电脑2

来源:百度文库 编辑:神马文学网 时间:2024/03/29 19:32:48

文字版注册登录
论坛
插件
宠物中心
导航
九月论坛 »电脑交流 » 杀毒技巧集合
发新话题
发布投票
发布悬赏
发布辩论
发布活动
发布视频
发布商品
发短消息加为好友
qqq1500 当前离线
嘎嘎
UID
289663
帖子
736
精华
0
积分
801
威望
170 点
通宝
138 元
支持度
20 点
阅读权限
40
在线时间
557 小时
注册时间
2007-2-14
最后登录
2009-5-19


小学生

楼主打印 字体大小: tT
发表于 2008-6-24 17:08 |只看该作者
[硬件知识] 杀毒技巧集合
不要点上面的网站 因为我转载的不知道安不安全
杀毒技巧集合
转载的, 没排版,自己看着吧
1楼:常见病毒、木马进程速查表
2楼:清除“顽固不化”病毒进程的小技巧
3楼:杀毒攻略:清除无法显示隐藏文件的病毒
4楼:系统安全之利用操作系统自带命令杀毒
5楼:巧妙利用Hosts文件防止QQ病毒的侵害
6楼:教你手工剿灭QQ广告弹出木马
7楼:文件对比查杀嵌入式木马
8楼:网页木马深度剖析以及手工清除
9楼:RM,WMV木马的防御方法
10楼:WSYSCHECK 反黑重型武器的使用方法
11楼:教你如何找到线程插入式木马
12楼:电脑中毒后的一些表现及其中毒诊断
13楼:发现病毒时提示“清除失败”,怎么办?
14楼:老话新说:iexplore.exe是进程还是病毒
15楼:杀毒攻略:清除无法显示隐藏文件的病毒
16楼:看我妙招清除“顽固不化”病毒进程
17楼:用autoruns揪出流氓软件的驱动保护
18楼:未知蠕虫分析与解决方案
19楼:驱动木马覆灭记
20楼:使用安全重启来删除 Hxdef 后门
21楼:SREng的下载及使用方法
涔涔 发表于 2007-10-20 18:29
【知识】常见病毒、木马进程速查表
关键字:病毒 木马 进程 速查表
【导读】本文含概了windows几乎所有常见的病毒、木马的进程名程,检查你的系统进程,看看是否中招。
exe → BF Evolution      Mbbmanager.exe → 聪明基因
_.exe → Tryit        Mdm.exe → Doly 1.6-1.7
Aboutagirl.exe → 初恋情人    Microsoft.exe → 传奇密码使者
Absr.exe → Backdoor.Autoupder   Mmc.exe → 尼姆达病毒
Aplica32.exe → 将死者病毒    Mprdll.exe → Bla
Avconsol.exe → 将死者病毒     Msabel32.exe → Cain and Abel
Avp.exe → 将死者病毒      Msblast.exe → 冲击波病毒
Avp32.exe → 将死者病毒     Mschv.exe → Control
Avpcc.exe → 将死者病毒     Msgsrv36.exe → Coma
Avpm.exe → 将死者病毒      Msgsvc.exe → **
Avserve.exe → 震荡波病毒     Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 恶鹰蠕虫病毒    Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta   Msstart.exe → Backdoor.livup
Cfiadmin.exe → 将死者病毒    Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 将死者病毒    Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 将死者病毒    Netspy.exe → 网络精灵
Checkdll.exe → 网络公牛     Notpa.exe → Backdoor
Cmctl32.exe → Back Construction  Odbc.exe → Telecommando
Command.exe → AOL Trojan     Pcfwallicon.exe → 将死者病毒
Diagcfg.exe → 广外女生     Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher     Pw32.exe → 将死者病毒
Dllclient.exe → Bobo      Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒     Regscan.exe → 波特后门变种
Esafe.exe → 将死者病毒     Tftp.exe → 尼姆达病毒
Expiorer.exe → Acid Battery    Thing.exe → Thing
Feweb.exe → 将死者病毒     User.exe → Schwindler
