手工查杀病毒经验谈-by蓝色寒冰
[color=#0000ff]本文转自:[url=http://hi.baidu.com/virussos/blog/item/86069f58aa1c8980810a184d.html]http://hi.baidu.com/virussos/blog/item/86069f58aa1c8980810a184d.html[/url][/color][color=#0000ff]经常在论坛看到不少关于中毒求助的帖子,在此寒冰也尽自己所知道,所掌握的知识,参考了些资料,做一个病毒的查杀实战贴,希望有一定基础的朋友可以通过学习掌握一定的查杀知识和技能,""更欢迎各大论坛的朋友们提出意见和补充,好让更多人因为学习而受益啊.""
[/color]个人认为病毒无非是:病毒文件、注册表、启动项、服务四大块,既然如此,只要把这四方面都干掉了也就差不多了; 本次寒冰通过一次实战经历,把查杀病毒会出现的问题尽可能涉及,所以以下查杀部分不全部代表该病毒的情况,只是为了做一说明而添加必要的假设,希望本帖真的可以帮到经常被病毒困扰的朋友们。
本帖一共分四部分,分别为:
[size=5][color=#ff0000][size=3][color=#ffcc00]第一部分:工具篇(随兵出征)
第二部分:查毒篇(请君入瓮)
第三部分:杀毒篇(初战告捷)
第四部分:修复篇(打完收工)[/color][/size][/color] [/size]
[size=5][color=#ff0000]第一部分:工具篇[/color][/size]
工欲善其事必先利其器,手动查杀并不是徒手而来,当然要借助些工具,好的工具可以帮助你快速找到解决的方案与窍门当然要借助些工具:
[color=#0000ff]一、扫描日志工具:[/color]
当你去到一部中毒的机子,是不是会对如何下手有点茫然呢?那样,不管3721,扫描一份报告看看有何不妥先,而在报告总,系统的启动项目,进程,驱动和服务一目了然,多少可以重装发现一些蛛丝马迹,而寒冰也是习惯从这个步骤开始的. 至于寒冰推荐的扫描日志扫描当属hijackthis和SREng,尤其是后者,最近360的报告好像也挺热火的,可能是个人使用习惯吧,寒冰感觉他是介乎于两者之间,没有Sreng那么强大的dll数据,也没有hijackthis般的修复功能,虽然有颜色可以一目了然,可是排列却有点乱,有待改善啊,所以,如果你还没用过使用报告,寒冰首推SRENG这款软件,现在新的2.3版本已经出来了,具体更新的内容可以去寒冰的百度空间查看
[color=#0000ff]二、进程服务工具:[/color]
没有病毒会选择沉默,病毒的特性决定他不会一直闲着,而活动,必然会在系统留下蛛丝马迹,可是,系统自带的资源管理器在现在病毒面前却显得如此软弱,因此,请进助手自然势在必行,常用的进程分析当属Icesword和Process Explorer
[color=#0000ff]三、删除工具:[/color]
相信跟电脑相处多了的人,总会遇见过“文件正在被另一个人或程序使用,无法删除”诸如此类的警告,而正常文件尚且如此,病毒更是猖狂,一个具备完好自我保护体系的病毒单单的资源管理器无法结束其进程,更不用说删除他了,发现了病毒却不能删除,郁闷 也许有人会建议进入安全模式进行查杀,没错,的确可以,可是,太麻烦了,而且,安全模式下又不利于我们发现病毒的同伙,最好的状态还是在“病毒进行时”,因此,一款在正常模式下可以正常删除任意文件的工具就这样应运而生了,常用且有效的有:killbox、Icesword和unlocker,其中Icesword当属得力助手(当然,有时候他也无能为力,只能多试几个好工具)
[size=5][color=red]第二部分:查毒篇[/color] [/size]
隐蔽性是病毒的一大特性,可是再隐蔽,他也总要让他自身运行的,而保证的途径必然会使他在系统留下蛛丝马迹,因此了解病毒的自启动方式对于进一步发现病毒的蛛丝马迹很有帮助,具体常见的宝地有:
[color=#0000ff]一、启动项目留迹[/color]
[color=#ff0000]1.内置到注册表启动项目中[/color]
注册表是病毒最喜欢隐藏的地方,既没有人能找到它,又能自动运行,真是快哉!的确注册表由于比较复杂,木马常常喜欢藏在这里快活常见的键值有:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;
HKEY-USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
[color=#ff0000]2、隐形于启动组中[/color]
有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。
动组对应的文件夹为:C:\windows\start menu\programs\startup,
在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
[color=#ff0000]3、捆绑在启动文件中
[/color] 即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
[color=#ff0000]4、潜伏在Win.ini中[/color]
木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe
这时你就要小心了,这个file.exe很可能是木马哦。
[color=#ff0000]5、在System.ini中藏身[/color]
木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
[color=#ff0000]6、隐蔽在Winstart.bat中[/color]
按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
[color=#ff0000]7、集成到程序中
[/color] 为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。 (高招)
[color=#ff0000]8、隐藏在配置文件中[/color]
木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。 (这种方式现在好像没那么流行了)
