博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 3684|回复: 4

手工查杀病毒经验谈

[复制链接]
发表于 2007-7-15 00:55:46 | 显示全部楼层 |阅读模式
第一部分:工具篇


工欲善其事必先利其器,手动查杀并不是徒手而来,当然要借助些工具,好的工具可以帮助你快速找到解决的方案与窍门当然要借助些工具:


一、扫描日志工具:
当你去到一部中毒的机子,是不是会对如何下手有点茫然呢?那样,不管3721,扫描一份报告看看有何不妥先,而在报告总,系统的启动项目,进程,驱动和服务一目了然,多少可以重装发现一些蛛丝马迹,而寒冰也是习惯从这个步骤开始的. 至于寒冰推荐的扫描日志扫描当属hijackthis和SREng,尤其是后者,最近360的报告好像也挺热火的,可能是个人使用习惯吧,寒冰感觉他是介乎于两者之间,没有Sreng那么强大的dll数据,也没有hijackthis般的修复功能,虽然有颜色可以一目了然,可是排列却有点乱,有待改善啊,所以,如果你还没用过使用报告,寒冰首推SRENG这款软件,现在新的2.3版本已经出来了,具体更新的内容可以去寒冰的百度空间查看


二、进程服务工具:
没有病毒会选择沉默,病毒的特性决定他不会一直闲着,而活动,必然会在系统留下蛛丝马迹,可是,系统自带的资源管理器在现在病毒面前却显得如此软弱,因此,请进助手自然势在必行,常用的进程分析当属Icesword和Process Explorer


三、删除工具:
相信跟电脑相处多了的人,总会遇见过“文件正在被另一个人或程序使用,无法删除”诸如此类的警告,而正常文件尚且如此,病毒更是猖狂,一个具备完好自我保护体系的病毒单单的资源管理器无法结束其进程,更不用说删除他了,发现了病毒却不能删除,郁闷 也许有人会建议进入安全模式进行查杀,没错,的确可以,可是,太麻烦了,而且,安全模式下又不利于我们发现病毒的同伙,最好的状态还是在“病毒进行时”,因此,一款在正常模式下可以正常删除任意文件的工具就这样应运而生了,常用且有效的有:killbox、Icesword和unlocker,其中Icesword当属得力助手(当然,有时候他也无能为力,只能多试几个好工具)



第二部分:查毒篇

隐蔽性是病毒的一大特性,可是再隐蔽,他也总要让他自身运行的,而保证的途径必然会使他在系统留下蛛丝马迹,因此了解病毒的自启动方式对于进一步发现病毒的蛛丝马迹很有帮助,具体常见的宝地有:


一、启动项目留迹

1.内置到注册表启动项目中
  注册表是病毒最喜欢隐藏的地方,既没有人能找到它,又能自动运行,真是快哉!的确注册表由于比较复杂,木马常常喜欢藏在这里快活常见的键值有:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;
HKEY-USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。

2、隐形于启动组中
  有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。
动组对应的文件夹为:C:\windows\start menu\programs\startup,
在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
  Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦!

3、捆绑在启动文件中
  即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。

4、潜伏在Win.ini中
  木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe
  这时你就要小心了,这个file.exe很可能是木马哦。

5、在System.ini中藏身
  木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。

6、隐蔽在Winstart.bat中
  按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。

7、集成到程序中
  为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。 (高招)

8、隐藏在配置文件中
  木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。 (这种方式现在好像没那么流行了)
明白了系统的藏身之处,我们就有思绪把他找出来了,当使用sreng查看其启动项目时,自动弹出了相应警告,提示load,shell,和Userinit等值被修改,所以,首先用Sreng扫描一份报告如下:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  [N/A]
  [(Verified)Microsoft Corporation]
从中可以看出,病毒为了实现启动,分别在load,shell,和Userinit等进行了窜改,其中Userinit的EXPLORER.EXE还假装了(Verified)Microsoft Corporation的标识,具备很大诱惑性。
比如之前大名顶顶的熊猫烧香,就是通过userinit.exe加载病毒程序C:WINDOWS\system32\SVCH0ST.exe实现开机启动,如果发现了这一项目,相信你的硬盘数据就危险了


