服務(wù)病毒黑客手工殺毒技術(shù).李詩平(南京信息工程大學(xué)圖書館，江蘇南京210044)摘要:該文根據(jù)計算機病毒感染的一般特性，從計算機病毒的痕跡追蹤入手，討論了Windows下和Dos下的幾種手工殺毒方法關(guān)鍵詞:計算機病毒;手工殺毒;動態(tài);靜態(tài); DOS; WindowsTechnology of killing virus by handLi Shi-ping(Library of nanig Iniersity of iformnation science & Technobey, Nanimg 210044 P. 居。Chia)Abstract: Acording the general of virus spreading, this paper dsussed some ways of klling viruses by hand in dos and windows mode，firststep is tracing them.Key words; computer virus; kil virus by hand;active; quiet;DOS; Windows1引言等等，這些工具是手工殺毒的利器。計算機病毒的氣勢在當下似乎已經(jīng)壓住了殺毒軟件,因為許多安裝了正版殺毒軟件的計算機，有時候非但殺不2計算機病毒痕跡的簡易追蹤法了病毒卻反被病毒殺死;有時候，不安裝病毒的計算機運如果計算機運行異常緩慢，異常文件被刪除又立即產(chǎn)行正常，安裝了防火墻(病毒和安全防火墻)的卻常常伴生了，異常啟動甚至藍屏等等，那么計算機系統(tǒng)中就有可隨著運行緩慢和死機現(xiàn)象。這種情況使得普通用戶叫苦不能存在病毒。發(fā)現(xiàn)病毒的存在位置，是解決病毒的關(guān)鍵所迭;具備計算機知識的用戶常常重新安裝計算機系統(tǒng)。但在。是現(xiàn)在的病毒發(fā)展速度驚人，隱藏的服務(wù)(Service). 隱享譽世界的華裔刑偵專家李昌鈺博士相信:凡發(fā)生必藏的進程(Process) 比比皆是,從而造成了病毒不能發(fā)現(xiàn)，留下痕跡，證據(jù)總有說話的一- 天。計算機病毒也是如此，正版殺毒軟件也不能除去等等。遇到這種情況，許多用戶總會留下痕跡。.往往選擇重新安裝。重新安裝，對于不怎么重要的個人計2.1查看計算機運行程序和進程發(fā)現(xiàn)病毒算機是可以的，但是對于重要的計算機，包括重要的辦公查找計算機病毒首先要用Windows自帶的任務(wù)管理機、監(jiān)控機以及服務(wù)器等就不適用了。有識之士認為，手器，它提供正在您的計算機上運行的程序和進程的相關(guān)信工殺毒是未來必備的基本技術(shù)，手工殺毒也必將成為計算息。如果發(fā)現(xiàn)有異常進程,就必領(lǐng)知道進程的用途。對于簡單的病毒，鼠標右鍵點擊就能終止。如果沒有發(fā)現(xiàn)異常機的基礎(chǔ)教育之一。手工殺毒，就是計算機工作人員運用操作系統(tǒng)的基本進程，但是System Idle Process 條目的CPU占用是95思想，用一些工具軟件排除病毒和惡意插件?？梢钥隙?，以下，甚至是零，就需要知道占用時間長的那個進程。其工具軟件是非常重要的，與現(xiàn)實生產(chǎn)關(guān)系中的性質(zhì)一樣，次,用Msconfig查看啟動項目,看看有哪些啟動是異常的。它是決定性環(huán)節(jié)。手工殺毒者，必要具備- -些基礎(chǔ)知識，ProcessExplorer是手工殺毒者推崇的一款軟件,它尤其是操作系統(tǒng)的理論，這樣才能更好地使用工具排除病能輕易地顯示任務(wù)管理器無法偵查的病毒線程或隱藏毒。用于殺毒的工具軟件越來越多，這也是伴隨著病毒的進程，它還能查出系統(tǒng)中進程(包括system進程)使發(fā)展而發(fā)展的。這些工具包括SSM、超級兔子、瑞星卡用計算機資源的狀況。對于--些惡意網(wǎng)站如piaoxue、卡，gmer,冰刃、unlocker, knlsc. ProcessExplorer.hao中國煤化工ocessExplorer用戶就ListDIls. RegMon, filemon, Sreng. ac (attribution可以HC N M H G都是啟動某個或多個服change)以及帶有NTFSPRO、ghost的DOS啟動光盤務(wù)導(dǎo)致的。