Flcss.exe → Funlove病毒     Vp32.exe → 将死者病毒
Frw.exe → 将死者病毒      Vpcc.exe → 将死者病毒
Icload95.exe → 将死者病毒    Vpm.exe → 将死者病毒
Icloadnt.exe → 将死者病毒    Vsecomr.exe → 将死者病毒
Icmon.exe → 将死者病毒     Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 将死者病毒    Service.exe → Trinoo
Iexplore.exe → 恶邮差病毒    Setup.exe → 密码病毒或Xanadu
Rpcsrv.exe → 恶邮差病毒     Sockets.exe → Vampire
Rundll.exe → SCKISS爱情森林    Something.exe → BladeRunner
Rundll32.exe→ 狩猎者病毒     Spfw.exe → 瑞波变种PX
Runouce.exe → 中国黑客病毒    Svchost.exe (线程105) → 蓝色代码
Scanrew.exe → 传奇终结者     Sysedit32.exe → SCKISS爱情森林
Scvhost.exe → 安哥病毒     Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 传奇叛逆      Syshelp.exe → 恶邮差病毒
Internet.exe → 传奇幽灵     Sysprot.exe → Satans Back Door
Internet.exe → 网络神偷     Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 坏透了或冰河    System32.exe → DeepThroat 1.0
Kiss.exe → 传奇天使      Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求职信病毒     Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet     Task_Bar.exe → WebEx
Load.exe → 尼姆达病毒      Taskbar → 密码病毒 Frethem
Lockdown2000.exe → 将死者病毒   Taskmon.exe → 诺维格蠕虫病毒
Taskmon32 → 传奇黑眼睛     Tds2-98.exe → 将死者病毒
Tds2-Nt.exe → 将死者病毒     Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 将死者病毒    Vsstart.exe → 将死者病毒
Vw32.exe → 将死者病毒      Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000     Winfunctions.exe → Dark Shadow
Wingate.exe → 恶邮差病毒     Wink????.exe → 求职信病毒
Winl0g0n.exe → 笑哈哈病毒    Winmgm32.exe → 巨无霸病毒
Winmsg32.exe → Xtcp      Winprot.exe → Chupachbra
Winprotecte.exe → Stealth    Winrpc.exe → 恶邮差病毒
Winrpcsrv.exe → 恶邮差病毒    Winserv.exe → Softwarst
Wubsys.exe → 传奇猎手      Winupdate.exe → Sckiss爱情森林
Winver.exe → Sckiss爱情森林    Winvnc.exe → 恶邮差病毒
Winzip.exe → ShadowPhyre     Wqk.exe → 求职信病毒 常见病毒、木马进程速查表
exe → BF Evolution      Mbbmanager.exe → 聪明基因
_.exe → Tryit        Mdm.exe → Doly 1.6-1.7
Aboutagirl.exe → 初恋情人    Microsoft.exe → 传奇密码使者
Absr.exe → Backdoor.Autoupder   Mmc.exe → 尼姆达病毒
Aplica32.exe → 将死者病毒    Mprdll.exe → Bla
Avconsol.exe → 将死者病毒     Msabel32.exe → Cain and Abel
Avp.exe → 将死者病毒      Msblast.exe → 冲击波病毒
Avp32.exe → 将死者病毒     Mschv.exe → Control
Avpcc.exe → 将死者病毒     Msgsrv36.exe → Coma
Avpm.exe → 将死者病毒      Msgsvc.exe → **