二、运行系统留迹
病毒要运行,自然会有进程,可是,庆幸的是某个病毒的进程还算是统一的(除非变种了),而初级的病毒通过资源管理器可以立马做出判断(前提你应该认识系统进程和常用软件进程),再通过相应的工具辅组就可以找到他的相对路径,也许有人抱怨资源管理器连路径都无法提供,太无能了,就去找那个lohorn版本的装上,其实,只需要一个命令就可以找出来进程的文件路径,方法如下:
开始-运行-msinfo32,切换到软件,就可以看到了
然而,现在很多病毒已经实现了进程隐藏,单靠系统的资源管理器是无法查看到的,因此,加强型的进程查看自然应运而生,有人推荐了PE了,的确是很强,可是,为了尽量减少我们使用的工具,还是用Icesword(个人习惯,呵呵),,点击进程,如果可以看到红色的进程你就得小心了,同时,多注意一下进程的图标,比如之前的sxs就一目了然了,是柯南,而这次,本来lasaa,winlogon等进程是系统进程,在这里却是文件夹图标,十分可疑,而且看路径,呵呵,又被发现了,这是病毒了,icesword把痕迹扫描出来了






三.SSM监控留迹
相信SSM由于nslog的一篇文章很多人都认识了,http://bbs.ylmf.com/read.php?tid=136666&u=112814,在此不是讨论其他的功能,只是提供一个间接查毒的方案:
在此开机设置其自动启动,然后通过开机启动的进程也不愧为发现同党的一个好办法,如图,乖乖泄密了,呵呵







第三部分:杀毒篇
既然在上面发现了病毒及其痕迹,现在自然就是动手操作了,杀毒也是最简单的一个步骤,操作无非就是删除文件,结束服务,删除驱动保护,而想做到这些,相信徒手是不可能做到的,具体还是要请好的工具当助手
从软件界面看发现以下提示:












从上面发现得,我们自然要从启动项目得病毒先清理,首先是最关键的load,shell,和Userinit,相应的日志是:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  [N/A]
  [(Verified)Microsoft Corporation]


其次,启动文件夹(这个可以在程序-启动看到):
[Empty]
[N/A]>


最后,其他启动项目:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  [Microsoft Corporation]
  [Microsoft Corporation]
  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  [N/A]


从中我们知道病毒文件有:
C:\windows\system32\wincfgs.exe
C:\WINDOWS\eksplorasi.exe
EXPLORER.EXE
(位置未知)
Empty.pif(该病毒后来竟然在c盘明目张胆的出现,也没有隐藏,呵呵,好大胆阿)
wsctf.exe
C:\Documents and Settings\茅屋\Local Settings\Application Data\smss.exe
C:\WINDOWS\ShellNew\sempalong.exe


然后,我们通过icesword查看系统进程,看看,发现什么了?


没错了,看到很奇怪的东西吧?
系统的进程lasaa.exe,winlogon等都是文件夹图标?看他们的位置,呵呵,全部是同个文件夹,还
知道了病毒,就应该进行杀除了,可是病毒也不是吃斋的和尚,单凭简单的del是无法达到目的的,因此,借助辅组工具自然也是必要的,常用的有killbox、Icesword和unlocker





第四部分:修复篇


     



扫干净病毒,自然要对战场进行清理,病毒为了保护自己,自然对电脑环境中不利于自己的设置进行修改,诸如以上的一些工具被禁用和注册表被锁定的提示一点也不新鲜.
各位应该还记得寒冰在SXS.exe病毒时说过该病毒就是通过修改注册表实现隐藏文件无法查看从而让自己不被发现,而这次寒冰碰上的病毒似乎更厉高明一些,她把系统的“文件夹选项”隐藏了,呵呵,所以,清理病毒后如果不对系统进行必要的修复,相信没有哪一个MM认为你已经把问题解决了,一般的系统被破坏的痕迹包括一下几分面(以下修复建议在查杀完之后再进行,因为病毒运行本身会检测这些项目是否被修正,而且如果有人发现这些修复的方法都无须,更改后马上又被窜改,那就要考虑是不是毒还没清理干净了):

1.禁用注册表
2.隐藏“文件夹选项”
3.禁用组策略
4.窜改文件关联
5.启动项目残留(如果开机后提示"**无法找到",就是启动项目未清理的缘故)