在ProcessExplorer的窗口下，鼠標右鍵點擊6計明機字象據(jù)007.12www.nsc.org.cn病毒黑客服務(wù)system進程，選擇properties,選擇threads就能夠發(fā)現(xiàn)壞軟件)，mal前綴是非常貼切的。手工殺毒主要強調(diào)在存在名字怪異且非?；钴S的線程，這些就是我們要排除的瑞星、金山毒霸等軟件無法正常防護的情況下，用戶能憑目標?！笆止⒍尽钡募夹g(shù),維護計算機正常運行。在手工殺毒時，然而，也存在一一些服務(wù)，它不是活躍的，由其他的殺毒軟件必須安裝，因為它起保護作用，起掃蕩作用。手進程或線程帶動的，ProcessExplorer 就不能立即捕捉到，工殺毒的對象是新的頑固的病毒。就需要另外- 款工具Sreng (系統(tǒng)修復(fù)工程師)來完成。3.1手工殺毒的思路如果說ProcessExploer是實時性監(jiān)視體現(xiàn)其功能的話，注冊表是Windows操作系統(tǒng)協(xié)調(diào)各個任務(wù)的紐帶。Sreng則是“以靜制動”的。Sreng是以一種全面掃描的有個別用戶認為，如果熟悉了注冊表就可以解決問題了，方式，可以看到不屬于系統(tǒng)進程的異常進程或線程;對于原因是惡意軟件就是以修改注冊來表達到目的。這是-一種開始裝載的不隸屬于系統(tǒng)的服務(wù)也能立即顯示出來。幻想，因為注冊表的鍵(包括系統(tǒng)的)太多，其作用不可2.2尋找插件病毒能--窮盡:不同任務(wù)有不同的鍵，新的程序會在注冊表插件是為了方便人們使用而設(shè)計的，但是卻像“潘多產(chǎn)生新的鍵，同一個鍵可能涉及到多個任務(wù)，多個鍵同一拉盒子”被打開一樣，成了病毒設(shè)計者很好的武器，而且個任務(wù)也是非常普遍的。總之，通過熟悉注冊表來達到殺這種武器是自由的，種類數(shù)不勝數(shù)-給查詢帶來了許多的毒目的不一定取得好的效果。麻煩。了解系統(tǒng)的調(diào)度過程,當然是必要的。因為只有這樣，有時候計算機很慢，但是任務(wù)管理器、才能知道導(dǎo)致系統(tǒng)異常環(huán) 節(jié)在什么時間發(fā)生的，在何處發(fā)ProcessExplorer等軟件卻發(fā)現(xiàn)不了異常;有時候某個文生的，可能由哪些模塊引起。件刪除了，但過會兒又出現(xiàn)了，但工具軟件又顯示不出。手工殺毒，整體上需要有一種“無為”思想。不管病這種情況可能由插件引起的，而且大部分是惡意插件?，F(xiàn)毒是如何猖獗，只要用戶以自身的不變應(yīng)病毒的萬變，以在有許多工具都帶有安全助手，如超級兔子、瑞星卡卡、堅韌的精神，追查病毒的痕跡，找出最后的頑兇，因為，Sreng等等，可以幫助用戶查找插件。盡管這些助手不能凡發(fā)生必留下痕跡，切不可“知難而退”，重裝操作系統(tǒng)。發(fā)現(xiàn)全部，但用戶可以通過各個助手的交叉工作，來彌補手工殺毒還需要有策略，就是先外圍后內(nèi)部，先易后難，它們各自的不足。先解決影響大的后清除影響小的。2.3利用軟件發(fā)現(xiàn)異常用戶無需知道惡意軟件干了哪些“壞事”， 因為在追以隱藏服務(wù)形式出現(xiàn)的病毒，常常需要用Knlsc 工具查痕跡的過程中，它們的劣跡自然會一一彰顯出來;更無軟件。需知道它們是什么病毒類型，因為病毒劃分標準不同，類有幾個軟件: Filemon, Regmon, ListDlls, .型也不同。手工殺毒關(guān)注的病毒只有靜態(tài)和動態(tài)兩種類型。eXeScop,雖然很小，但是其功能卻不可忽視。Filemon3.2清除病毒是監(jiān)控文件操作的，包括刪除、創(chuàng)建、讀寫等以及文件病毒，有兩個顯著特征:自我復(fù)制，在邏輯上構(gòu)成閉操作由哪個進程發(fā)出的。Remon 是能夠監(jiān)控到注冊表讀環(huán);病毒只有進入系統(tǒng)才能有作為，這是其發(fā)作的根本途寫情況，什么時間由什么進程修改的什么注冊表鍵，都徑。