Avserve.exe → 震荡波病毒     Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 恶鹰蠕虫病毒    Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta   Msstart.exe → Backdoor.livup
Cfiadmin.exe → 将死者病毒    Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 将死者病毒    Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 将死者病毒    Netspy.exe → 网络精灵
Checkdll.exe → 网络公牛     Notpa.exe → Backdoor
Cmctl32.exe → Back Construction  Odbc.exe → Telecommando
Command.exe → AOL Trojan     Pcfwallicon.exe → 将死者病毒
Diagcfg.exe → 广外女生     Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher     Pw32.exe → 将死者病毒
Dllclient.exe → Bobo      Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒     Regscan.exe → 波特后门变种
Esafe.exe → 将死者病毒     Tftp.exe → 尼姆达病毒
Expiorer.exe → Acid Battery    Thing.exe → Thing
Feweb.exe → 将死者病毒     User.exe → Schwindler
Flcss.exe → Funlove病毒     Vp32.exe → 将死者病毒
Frw.exe → 将死者病毒      Vpcc.exe → 将死者病毒
Icload95.exe → 将死者病毒    Vpm.exe → 将死者病毒
Icloadnt.exe → 将死者病毒    Vsecomr.exe → 将死者病毒
Icmon.exe → 将死者病毒     Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 将死者病毒    Service.exe → Trinoo
Iexplore.exe → 恶邮差病毒    Setup.exe → 密码病毒或Xanadu
Rpcsrv.exe → 恶邮差病毒     Sockets.exe → Vampire
Rundll.exe → SCKISS爱情森林    Something.exe → BladeRunner
Rundll32.exe→ 狩猎者病毒     Spfw.exe → 瑞波变种PX
Runouce.exe → 中国黑客病毒    Svchost.exe (线程105) → 蓝色代码
Scanrew.exe → 传奇终结者     Sysedit32.exe → SCKISS爱情森林
Scvhost.exe → 安哥病毒     Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 传奇叛逆      Syshelp.exe → 恶邮差病毒
Internet.exe → 传奇幽灵     Sysprot.exe → Satans Back Door
Internet.exe → 网络神偷     Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 坏透了或冰河    System32.exe → DeepThroat 1.0
Kiss.exe → 传奇天使      Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求职信病毒     Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet     Task_Bar.exe → WebEx
Load.exe → 尼姆达病毒      Taskbar → 密码病毒 Frethem
Lockdown2000.exe → 将死者病毒   Taskmon.exe → 诺维格蠕虫病毒
Taskmon32 → 传奇黑眼睛     Tds2-98.exe → 将死者病毒
Tds2-Nt.exe → 将死者病毒     Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 将死者病毒    Vsstart.exe → 将死者病毒
Vw32.exe → 将死者病毒      Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000     Winfunctions.exe → Dark Shadow
