research阶段,主要就是效率问题,以及和传统方法一样的false positive问题。国内有厂家号称用已使用此法,请列出你的方法和正常方法效率上的差别,你的专利号和在相关国际会议上发表的文章。如果你做到了,绝对是轰动性的。


 楼主| 发表于 2007-5-3 04:50:44 | 显示全部楼层
手工清理C:\windows\alg.exe病毒

--------------------------------------------------------------------------------

2006-12-21 16:08:31 标签:病毒 windows 


这是一个病毒样本eraseme_88446.exe(样本来自“剑盟”)释放到系统中的。瑞星今天的病毒库不报。  

C:\windows\alg.exe偷偷潜入系统后,下次开机时会遇到1-2次蓝屏重启。  

特点:  
1、C:\windows\alg.exe注册为系统服务,实现启动加载。  
2、C:\windows\alg.exe控制winlogon.exe进程。因此,在WINDOWS下无法终止C:\windows\alg.exe进程。  
3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5-6个端口访问网络。  
4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较,病毒改动后的ftp.exe和tftp.exe文件大小不变,但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b(见附图)。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp,存放到C:\WINDOWS\system32\Microsoft\目录下。  

手工杀毒流程:  
1、清理注册表:  
(1)展开:HKLM\System\CurrentControlSet\Services  
删除:Application Layer Gateway Services(指向 C:\windows\alg.exe)  

(2)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon  
将SFCDisable的建值改为dword:00000000  

(3)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon  
删除:"SFCScan"=dword:00000000  

(4)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions  
删除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM"  

2、重启系统。显示隐藏文件。  
3、删除C:\windows\alg.exe。  
4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp,改名为ftp.exe;找到backup.tftp,改名为tftp.exe。然后,将ftp.exe和tftp.exe拖拽到system32文件夹,覆盖被病毒改写过的ftp.exe和tftp.exe。 xiong2127 51cto技术博客
出自 51CTO.COM博客
发表于 2007-5-5 20:48:46 | 显示全部楼层
大哥太长了阿阿 我看不下去恶
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-23 22:01 , Processed in 0.094946 second(s), 13 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表