病毒以復(fù)制自身為其生命的首要任務(wù)，而所謂的破壞能--顯示出來， 如添加服務(wù)等。Regmon之所以如此重亦或造成系統(tǒng)的癱瘓、異常的緩慢，實是病毒設(shè)計中比較要，是因為計算機的任何行為都是圍繞著注冊表進行的。次要的部分。殺毒第一步就是阻止它們進入系統(tǒng)，構(gòu)成閉ListDIls 能夠顯示出內(nèi)存中某個DLL被哪個進程調(diào)用的。環(huán)生命鏈條的病毒，肯定不會輕易讓“阻止”成功的。需eXeScope能夠知道某個dlexe.sys文件調(diào)用了哪些進程。要再次強調(diào)的，在實戰(zhàn)中，用戶無需知道病毒的“原理” ,ac,是文件屬性修改器，無論什么文件作什么限制，只需按“痕跡”解決問題。ac都能輕松改變，是真的attribution change.3.2.1不能修改注冊表中國煤化工如某某應(yīng)用不能運3手工殺毒方法行，無JIYHC N M H GisableTaskMgEr)、計算機病毒(包括惡意插件) ,都是malware (英文名，隱藏文件不能顯示(nchidden)等等，基本都是通過修2007.12。計算機安全[87www.nsc.org.cn服務(wù)病毒黑客勇改鍵值來達到目的。但是用戶要修改注冊表鍵值，往往因害是用戶不知道文件夾而執(zhí)行了病毒體。這種病毒行為為病毒感染不能運行相關(guān)的軟件。本不值得奇怪，可是也不知道病毒設(shè)計者有意還是無意注冊表，兵家必爭之地，歷來是病毒設(shè)計者關(guān)注的的一-反 正Program files 文件夾里的explorer文件夾目地方。病毒總是在注冊表中尋找改動小影響大的鍵，如錄變成了執(zhí)行文件explorer .exe,名稱和windows下的exefile, AppInit. _DLLs等。許多exe文件不能執(zhí)行，explorer .exe - -樣，從而造成系統(tǒng)調(diào)用了兩個explorer.com文件可以執(zhí)行，就是exefile被改動了。此時要把exe,普通用戶實在招架不住。這類病毒，因為占住了系regedit. exe改成regedit.com運行，或者用- -些專用工統(tǒng)進程的位置，亦或像soundmix一樣和系統(tǒng)進程捆在一具修改為它的默認值。起，因而一直處于活躍狀態(tài)。對這種‘強勢’ 病毒，用戶許多病毒會修改applications鍵，亦或修改Image在ProcessExplorer里，選中，直接用Del鍵就能終止它File Execution Options (應(yīng)用程序劫持項)，導(dǎo)致執(zhí)行們。如果刪除不掉，說明還有幕后推手在維持著它的生命。文件源頭指向改變。曾經(jīng)有一個文件名為mshta. exe的點擊processexplorer的find,出現(xiàn)了-一個可以尋找幕后病毒，把這里的大部分應(yīng)用都修改了，explorer .exe,者的窗口，鍵入不能刪除的文件名稱，點擊search,就可winword.exe等等。Regedit .exe不能執(zhí)行也許在這里出以知道擁有此文件控制權(quán)的進程。終止父進程或關(guān)閉句柄了問題。只需把regedit. exe文件名稱改成其他的就可以(close handle),繼續(xù)前面的步驟，直到刪除為止。了。3.2.3靜態(tài)病毒的刪除有時候注冊表被禁用，用戶不能修改，也許是因為靜態(tài)病毒危害性比較大。它們的主要特征不在于本身DisableRegistryTools鍵被修改了，用超級兔子等工具直獲得最高權(quán)限導(dǎo)致用戶不能刪除它們，而是埋伏在系統(tǒng)運接修復(fù)就可以。行的某個環(huán)節(jié)處，只要系統(tǒng)的某個進程啟動，病毒就會被3.2.2動態(tài)病毒的去除啟動以便完成它們的“任務(wù)”。所謂動態(tài)病毒，就是一直監(jiān)控著某種行動，在系統(tǒng)一Autorun病毒就屬于靜態(tài)病毒，十分流行的sXS. exe,直處于活躍狀態(tài)的病毒，它常常以獲取系統(tǒng)的控制權(quán)達到就是如此。