Wingate.exe → 恶邮差病毒     Wink????.exe → 求职信病毒
Winl0g0n.exe → 笑哈哈病毒    Winmgm32.exe → 巨无霸病毒
Winmsg32.exe → Xtcp      Winprot.exe → Chupachbra
Winprotecte.exe → Stealth    Winrpc.exe → 恶邮差病毒
Winrpcsrv.exe → 恶邮差病毒    Winserv.exe → Softwarst
Wubsys.exe → 传奇猎手      Winupdate.exe → Sckiss爱情森林
Winver.exe → Sckiss爱情森林    Winvnc.exe → 恶邮差病毒
Winzip.exe → ShadowPhyre     Wqk.exe → 求职信病毒
Wscan.exe → AttackFTP      Xx.Tmp.exe → 尼姆达病毒
Zcn32.exe → Ambush       Zonealarm.exe → 将死者病毒
Wscan.exe → AttackFTP      Xx.Tmp.exe → 尼姆达病毒
Zcn32.exe → Ambush       Zonealarm.exe → 将死者病毒
涔涔 发表于 2007-10-20 18:29
清除“顽固不化”病毒进程的小技巧
阅读提示:笔者在这里为大家提供两则小技巧,以便帮你强行杀死“顽固不化”的病毒进程。
笔者在这里为大家提供两则小技巧,以便帮你强行杀死“顽固不化”的病毒进程。
根据进程名查杀
这种方法是通过WinXP系统下的taskkill命令来实现的,在使用该方法之前,首先需要打开系统的进程列表界面,找到病毒进程所对应的具体进程名。
接着依次单击“开始→运行”命令,在弹出的系统运行框中,运行“cmd”命令;再在DOS命令行中输入“taskkill /im aaa”格式的字符串命令,单击回车键后,顽固的病毒进程“aaa”就被强行杀死了。比方说,要强行杀死“conime.exe”病毒进程,只要在命令提示符下执行
taskkill /im conime.exe
命令,要不了多久,系统就会自动返回结果。
根据进程号查杀
上面的方法,只对部分病毒进程有效,遇到一些更“顽固”的病毒进程,可能就无济于事了。此时你可以通过Win2000以上系统的内置命令——ntsd,来强行杀死一切病毒进程,因为该命令除System进程、SMSS.EXE进程、CSRSS.EXE进程不能“对付”外,基本可以对付其它一切进程。但是在使用该命令杀死病毒进程之前,需要先查找到对应病毒进程的具体进程号。
考虑到系统进程列表界面在默认状态下,是不显示具体进程号的,因此你可以首先打开系统任务管理器窗口,再单击“查看”菜单项下面的“选择列”命令,在弹出的设置框中,将“PID(进程标志符)”选项选中,单击“确定”按钮。返回到系统进程列表页面中后,你就能查看到对应病毒进程的具体PID了。
接着打开系统运行对话框,在其中运行“cmd”命令,在命令提示符状态下输入
ntsd -c q -p PID
命令,就可以强行将指定PID的病毒进程杀死了。例如,发现某个病毒进程的PID为“444”,那么可以执行
ntsd -c q -p 444
命令,来杀死这个病毒进程
涔涔 发表于 2007-10-20 18:29
杀毒攻略:清除无法显示隐藏文件的病毒
阅读提示:选择“显示隐藏文件”这一选项后,发现U盘有个文件闪出来一下就马上又消失了,而再打开文件夹选项时,发现仍就是“不显示隐藏文件”这一选项。而且刚发现点击C、D等盘符图标时会另外打开一个窗口!怎么办?!是不是中毒了?文章将教你如何处理这样的情况。
选择“显示隐藏文件”这一选项后,发现U盘有个文件闪出来一下就马上又消失了,而再打开文件夹选项时,发现仍就是“不显示隐藏文件”这一选项。而且刚发现点击C、D等盘符图标时会另外打开一个窗口!
总结:
I、病情描述:
1、无法显示隐藏文件;
2、点击C、D等盘符图标时会另外打开一个窗口
3、用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个恶心的文件
4、任务管理器中的应用进程一栏里有个莫明其妙的kill
5、开机启动项中有莫明其妙的SocksA.exe
II、解决办法:
用了一些专杀工具和DOS下的批处理文件,都不好使,只好DIY
注意在以下整个过程中不要双击硬盘分区,需要打开时用鼠标右键—>打开
一、关闭病毒进程
再任务管理器应用程序里面查找类似 kil l等你不认识 ,右键—>转到进程,找到类似 SVOHOST.exe(也可能就是某个svchost.exe)的进程,右键—>结束进程树
二、显示出被隐藏的系统文件
开始—>运行—>regedit
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\windows\\CurrentVersion\\explorer\\Advanced\\Folder\\Hidden\\SHOWALL,删除CheckedValue键值,单击右键 新建—>Dword值—>命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
