文档介绍：手工杀毒的一些心得
2009-02-17 22:01:46 来源:蓝色理想作者:iifksp
在经典学到了很多,这次写些自己的东西。翻了一下之前15页病毒的帖子,似乎还没有很系统的,于是就有了这么一个念头,就陆陆续续地在记事本里写了下面这点东西,并且把雏形的开头写在了自己空间里,所以可能思路不是特别清晰,在加上个人能力很有限,有什么不对的地方请赐教,非常欢迎!
在写主题之前,先写些题外话:
计算机安全,关键在“防”,所以平常所做的防护以及备份工作是最重要的!
系统安全,方法有很多:影子系统、虚拟机、沙箱...但很多时候真的没有必要。保持良好的上网习惯和用机习惯,做好适当的备份就可以了。所以这里不讨论那些虚拟技术,主要是真实系统中的一些问题。虽然谈的是手工杀毒,但还是要列举一下平常会用到的可能有关的一些东西:
——360,卡卡,超级兔子,window清理助手,超级巡警,黄山IE修复,恶意软件清理助手......虽然并不讨论,但是这些日常所用到过的东西很有帮助。对于杀毒软件的优劣没什么多评判的,主流我几乎都算是用过一遍了,也只是觉得各有所长。对于防御,最重要的无非还是补丁和好的习惯,手工只是辅助,杀毒软件仍然只是辅助吧。
下面是一般处理的方式(一层进一层地处理):
安全模式下全盘查杀。
将硬盘挂接到其它机器上全盘查杀。
重装系统后,仅操作桌面的情况下,安装杀毒软件全盘查杀。
依靠杀毒软件是对的,因为手工来杀意味着麻烦和很可能的失败,但是完全交给杀毒软件也不妥当。在病毒成功干扰杀毒软件之后,我们就要手工尽可能去排除干扰。一旦病毒进来了,难说病毒不会把杀毒软件先干掉。即使不用,了解下也没有坏处。
进入手工杀毒的主题:
当中毒之后,第一步,就是断网,并且千万不能系统重启(即使重启也不要正常重启)。
中毒后的症状现在也出奇的有一致性,干扰如360这类安全工具,禁用任务管理器等等。平时多注意任务管理器多注意进程,熟悉系统盘里的文件,以及文件的修改时间,会为手工杀毒带来方便,第一时间知道中毒,第一时间划定可疑范围。在杀毒里最开始也是最重要的一步,就是干掉病毒的进程。这就涉及到很多工具。没有这些工具,手工杀毒根本无从谈起。
首先是我们平时用的最多的任务管理器。用Ctrl+Shift+ESC调出(似乎平时人们都更喜欢Ctrl+Alt+Delete)。最大的缺点是不能同时结束两个以上的进程,而且可以说一直是病毒的首要目标,功能比较鸡肋。但是通常可以是一个信号灯,一旦其失效,就要考虑是不是中毒了
我强烈推荐Sysinternals的Process Explorer和Process Monitor,因为这两个软件实在是太好了。自从Winternals被微软收购后,Sysinternals也被并入微软名下,所以其工具对于windows系统的支持非常好。
Process Explorer可以完全取代系统自带的鸡肋般的taskmanager,提供的功能之强,使得这款软件历经多年仍然难有出其右者。对于进程信息的提供真是应有尽有了,详细而透彻。虽然近一年时间似乎也逐渐成为病毒屏蔽目标之一,但是强大功能和实用性,我一直无法放弃使用。按Ctrl+H,还可以切换到Handler视图进行更加高级的操作。
早些时候使用process explorer可以说是百试百灵的,可以逃脱的病毒并不多,现在情况就差很多了。下面是我以前碰到的一个例子:U盘上总是会被写上一个文件,文件大小是655k,删除之后过会又会重建。在任务管理器中看不出什么问题,但是在process explorer下却是一目了然。有一个进程作为用户进程居然没有父进程,看其行为,居然每隔一定时间就有一次IO操作,大小刚好也是655k。于是找到位置,删除之。同时用Process Monitor追踪了一下找到其他一些文件删除,系统恢复。可以说杀的并不完整,但是病毒已经无效化了。
Process Monitor实际上是对进程的文件系统和注册表调用的监视。对于特定进程可以完全跟踪文件读写和注册表的读写,这对于排查病毒极为有用。同时也提供了一个进程查看器,其虽然不如专门的进程查看器process explorer强大,却也十分实用,特别是存活时间可以说是一目了然。
在熊猫烧香肆虐的时候,可以说是IceSword大显神威的时候。对于这款软件就不多说了,,功能之强大也是沿用至今的利器。但是我一直是用不好的,因为自从用起Sysinternals的工具后,用冰刃的时候就少了很多。强大的工具,要小心使用,不然会危及系统。
也许以上我都是在介绍软件,但是事实就是这样。我们必须借助软件工具找到病毒进程,找到病毒位置。其实很有意思,杀毒的大部分时间都是花在寻找病毒