它利用了用戶喜歡雙擊鼠標的習(xí)慣，引發(fā)了目的。因為活躍，所以在空閑時CPU也被占用，因而通病毒。這種病毒用任何管理很容易就能終止，在硬盤上過工具軟件也很容易發(fā)現(xiàn)它們。也能容易刪除，可是一會兒又出現(xiàn)了。這是因為-一個硬盤Arp病毒，一款典型的動態(tài)病毒，利用網(wǎng)絡(luò)的漏洞，體，一般被劃分為多個邏輯盤，用戶在同-時刻不可能刪不停地攻擊局域網(wǎng)的計算機。因為它不停地掃描，用Arp除所有邏輯盤上的病毒文件，有一個被激活，那么所有盤-a命令就能發(fā)現(xiàn)它所在的計算機。用任務(wù) 管理器查看,體都被復(fù)制病毒了。這種病毒如今也發(fā)展了，修改了各個發(fā)現(xiàn)異常進程nslookupi.exe,鼠標右點此進程，然后盤符的默認打開設(shè)定，只要瀏覽某盤，那么病毒的副本就選擇終止(不能終止用其他工具)就可以了。不能忘記會復(fù)制過來。對于任何盤符打不開,或鼠標右擊盤符出現(xiàn)nslookupi,還有幫兇: wincap.ll, wpcap. dll, packet.auto選項(也包括沒有出現(xiàn)auto項，選擇open項很慢)dlI, wanpacket.dll等， 此時要- -并清除，- -般都是在的，都是一種類型，只需修改注冊表中的mountpoint鍵，windows或windows\system32文件夾里;同時，還需把所有盤的+子項去除，然后清除病毒本體即可。.用msconfig (有時必須用其他工具)去除相關(guān)的啟動項目。瀏覽器插件，apihook 等也是一-種靜態(tài)病毒。 這類病惡意網(wǎng)站，如www . piaoxue . com,也是很典型的動毒用超級兔子或Sreng，可以輕易地去除，因為它們不是態(tài)病毒。用processexplorer查看進程,展開system進程項，以強勢取得控制權(quán)見長，而是以功能體現(xiàn)特性的。有時候發(fā)現(xiàn)system進程還有cpu占用。此時,右擊system進程，這類病毒，在安全模式下，用一個零字節(jié)的相同的文件來選properties,選擇threads,會發(fā)現(xiàn)- 一個或多個名字怪代替，病毒發(fā)展的鏈條也就因為病毒文件沒有“內(nèi)容”就異的活躍線程，即是病毒體。到安全模式下刪除病毒體即這樣斷裂了，加此。潔除病毒的其他環(huán)節(jié)就容易多了。中國煤化工可。3.2有一種病毒，把所有文件夾都變成了執(zhí)行文件，把原TYHCNMH統(tǒng)行的。這類病毒，用來的文件變成隱藏的系統(tǒng)的文件夾。這種障眼法最大的危msconfig可以看到啟動項目異常，但是怎么也修改不了,88計算機競數(shù)據(jù)07.12www.nsGcc.org.cn病毒黑客服務(wù)因為有后臺服務(wù)程序維持著其生命。把文件變成普通的文件:如果不知道隱藏文件的名稱，可惡意網(wǎng)站www. haol23.net, bbs.51. vip. net等以dir /h命令查看。盡量地用ren命令修改名稱，如果就是這類病毒的典型。hao123惡意插件，如果用工具軟確定是病毒體才可用del命令刪除病毒。件進行IE修復(fù)是可以的，也可以正常運行，即用IE時有時候碰到NTFS格式卻沒有ntfspro軟件，或者因hao123脫鉤，但是重新啟動后又出現(xiàn)了，這是因為幕為特殊情況不能看到系統(tǒng)盤，那么用ghost克隆- -個盤映后還存在推手。用ProcessExplorer可以查出system進像文件?；氐絯indows下，用ghost Explorer 可以對映程中存在異常線程:yqjpq、ylkhli, yasght. wvpscy像文件進行任意的操作，刪除映像中病毒文件就如刪除一等，如果用ProcessExplorer掛起這些進程，在系統(tǒng)啟個字符那樣容易。清除病毒后，再克隆回去，這樣系統(tǒng)中動項目上卻不能讓它們脫鉤。hao123的形式是www.就不會有病毒了。