三、删除病毒
在分区盘上单击鼠标右键—>打开,看到每个盘跟目录下有 autorun.inf 和 tel\\.xls\\.exe 两个文件,将其删除。U盘同样
四、删除病毒的自动运行项
开始—>运行—>msconfig—>启动—>,删除类似sacksa.exe、SocksA.exe之类项;
或者打开注册表 运行—>regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
删除类似C:\\WINDOWS\\system32\\SVOHOST.exe 的项
五、删除遗留文件
C:\\WINDOWS\\ 跟 C:\\WINDOWS\\system32\\ 目录下删除
SVOHOST.exe[注意系统有一个类似文件,图标怪异的那个类似excel的图标的是病毒]
session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件,每个文件夹两个,不要误删哦,自己注意
重启电脑后,基本可以了。
涔涔 发表于 2007-10-20 18:30
系统安全之利用操作系统自带命令杀毒
阅读提示:文章列举了一些通用的杀毒方法,你可以自己亲自动手来用系统自带的工具来绞杀各种病毒。具体如何来做,请仔细阅读本文。
上网最恐怖的事莫过于新病毒出来的时候,尽管电脑上我们都装有各种强大的杀毒软件,也配置了定时自动更新病毒库,但病毒总是要先于病毒库的更新的,所以中招的每次都不会是少数,这里列举一些通用的杀毒方法,自己亲自动手来用系统自带的工具绞杀病毒:
一、自己动手前,切记有备无患——用TaskList备份系统进程
新型病毒都学会了用进程来隐藏自己,所以我们最好在系统正常的时候,备份一下电脑的进程列表,当然最好在刚进入Windows时不要运行任何程序的情况下备份,样以后感觉电脑异常的时候可以通过比较进程列表,找出可能是病毒的进程。
在命令提示符下输入:
TaskList /fo:csv>g:zc.csv
上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中,g:为你要保存到的盘,可以用Excel打开该文件。
二、自己动手时,必须火眼金睛——用FC比较进程列表文件
如果感觉电脑异常,或者知道最近有流行病毒,那么就有必要检查一下。
进入命令提示符下,输入下列命令:
TaskList /fo:csv>g:yc.csv
生成一个当前进程的yc.csv文件列表,然后输入:
FC g:\\zccsv g:\\yc.csy
回车后就可以看到前后列表文件的不同了,通过比较发现,电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。
三、进行判断时,切记证据确凿——用Netstat查看开放端口
对这样的可疑进程,如何判断它是否是病毒呢?根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒,可以查看一下端口占有情况。
在命令提示符下输入:
Netstat -a-n-o
参数含义如下:
a:显示所有与该主机建立连接的端口信息
n:显示打开端口进程PID代码
o:以数字格式显示地址和端口信息
回车后就可以看到所有开放端口和外部连接进程,这里一个PID为1756(以此为例)的进程最为可疑,它的状态是“ESTABLISHED”,通过任务管理器可以知道这个进程就是“Winion0n.exe”,通过查看本机运行网络程序,可以判断这是一个非法连接!
连接参数含义如下:
LISTENINC:表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接,只有TCP协议的服务端口才能处于LISTENINC状态。
ESTABLISHED的意思是建立连接。表示两台机器正在通信。TIME-WAIT意思是结束了这次连接。说明端口曾经有过访问,但访问结束了,用于判断是否有外部电脑连接到本机。
四、下手杀毒时,一定要心狠手辣——用NTSD终止进程
虽然知道 “Winion0n.exe”是个非法进程,但是很多病毒的进程无法通过任务管理器终止,怎么办?
在命令提示符下输入下列命令:
ntsd –c q-p 1756
回车后可以顺利结束病毒进程。
提示:“1756”为进程PID值,如果不知道进程的ID,打开任务管理器,单击“查看→选择列→勾上PID(进程标识符)即可。NTSD可以强行终止除Sytem,SMSS.EXE,CSRSS.EXE外的所有进程。
五、断定病毒后,定要斩草除根——搜出病毒原文件
对于已经判断是病毒文件的“Winion0n.exe”文件,通过搜索“本地所有分区”、“搜索系统文件夹和隐藏的文件和文件夹”,找到该文件的藏身之所,将它删除。不过这样删除的只是病毒主文件,通过查看它的属性,依据它的文件创建日期、大小再次进行搜索,找出它的同伙并删除。如果你不确定还有那些文件是它的亲戚,通过网络搜索查找病毒信息获得帮助。