具体的修复建议还是通过小工具去实现,毕竟很多项目需要查找注册表对于后续工具也麻烦了一些,在此推荐几个工具,由于百度空间无法上传,已经发到寒冰的优盘了(地址http://free.ys168.com/?readon99),相应目录是:网络安全系列--系统修复系列,其他的修复可以通过相应的介绍使用


而且提醒一点,像寒冰差毒过程中曾经插进了u盘,这时候你应该考虑是不是存在被感染的可能性,像寒冰的u盘,查看后发现多了一个anturun.inf和以用户名命名的文件夹,鉴于此,的确可疑,双击运行后,ssm报警了,的确,就是残留物,如果你不删除,下次插入u盘,相信你又得再把工作重新来一遍了,呵呵



总结:
好了,终于把这篇文章写完了,寒冰费了一个多星期,又赶上期末考试,本来想涉及更多内容的,可是时间实在是没有办法了,师姐也不允许话费时间太多在文章上,就只能这样发表了,不过一有时间本人一定及时补充更多资料上去,同时,在此希望各位好好学习一些病毒的查杀知识,寒冰基本已经把本人所知道,所了解的知识都包括在内了,在此也期盼更多的高手,大虾们补充更多想法和秘笈,提出更多意见,期待各位畅言!!!不甚感激!!!
同时也劝说一句,最近流行的病毒破坏力都不弱,尤其是威金,可以感染系统的所有exe文件和gho文件,就算你用以上的方法把病毒清理了,可是最后一步的修复却是难度十分困难,因此,如果不是特别懂,建议还是各位乖乖的装个杀软免得费时,而且有些杀软也可以帮你百分百还原文件原貌啊(不过有一些杀软竟然直接删除了事,BS一下)
同时对于杀软,我想没有必要崇洋媚外,不是说人家技术不行,只是有时候也要考虑国情,最近的病毒都有本地化的感觉,而且,江民可以搜集到185个威金的变种,而卡吧呢?也许对于国内的病毒,技术不是关键,更多的,是对新病毒尤其是本地病毒的反应啊,当然,纯属个人意见,奉劝给那些老是看不起发展中的国产软件的人,也给更多人一个客观的认识.


最后祝愿各位网络遨游愉快,共同维护网络安全!!!


附上两个不错的进程查询网址:

进程信息库(推荐)
http://www.processlib.net/directory/a/1.html
兔子知道
http://www.pctutu.com/process/index.html
发表于 2007-7-26 15:03:33 | 显示全部楼层
发表于 2007-11-27 16:47:58 | 显示全部楼层
发表于 2007-11-27 16:52:39 | 显示全部楼层
很多时候大家已经用卡巴斯基查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就蒙了,那么长一串的名字,我怎么知道是什么病毒啊?

  其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些共有的特性了:一般格式为:<病毒前缀>.<病毒名>.<病毒后缀>

  病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他的。

  病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的“ CIH ”,振荡波蠕虫病毒的家族名是“ Sasser ”。

  病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多,可以采用数字与字母混合表示变种标识。

  下面附带一些常见的病毒前缀的解释(针对我们用得最多的Windows操作系统):

  1、系统病毒

  系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。

  2、蠕虫病毒

  蠕虫病毒的前缀是:Worm.这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。

  3、木马病毒、黑客病毒

  木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack .木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 .这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。

  4、脚本病毒

  脚本病毒的前缀是:Script.脚本病毒的共有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。

  5、宏病毒

  其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,以此类推。该类病毒的共有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。

  6、后门病毒

  后门病毒的前缀是:Backdoor.该类病毒的共有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。

  7、病毒种植程序病毒

  这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。

  8.破坏性程序病毒

  破坏性程序病毒的前缀是:Harm.这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。

  9.玩笑病毒

  玩笑病毒的前缀是:Joke.也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。

  10.捆绑机病毒

  捆绑机病毒的前缀是:Binder.这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。

  以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:

  DoS:会针对某台主机或者服务器进行DoS攻击;

  Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;

  HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。

  你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助。



本文来自:http://www.kker.org/article.asp?id=174
发表于 2007-11-27 18:43:40 | 显示全部楼层
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-23 15:18 , Processed in 0.093224 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表