明白了系统的藏身之处,我们就有思绪把他找出来了,当使用sreng查看其启动项目时,自动弹出了相应警告,提示load,shell,和Userinit等值被修改,所以,首先用Sreng扫描一份报告如下:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
[N/A]
[(Verified)Microsoft Corporation]
从中可以看出,病毒为了实现启动,分别在load,shell,和Userinit等进行了窜改,其中Userinit的EXPLORER.EXE还假装了(Verified)Microsoft Corporation的标识,具备很大诱惑性。
比如之前大名顶顶的熊猫烧香,就是通过userinit.exe加载病毒程序C:WINDOWS\system32\SVCH0ST.exe实现开机启动,如果发现了这一项目,相信你的硬盘数据就危险了
[color=#0000ff]二、运行系统留迹[/color]
病毒要运行,自然会有进程,可是,庆幸的是某个病毒的进程还算是统一的(除非变种了),而初级的病毒通过资源管理器可以立马做出判断(前提你应该认识系统进程和常用软件进程),再通过相应的工具辅组就可以找到他的相对路径,也许有人抱怨资源管理器连路径都无法提供,太无能了,就去找那个lohorn版本的装上,其实,只需要一个命令就可以找出来进程的文件路径,方法如下:
开始-运行-msinfo32,切换到软件,就可以看到了
然而,现在很多病毒已经实现了进程隐藏,单靠系统的资源管理器是无法查看到的,因此,加强型的进程查看自然应运而生,有人推荐了PE了,的确是很强,可是,为了尽量减少我们使用的工具,还是用Icesword(个人习惯,呵呵),,点击进程,如果可以看到红色的进程你就得小心了,同时,多注意一下进程的图标,比如之前的sxs就一目了然了,是柯南,而这次,本来lasaa,winlogon等进程是系统进程,在这里却是文件夹图标,十分可疑,而且看路径,呵呵,又被发现了,这是病毒了,icesword把痕迹扫描出来了
[img]http://bbs.ylmf.com/attachment/Day_070105/75_112814_323b4299b2cfb21.jpg[/img]
[color=#0000ff]三.SSM监控留迹[/color]
相信SSM由于nslog的一篇文章很多人都认识了,[/size][url=http://bbs.ylmf.com/read.php?tid=136666&u=112814][size=2][color=#2f5fa1]http://bbs.ylmf.com/read.php?tid=136666&u=112814[/color][/size][/url][size=2],在此不是讨论其他的功能,只是提供一个间接查毒的方案:
在此开机设置其自动启动,然后通过开机启动的进程也不愧为发现同党的一个好办法,如图,乖乖泄密了,呵呵[/size]
[img]http://bbs.ylmf.com/attachment/Day_070105/75_112814_87a8d3b42dfae5d.jpg[/img]
[color=#ff0000][size=5]第三部分:杀毒篇[/size]
[size=2]既然在上面发现了病毒及其痕迹,现在自然就是动手操作了,杀毒也是最简单的一个步骤,操作无非就是删除文件,结束服务,删除驱动保护,而想做到这些,相信徒手是不可能做到的,具体还是要请好的工具当助手
从软件界面看发现以下提示:
[img]http://bbs.ylmf.com/attachment/Day_070105/75_112814_744cbd0eb38239b.jpg[/img]
[img]http://bbs.ylmf.com/attachment/Day_070105/75_112814_6f11edfb1e86792.jpg[/img]
[img]http://bbs.ylmf.com/attachment/Day_070105/75_112814_2bc4112e712c40f.jpg[/img]
[img]http://bbs.ylmf.com/attachment/Day_070105/75_112814_62afb4d27f9bed8.jpg[/img]
从上面发现得,我们自然要从启动项目得病毒先清理,首先是最关键的load,shell,和Userinit,相应的日志是:
[/size][size=2][color=#0000ff][HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
[N/A]
[(Verified)Microsoft Corporation][/color]
其次,启动文件夹(这个可以在程序-启动看到):
[/size][size=2][color=#0000ff][Empty]
[N/A]>[/color]
最后,其他启动项目:
[/size][size=2][color=#0000ff][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[Microsoft Corporation]
[Microsoft Corporation]
[N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[N/A][/color]
从中我们知道病毒文件有:
[/size][size=2][color=#0000ff]C:\windows\system32\wincfgs.exe
C:\WINDOWS\eksplorasi.exe
EXPLORER.EXE[/color](位置未知)
[color=#0000ff]Empty.pif[/color](该病毒后来竟然在c盘明目张胆的出现,也没有隐藏,呵呵,好大胆阿)
[/size][size=2][color=#0000ff]wsctf.exe
C:\Documents and Settings\茅屋\Local Settings\Application Data\smss.exe
C:\WINDOWS\ShellNew\sempalong.exe[/color]
然后,我们通过icesword查看系统进程,看看,发现什么了?
[img]http://bbs.ylmf.com/attachment/Day_070105/75_112814_323b4299b2cfb21.jpg[/img]
没错了,看到很奇怪的东西吧?