六、清除病毒后一定要打扫战场
手动修复注册表虽然把病毒文件删除了,但病毒都会在注册表留下垃圾键值,还需要把这些垃圾清除干净。
1、用reg export备份自启动。由于自启动键值很多,发现病毒时手动查找很不方便。这里用reg export+批处理命令来备份。
启动记事本输入下列命令:
reg export HKLM\\software\\Microsoft\\Windows\\
CurrentVersion\\Run fo:\\hklmrun.reg
reg export HKCU\\Software\\Microsoft\\Windows\\
CurrentVersion\\Policies\\Explorer\\Run f:\\hklcu.reg
reg export HKLM\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Policies\\Explorer\\Run hklml.reg
注:这里只列举几个常见键值的备份,其它键值请参照上述方法制作。
然后将它保存为ziqidong.bat在命令提示符下运行它,即可将所有自启动键值备份到相应的reg文件中,接着再输入:
copy f:\\*.reg ziqidong.txt
命令的作用是将所有备份的reg文件输出到“ziqidong.txt”中,这样如果发现病毒新增自启动项,同上次导出自启动值,利用上面介绍的FC命令比较前后两个txt文件,即可快速找出新增自启动项目。
2、用reg delete删除新增自启动键值。比如:通过上面的方法在
[HKER_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
找到一个“Logon”自启动项,启动程序为“c:\\windows\\winlogon.exe”,现在输入下列命令即可删除病毒自启动键值:
reg delete HKLM\\software\\Microssoft\\Windows\\
CurrentVersion\\Run /f
3、用reg import恢复注册表。Reg de-lete删除是的是整个RUN键值,现在用备份好的reg文件恢复即可,输入下列命令即可迅速还原注册表:
reg import f:\\hklmrun.reg
上面介绍手动杀毒的几个系统命令,其实只要用好这些命令,我们基本可以KILL掉大部分的病毒,当然平时就一定要做好备份工作。
提示:上述操作也可以在注册表编辑器里手动操作,但是REG命令有个好处,那就是即使注册表编辑器被病毒设置为禁用,也可以通过上述命令导出/删除/导入操作,而且速度更快!
七、捆绑木马克星——FIND
上面介绍利用系统命令查杀一般病毒,下面再介绍一个检测捆绑木马的“FIND”命令。相信很很多网虫都遭遇过捆绑木刀,这些“批着羊皮的狼”常常躲在图片、FLASH、甚至音乐文件后面。当我们打开这些文件的时候,虽然在当前窗口显示的确实是一幅图片(或是播放的FLASH),但可恶的木马却已经在后台悄悄地运行了。比如近日我就收到一张好友从QQ传来的超女壁纸,但是当我打开图片时却发现:图片已经用“图片和传真查看器”打开了,硬盘的指示灯却一直在狂闪。显然在我打开图片的同时,有不明的程序在后台运行。现在用FIND命令检测图片是否捆绑木马,在命令提示符输入:
FIND /c /I〝This program〞g:\\chaonv.jpe.exe
其中:
g:\\chaonv.jpe.exe表示需要检测的文件;FIND命令返回的提示是“___G:CHAONV.EXE: 2”。这表明“G:、CHAONV.EXE”确实捆绑了其它文件。因为FIND命令的检测:如果是EXE文件,正常情况下返回值应该为“1”;如果是不可执行文件,正常情况下返回值应该为“0”,其它结果就要注意了。
提示:其实很多捆绑木马是利用Windows默认的“隐藏已知类型文件扩展名”来迷惑我们,比如本例的“chaonv.jpe.exe”,由于这个文件采用了JPG文件的图标,才导致上当。打开“我的电脑”,单击“工具→文件夹选项”,“单击”“查看”,去除“隐藏已知类型文件扩展名”前的小勾,即可看清“狼”的真面目。
八、总结
最后我们再来总结一下手动毒的流程:
用TSKLIST备份好进程列表→通过FC比较文件找出病毒→用NETSTAT判断进程→用FIND终止进程→搜索找出病毒并删除→用REG命令修复注册表。这样从发现病毒、删除病毒、修复注册表,这完成整个手动查毒、杀毒过程
涔涔 发表于 2007-10-20 18:30
巧妙利用Hosts文件防止QQ病毒的侵害
阅读提示:近来,QQ病毒十分猖獗,此类病毒主要是通过QQ发送能感染病毒的恶意网站地址。那么,如何防止因误操作而进入那些已知的恶意网站呢?这里笔者向大家介绍一种简单而有效的防范方法——利用Hosts文件防止误进恶意网站!
分析
当我们使用域名访问一个网站的时候,网络中的DNS服务器会将域名解释成相应的IP地址。如果在恶意网站的域名解释成相应的IP地址前就干扰了其解释结果,不就达到了我们的目的了吗?
