Windows教你如何手工查毒文档格式.docx
- 文档编号:21646539
- 上传时间:2023-01-31
- 格式:DOCX
- 页数:16
- 大小:23.65KB
Windows教你如何手工查毒文档格式.docx
《Windows教你如何手工查毒文档格式.docx》由会员分享,可在线阅读,更多相关《Windows教你如何手工查毒文档格式.docx(16页珍藏版)》请在冰豆网上搜索。
gt;
[N/A](相当于win.ini文件)
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]
shell&
Explorer.exe&
[(Verified)MicrosoftWindowsPublisher]
Userinit&
C:
\WINDOWS\system32\userinit.exe,&
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
AppInit_DLLs&
[N/A]二启动文件夹
\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动
然后服务/驱动
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
三其他
win.ini(%systemroot%\win.ini)
system.ini(%systemroot%\system.ini)
Autoexec.bat(%systemroot%\autoexec
.bat)
autorun.inf
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions](映像劫持)
HOSTS
WINSOCK
APIHOOK
说明:
Windows利用扩展名为.INI的文件保存Windows及其应用程序的初始化信息。
Windows的两个最重要的INI文
件是WIN.INI和SYSTEM.INI,WIN.INI控制Windows用户窗口环境的概貌(如窗口边界宽度、系统字体等),而
SYSTEM.INI包含整个系统的信息(如显示卡驱动程序等),是存放Windows启动时所需要的重要配置信息的文件,
相当于DOS中的CONFIG.SYS
再则我们来讲讲病毒所在的避风港也就是说病毒,木马,流氓软件(以下简称为VTH)一般藏身何处?
病毒,木马,流氓软件本质是什么?
VTH的本质就一些特殊的程序代码,除此之外没别的。
他总是以文件的形式存在。
当然,有人说现在新型病毒有
内存病毒,但此种病毒重起计算机后就可杀掉,所以不在本教程讨论之列。
既然VTH总是以文件的形式存在,那么
我们处理VTH的核心问题就是删掉那些文件,并用正常文件修复一些受损文件,此外,处理那些文件在计算机里留
下的一些痕迹。
安全避风港之一
%systemroot%,%systemroot%\system32,%systemroot%\system,
(%systemroot%:
指系统根目录。
比如系统在C盘,则windowsxp,windows98,windows2003指c:
\windows,
windows2000指c:
\winnt)
这个地方是大多数VTH首选避风港。
这里面存放在大量的系统文件,普通电脑用户,根本无法确切知道该目录下文
件每天的变化情况。
新型VTH会将自己变成dll文件,并以dll的形式存在。
这个文件形式,是最好的保护伞。
windows
系统庞大的系统架构,都是依靠这些数量众多的dll文件支撑其正常运转。
一个dll文件的损坏或丢失,轻则系统频频
报错,重则系统垮掉,根本无法启动。
这给这种文件形式披上了一层神秘的面纱。
VTH用它作护身符,再合适不过
了。
另外,最新型的VTH开始借用系统正常进程(比如rundll32.exe)调用,使其运行,从而成功了逃避了杀毒软件的
查杀。
安全避风港之二
临时目录
1.系统临时目录
这里也常是VTH经常的栖息之所,这里是众多程序临时的加工厂,选择这里栖息,便于感染其它程序文件,并且在
这里启动也非常方便。
2.用户临时目录
(这些是隐藏文件,得这样子
此主题相关图片如下:
才能看到。
)
\DocumentsandSettings\LocalService\LocalSettings\Temp
\DocumentsandSettings\Administrator\LocalSettings\Temp
\DocumentsandSettings\Administrator\Templates
....
诸如此类的目录,也是VTH的常见住所。
3.网页浏览时存放文件的临时目录
安全避风港之三
网页下载控件临时存
放目录
%systemroot%\DownloadedProgramFiles
这个目录是流氓软件“强奸”你电脑的必经之所,请注意随时检查的。
更重要的是,我偷心小帅哥要告诫你,到
安全模式并用命令行方式去查看它吧,,找到有些多余的东西,请删掉它。
。
这里不是正常程序该呆的地方。
安全避风港之四
一般应用程序的安装目录
\ProgramFiles
这个要看你的系统安装在哪个盘,默认为C盘
该目存放着系统默认安装路径下的一些应用程序,木马和流氓软件也会藏在其中.特别是用户将众多的软件安装你的计
算机时,而又没有转换目录.那么该目录里藏木马和流氓软件就在合适不过了.软件安装得越多,,检查起来就越复杂.这
就要求你平时注意更改程序的安装目录,便于出了问题能检查你电脑里相应的目录.
1.木马
进程这个东西听说过吗?