系统的进程lasaa.exe,winlogon等都是文件夹图标?看他们的位置,呵呵,全部是同个文件夹,还
知道了病毒,就应该进行杀除了,可是病毒也不是吃斋的和尚,单凭简单的del是无法达到目的的,因此,借助辅组工具自然也是必要的,常用的有killbox、Icesword和unlocker[/size]
[size=2][/size]
[size=5][color=red]第四部分:修复篇[/color][/size]
[img]http://bbs.ylmf.com/attachment/Day_070108/75_112814_5a886e0a64414ae.bmp[/img]
[size=2]
[img]http://bbs.ylmf.com/attachment/Day_070108/75_112814_9b2a5f61bb0e08e.bmp[/img]
扫干净病毒,自然要对战场进行清理,病毒为了保护自己,自然对电脑环境中不利于自己的设置进行修改,诸如以上的一些工具被禁用和注册表被锁定的提示一点也不新鲜.
各位应该还记得寒冰在SXS.exe病毒时说过该病毒就是通过修改注册表实现隐藏文件无法查看从而让自己不被发现,而这次寒冰碰上的病毒似乎更厉高明一些,她把系统的“文件夹选项”隐藏了,呵呵,所以,清理病毒后如果不对系统进行必要的修复,相信没有哪一个MM认为你已经把问题解决了,一般的系统被破坏的痕迹包括一下几分面(以下修复建议在查杀完之后再进行,因为病毒运行本身会检测这些项目是否被修正,而且如果有人发现这些修复的方法都无须,更改后马上又被窜改,那就要考虑是不是毒还没清理干净了):
[color=#0000ff]1.禁用注册表
2.隐藏“文件夹选项”
3.禁用组策略
4.窜改文件关联
5.启动项目残留(如果开机后提示"**无法找到",就是启动项目未清理的缘故)
[/color]
具体的修复建议还是通过小工具去实现,毕竟很多项目需要查找注册表对于后续工具也麻烦了一些,在此推荐几个工具,由于百度空间无法上传,已经发到寒冰的优盘了(地址[url=http://free.ys168.com/?readon99][color=#2f5fa1]http://free.ys168.com/?readon99[/color][/url]),相应目录是:网络安全系列--系统修复系列,其他的修复可以通过相应的介绍使用
而且提醒一点,像寒冰差毒过程中曾经插进了u盘,这时候你应该考虑是不是存在被感染的可能性,像寒冰的u盘,查看后发现多了一个anturun.inf和以用户名命名的文件夹,鉴于此,的确可疑,双击运行后,ssm报警了,的确,就是残留物,如果你不删除,下次插入u盘,相信你又得再把工作重新来一遍了,呵呵
[color=#ff0000]总结:[/color]
好了,终于把这篇文章写完了,寒冰费了一个多星期,又赶上期末考试,本来想涉及更多内容的,可是时间实在是没有办法了,师姐也不允许话费时间太多在文章上,就只能这样发表了,不过一有时间本人一定及时补充更多资料上去,同时,在此希望各位好好学习一些病毒的查杀知识,寒冰基本已经把本人所知道,所了解的知识都包括在内了,[u]在此也期盼更多的高手,大虾们补充更多想法和秘笈,提出更多意见,期待各位畅言!!!不甚感激!!!
[/u]同时也劝说一句,最近流行的病毒破坏力都不弱,尤其是威金,可以感染系统的所有exe文件和gho文件,就算你用以上的方法把病毒清理了,可是最后一步的修复却是难度十分困难,因此,如果不是特别懂,建议还是各位乖乖的装个杀软免得费时,而且有些杀软也可以帮你百分百还原文件原貌啊(不过有一些杀软竟然直接删除了事,BS一下)
同时对于杀软,我想没有必要崇洋媚外,不是说人家技术不行,只是有时候也要考虑国情,最近的病毒都有本地化的感觉,而且,江民可以搜集到185个威金的变种,而卡吧呢?也许对于国内的病毒,技术不是关键,更多的,是对新病毒尤其是本地病毒的反应啊,当然,纯属个人意见,奉劝给那些老是看不起发展中的国产软件的人,也给更多人一个客观的认识.
[color=#ff0000]最后祝愿各位网络遨游愉快,共同维护网络安全!!![/color][/color] 学习了,没人顶我顶 感谢楼主分享! 你是高手,向你学习了,谢谢! 不容不顶 好东西 支持一下 真的得学学了. 学习一下,应该十分有用 相当要顶 不错,,内容很实用 感谢楼主分享,很实用:victory: 不错的文章,已学习,感谢楼主。:handshake :victory: 这么好的帖子,一定要顶下~
回复 #1 eric83326 的帖子
顶起。。。要求版主为其加精。。。 强大啊,要顶的,要收藏的 讲的全面呵呵 :handshake :handshake 感谢楼主分享! 十分有用。此贴应加精 驱动启动的那 一快能在说详细点不
呵呵
很好的贴
谢谢了