ha0123. net/ ?a0X,其中x不同，維持的進程名稱也不- -樣。前述的是a09。如果是a05,維持的進程名稱就4結(jié)語不-樣了，其中. dll, . sys成對的進程名稱有uzpoqy,許多用戶有這樣的疑問:能不能買- -個軟件， 殺死所pzznyh, mxnaii, koocvx, eimfkm, dtylfu, 不成對的有的病毒?退一步，能否保證系統(tǒng)不死機?其實，不可能是wkadoees. dll和ihdu5 .sys。bbs. 51.vip.net工具軟件有“一- -勞永逸"的殺毒軟件。殺毒軟件只是對已經(jīng)出現(xiàn)的、IE修復(fù)干脆不行，其幕后有csa5vi. s7rjng. eqv4s6 等文并已經(jīng)掌握的病毒有作用。病毒和殺毒是相互交錯的，彼件支持。有時候這類病毒沒有任何跡象，如pvsec, CPU此在斗爭中發(fā)展的。殺毒軟件不可能清除所有的尤其是新占用正常，計算機運行就是慢。Pvsec由前臺pvsec .dll的病毒，因為它不知道新病毒的生理特征、生命鏈條;但.和后臺服務(wù)parcls.sys組成。是殺毒軟件隨著對新病毒的了解，會推出新的版本，甚至混合型病毒是非常牢固的組合，即使在安全模式下也會改變殺毒軟件的結(jié)構(gòu)，因為老的監(jiān)控模式可能在新病毒是如此。后者保證前者成為系統(tǒng)的啟動項目;一旦系統(tǒng)啟面前失效了。動，前者又會保證后者以服務(wù)形式出現(xiàn)。這類病毒，工具在用戶手工殺毒時，互聯(lián)網(wǎng)是一個重要的資源。- 一個軟件即使是Sreng也不管用了，因為Sreng設(shè)置服務(wù)不新的病毒痕跡用戶不一定知道其全部信息，可以借助互聯(lián)啟動是重新啟動才能有效，啟動項目又由后臺服務(wù)維持，網(wǎng)尋找到所需的信息。使用互聯(lián)網(wǎng)時，用戶切記不可相信- " 旦重啟，啟動項目又使服務(wù)有效。這類病毒構(gòu)成了嚴格一些網(wǎng)名怪異的小網(wǎng)站:同時盡量用快照的形式分析所需意義上的閉環(huán)，常常是system級的進程調(diào)用，以服務(wù)形的信息，不要輕易地下載文件資料。式出現(xiàn)，軟件工具可以看到，卻不能刪除。因此，多種工未來病毒發(fā)展是難以預(yù)料的，但是，“狐貍再狡猾,具交叉使用是非常必要的。一般地，服務(wù)可以用sreng,也難:斗好獵手”，新的軟件工具也會相繼出現(xiàn)，因為病毒gmer終止服務(wù); processexplorer 等工具終止進程，超級無非是利用了系統(tǒng)存在的技術(shù)一這本是人類所共享的，兔子等工具修改啟動項目，維護注冊表。有時候，看上去殺毒工具也同樣會利用這些技術(shù)排除相應(yīng)的惡意軟件。圖功能單- -的工具能起大作用，如unlocker,其他工具不能清除的，不-定它不能清除。參考文獻:3.3 DOS下殺毒[1] 劉尊權(quán)，計算機病毒防范與信息對抗技術(shù)。清華大學(xué)出有時，因為太“ 強勢”(包括暫時還找不到刪除方法版社,1991.的),如維持www . 8749.com的lcpc.dl,使用了各種方法,[2] http://www. jdepuy. net/ ?action- -viewthread- -tid- -24372.用完了各種工具,就是不能清除,這就要用到DOS系統(tǒng)下，[3] http://www. 712100. com/bbs/read-htm- tid- 6736868.刪除它們。在DOS下，一切文件都是可以操作的，這是html.殺毒的“殺手锏”。[4] htp://log. ustc. edu . c/arcives/00 _04 .html.如果因為系統(tǒng)盤是NTFS格式，運行ntfspro. exe,[5] ht中國煤化Ihtarget. com. cn/windows系統(tǒng)盤就會變成-一個DOS下的普通邏輯盤。在.tips/26HCNMHGDOS下，會碰到隱藏系統(tǒng)文件，用attrib-s-h-r收稿日期:2007-08-04200712計算機安全189www.nsc.org.cn