不晓得,就请你高台贵手,按下ctrl+alt+del
三个键吧,,点“进程”选项卡,你会看到如下情况:
这里就是系统目前运行的一些进程。
据我目前所知,还没听说过木马之类的不是以进程的形式运行。
你得学会弄懂
正常情况下,系统必备的进程有哪些,这个只能靠经验不断累积了。
一旦发现值得怀疑的进程,请用纸和笔记下它。
用baidu和google查一下,这个是最好的工具,比任何查杀毒软件都
高明得多。
若是病毒,网上肯定有人留下线索,若是正常进程,也一定会有高人说明的。
2.病毒
病毒一般可能破坏了系统里正常的数据文件,这个很容易知道。
特别是点击某些文件或运行某些程序异常时,你有
理由怀疑你的电脑中招了。
病毒并不可怕,怕的是他和木马常常绕在一起作怪,并不断破坏你的系统里的数据,
这个才是要注意的。
3.流氓软件
流氓安装一般是通过网页浏览器自动下载安装到你的机子的,特别在你的IE安全级别很低或防范意识很弱的时侯,
他就悄悄闯入了你的电脑,并迅速在系统各个层面留下痕迹。
不过也不是无迹可寻。
任一IE自动下载安装的程序,都会首先被%systemroot%\setupapi.log文件记录诎浮5蹦悴檎襂E安装了一个控件
时,请立即打开该文件查看该控件一共有几个文件进入了你的系统,以便清理时能注意到。
%systemroot%\DownloadedProgramFiles这个目录是IE控件下载并进入你的电脑必经之所,当你不小心安装了某
控件时,请检查该目录。
最好是到安全模式下用命令行方式查看。
检查流氓软件的第二个地方就是注册表了。
请留心你的注册表以下地方:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Extensions]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Intern
etExplorer\ActiveXCompatibility]
前一个是IE扩展组件注册的地方(IE工具栏多出的东西,在这可以找到),后一个就是ActiveX方式注册成IE组件的地
方。
才说着,就发现俺的IE工具栏也多了两个东西:
另外,流氓软件可能还会在系统注册表其它地方注册,这时你就要留心它的那个clsid了。
比如:
classid=&
quot;
clsid:
F935DC22-1CF0-11D0-ADB9-00C04FD58A0B&
这里是在网页里加载该控件的起码条件,所以你要杀干净该流氓软件,得先找到这个clsid,,然来据此找注册表,
清除一切与之相关项。
有关细节,下面教程将会详谈。
IE多出来的工具条(HEKY_LOCAL_MACHINE/SOFTWARE/Mircrosoft/InternetExplorer/ToolBar),以及网页里多
出的右键菜单(HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt),一般也认为是流氓软
件。
这个在注册表相应的键项里可以找出来
最新病毒木马流氓软件的追踪技术
追踪秘籍一:
屠龙宝刀,windows任务管理器(命令行行式:
tasklist高手用:
tasklist/m)
大部分手工查杀毒高手,发现电脑有问题,首先看的就是他了。
一旦有问题,一般在这里面可以找到问题的所
在。
任务管理器中的进程信息,会详细的反映出系统目录运行有哪些进程,进程占用内存大小,以及该进程加载了哪
些动态键接库(tasklist/m)。
具体可参看:
当你一旦有怀疑的进程,,请迅速果断的baidu或google一下,,也可以直接搜索到该文件,查看该文件的最后修改
时间。
这个一般比较准确。
俺有一次发现一个explorer.exe文件最后修改时间为2006年1月6日,,不用这说,,该文
件肯定有问题。
追踪秘籍二:
如影随形,与启动相关的项目
一、当前用户专有的启动文件夹
这是许多应用软件自动启动的常用位置,Windows自动启动放入该文件夹的所有快捷方式。
用户启动文件夹一
般在:
\DocumentsandSettings\&
用户名字&
\「开始」菜单\程序\启动,其中“&
”是当前登录的用户帐
户名称。
二、对所有用户有效的启动文件夹
这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登录系统,放入该文件夹的快捷方式总是自动
启动——这是它与用户专有的启动文件夹的区别所在。
该文件夹一般在:
\DocumentsandSettings\AllUsers\「开
始」菜单\程序\启动。
三、Load注册键
介绍该注册键的资料不多,实际上它也能够自动启动程序。
位置
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。
四、Userinit注册键
位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogo
n\Userinit。
这里
也能够使系统启动时自动初始化程序。
通常该注册键下面有一个userinit.exe,一但这个键允许指定用逗号分隔的多
个程序,例如“userinit.exe,OSA.exe”(不含引号)。
五、Explorer\Run注册键
和load、Userinit不同,Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体
位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。
六、RunServicesOnce注册键
RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程
序。
RunServicesOnce注册键的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce,和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。
七、RunServices注册键
RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行,但两者都在用户登录之前。
RunServices的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices,和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices。
八、RunOnce\Setup注册键
RunOnce\Setup指定了用户登录之后运行的程序,它的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup,和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup。
九、RunOnce注册键
安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。
HKEY_LOCAL_MACHINE下面
的RunOnce键会在用户登录之后立即运行程序,运行时机在其他Run键指定的程序之前。
HKEY_CURRENT_USER
下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。
如果是XP,你还需要检查一下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx。
十、Run注册键
Run是自动运行程序最常用的注册键,位置在:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。
HKEY_CURRENT_USER下面的
Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在处理“启动”文件夹之前。
十一、与启动相关的几个文件
查看
\autoexec.bat
\%systemroot%\system.ini
c:
\winnt.ini
\%systemroot\winstart.bat
\%systemroot%\wininit.ini
等文件。
发现有可疑程序只须在程序前面加个&
;
将这个语句注释起来
在XP下。
可以运行msconfig查看。
system.iniwin.ini可以不加载。
追踪秘籍三:
暗渡陈仓,与系统服务相
关的项目
请在“开始”--“运行”里输入
services.msc/s
你会看到如下情况:
哪些是系统服务呢?