解决方法
Hosts文件就可帮我们实现这一设想。以Win98系统为例,Hosts文件位于“C:\\Windows”目录下,它可以看成本机的一个DNS系统,且它的优先级要高于网络中的DNS服务器。我们可以用记事本打开它,你会看到里面有Hosts文件的使用说明。举个例子,我们可以写入下面的一行:
127.0.0.1
http://www.test.com
访问网址超出本站范围,不能确定是否安全
继续访问取消访问
www.test.com
保存后在MS-DOS窗口中运行:
ping http://www.test.com
访问网址超出本站范围,不能确定是否安全
继续访问取消访问
www.test.com
大家看到了什么?对!系统把www.test.com这个域名解释成了127.0.0.1(本机IP),这正是我们想要的效果!当然,我们也可以指定成我们常去的网站的IP地址。这下大家明白了吧?我们可以把已知的恶意网站的域名全部解释成本机的IP地址,即:127.0.0.1。这样设置后,当我们误访问恶意网站时,Hosts就会把域名解释成本机的地址,以实现防止误进入恶意网站的目的。笔者把几个举例的网站地址(举例说明,不是真实网址)写进了Hosts文件中后,大家再访问这些网址时,会直接访问127.0.0.1:
127.0.0.1 http://www.123.com
访问网址超出本站范围,不能确定是否安全
继续访问取消访问
www.123.com
127.0.0.1 321.123.com
127.0.0.1 213.123.com
127.0.0.1 321.123.com
注意事项:Hosts文件默认保存的文件名是Hosts.sam,大家修改后要一定将扩展名.sam去掉,否则无效。
在保存完Hosts文件后,尽量多刷新几次系统。
涔涔 发表于 2007-10-20 18:31
教你手工剿灭QQ广告弹出木马
阅读提示:将杀毒软件升级到最新也不能查杀,打开浏览器,上网搜索,发现也有朋友中了这种木马,但该网友提供的方法并不能删除木马,无奈之下只好自己“动手”了,以下就是我的整个手工清除木马的过程,写出来与大家分享。
具体的不知道从哪天起,我的Maxthon浏览器好像不能拦截一些网站的广告了,屏幕的右下角也不时的出现如QQ广告一样的东西,一开始以为是网站和QQ的广告。但越用越不对劲,仔细一看,右下角的根本就不是QQ的广告,出来的整个广告就是一个链接,不像QQ广告外面还有一个框,鼠标放在上面是不会变成手形的,而这个广告,无论鼠标放在什么地方都是手形的。我开始怀疑我中招了,将杀毒软件升级到最新也不能查杀,打开浏览器,上网搜索,发现也有朋友中了这种木马,但该网友提供的方法并不能删除木马,无奈之下只好自己“动手”了,以下就是我的整个手工清除木马的过程,写出来与大家分享。
1、常规操作
打开任务管理器,查看进程,并没有发现什么不良进程。
2、深入挖掘
运行Regedit,依次展开HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run,一看,果然多了个新家伙Advapi32,一看键值,竟然加载的是一个Dll文件,而这个文件位于C:\\WINDOWS\\Downloaded Program Files目录下的_IS_0518目录中。找到了根源就好办了,先删除了启动项,再删除对应的木马文件就行了,但到了C:\\WINDOWS\\Downloaded Program Files目录一看,发现这些文件根本看不到(开启了显示隐藏文件项)。且重启之后启动项又出现了,很显然,这个木马监视注册表,且文件隐藏。为了剿灭彻底,以下步骤是进入安全模式后进行的(开机时按住F8键或Ctrl键不放直到启动菜单出现)。
在第三步之前,我曾尝试直接用第四步的方法删除木马文件,但发现重启之后木马并没有消失,因此初步判断该木马存在备份文件。
3、清除木马备份文件