哪些是非法注册的系统服务呢?
网上的资料多多的是,会对系统的每一种服务有详细讲解,而那些伪装成系统服务的木马之类东西,有经验的老鸟
一眼就能瞧出。
这就得靠你下点功夫,去学习下系统的一些常规服务吧。
最简单的方式,你可以点击该服务,看看
是以什么进程形式在运行着。
上图服务用系统正常进程运行,有理由认为他是系统正常服务。
不放心的话,还可以看看该进程文件的最后修改时
间。
追踪秘籍四:
直捣黄龙,几个相关的目录
前文已经提过,这里有必要再强调下,几个木马病毒和流氓软件常驻目录如下:
临时目录(1.系统临时目录2.用户临时目录3.网页浏览时存放文件的临时目录)
查看目录和文件,最好用以下方式:
很清楚显示出文件的创建时间和最后修改时间,有病毒木马流氓软件之类的话,也能很快被发现。
追踪秘籍五:
万剑归宗,查找注册表
一旦发现可疑的程序,请迅速搜索注册表,查找相关的一些键值,键项,收集该可程序的一切信息。
彻底清除它
时,就用这些信息作为基础。
追踪秘籍六:
系统百晓生,事件查看器
在“运行”里输入
eventvwr.msc/s
即可调出事件查看器。
正常情况下,事件查看器会记录系统程序的运行状况。
当一个软件安装完成后,也会在系统
日志里留下蛛丝马迹,请时时看看它。
它也算得上是系统的百晓生吧。
系统的风吹草动,多少会在那里留下点什么。
追踪秘籍七:
网络百晓生,netstat命令
时时使用netstat-an命令,看看你的机子开了哪些端口,与网络相关的木马程序通常会打开一些特殊的端口供监
听。
用netstat-ao可以查看端口对应的进程PID,对应任务管理器,就能知道是什么程序运行监听该端口了。
一旦发现
系统开了一个你所不熟悉的端口,应马上警觉起来,很可能就是一个木马哟!
~~
追踪秘籍八:
东方不败,搜索引擎(baidu,google等)
为了全面的了解你发现的可疑点,在你还能上网的情况下,你有个百战百胜的妙法,就是利用搜索引擎.互联网络
有着丰富的资源,也许你发现的程序只是一个很普遍的木马或病毒或流氓软件,网上已经提供了N种手工清除方法,
为什么不试试看呢?
若你发现的是一个网上找不到的东西,那我要祝贺你,说不定你是该种新型木马或病毒
的首位
发现者哟!
最新病毒,木马,流氓软件手工查杀技巧
实例1:
stdup.dll与stdsver.dll
中招症状:
网页打开奇慢,系统就象死机了一样
进程信息:
有两个rundll32.exe调用的进程信息,但确看不到后面调用的是什么(太长,进程信息里显示不完全.),用其它进
程查看软件(NortonProcessViewer),可以看到它分别调用了stdup.dll与stdsver.dll两个动态库,
系统服务:
在系统服务管理器里,可以看到多出一个stdservice的服务.
手工处理过程:
1.终止以上两个进程,在系统服务管理器禁止掉stdservice服务.
2.查找以上两个文件,并删除.(靠!
stdup.dll删不掉!
),,,stdup.dll有点麻烦,可以到系统安全模式下将之删除.也可以使用
\WINDOWS\system32\rundll32.exeC:
\WINDOWS\SYSTEM32\stdup.dll,Uninstall
命令删除.
另外,也可先使用命令&
regsvr32/ustdup.dll&
卸载,,再删除.
3.删掉C:
\WINDOWS\system32\stdcache\整个目录
4.进入安全模式下,用命令行方式查看%systemroot%DownloadedProgramFiles目下有无剩余文件,有则全部删
掉.
5.查找&
stdup.dll,stdsver.dll,stdup,stdservice&
在注册表里的所有相关项目,并注意他们的注册CLSID,,将之一一删
除.
6.查找有他们注册的CLSID(一长串16进制的字符串)的相关地方,也一一清除.
手工处理总结:
该病毒使用rundll32.exe调用两个运态库达到自身过行的目的,并注册系统服务名为stdservice,用现有的查杀毒软
件,很难将它清理干净.
实例2:
hbhelper.dll和tbhelper.dll
病毒特征:
流氓软件
\ProgramFiles目录下多一个目录名为HBClient,目录内有两个文件,分别为hbhelper.dll和tb
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows 如何 手工