打开“我的电脑”进入C:\\Windows目录,发现一个可疑目录Backup,进去一看,果然启动项加载的Dll文件也在里面,但启动项加载的却不是这个目录中的文件,很显然这个目录就是木马的备份,先删除这个备份目录再说,但刚刚删除,大概一两秒的时间这个目录又被重新建立。这个木马还真狡猾,竟然在安全模式还能自动加载且监视备份文件,一旦备份文件被删除,马上又会建立。正所谓“以彼之道还施彼身”,它能监视且能自动建立备份目录,我如果能先将目录删除,然后抢在它的前面建立目录不就行了吗?因为Windows是不允许同一目录下有两个文件或目录同名的。但从备份目录被删除到被重新建立中间的间隔太短了,手工肯定是不行的,那么就用Dos时代的批处理吧!先建立如下的批处理文件,命名为Kill.bat,双斜杠之后是注释,实际操作时无需输入。Move c:\\windows\\backup c:\\windows\\bak //将Backup目录重命名为BakMd c:\\windows\\backup //在C:\\windows下建立Backup目录这时再打开“我的电脑”,依次进入C:\\windows目录,将Bak目录删除,即完成了木马备份文件的删除。
4、清除木马文件
重新建立一个批处理文件,命名为Kill2.bat,内容如下。cd c:\\ //将当前路径改为C:盘的根目录cd C:\\WINDOWS\\Downloaded Program Files //将当前路径改为C:\\WINDOWS\\Downloaded Program Filesmove _IS_0518 c:\\bak//将当前目录下的_IS_0518目录移动到C:根目录下并重命名为bak打开“我的电脑”,进入C:\\,删除Bak目录,再进入C:\\windows目录,删除Backup目录,即完成了木马文件的清除。
5、清理注册表
运行Regedit,分别将下面所列的键删除。HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Advapi32HKEY_CURRENT_USER/Software/advapi32至此,Advapi32木马(因为在网上也没查到此木马的名字,所以就用它的自启动项键名来代替了)手工清理完毕。注:
1.第三步和第四步顺序千万不能对调,因为只有先删除备份文件,再删除木马文件,这时因为木马文件没有了,备份文件也没有了,所以木马也就没办法重新建立文件了。
2.以前也在报刊上看到过手工清除木马的例子,但大部分都是一些利用进程查看工具结束进程来实现的,由于此木马进程伪装隐蔽,笔者曾用IceSword查看,虽能初步判断木马隐藏在Svchost.exe进程中,但由于Windows XP中Svchost.exe进程比较多,所以不好判断其具体的隐藏位置,结束进程的方法也就不好实现了,反而用本文所提的方法就能轻松将木马剿灭。
3.本方法在Windows XP Pro + SP2下测试通过。
涔涔 发表于 2007-10-20 18:31
文件对比查杀嵌入式木马
阅读提示:新一代的嵌入式木马,也就是通常所说的dll型注入式木马,其运用了动态嵌入技术,动态嵌入最常见的是最常见的是钩子、API以及远程线程技术,而现在大多数的嵌入式木马都是运用远程线程技术把自己本身挂在一个正常的系统进程中,通常这一类木马清除起来比较困难。
随着计算机的发展,木马技术也在不停的发展,以冰河为首的老一代经典木马已经开始慢慢消失在经典木马行列中,取而代之的则是新一代的嵌入式木马,也就是通常所说的dll型注入式木马,其运用了动态嵌入技术,动态嵌入最常见的是最常见的是钩子、API以及远程线程技术,而现在大多数的嵌入式木马都是运用远程线程技术把自己本身挂在一个正常的系统进程中,通常这一类木马清除起来比较困难。
嵌入式木马之迷
那到底什么是嵌入式dll型木马呢?DLL的代码和其他程序几乎没什么两样,仅仅是接口和启动模式不同,只要改动一下代码入口,DLL就变成一个独立的程序了。当然,DLL文件是没有程序逻辑的,这里并不是说DLL=EXE,不过,依然可以把DLL看做缺少了main入口的EXE,DLL带的各个功能函数可以看作一个程序的几个函数模块。DLL木马就是把一个实现了木马功能的代码,加上一些特殊代码写成DLL文件,导出相关的API,在别人看来,这只是一个普通的DLL,但是这个DLL却携带了完整的木马功能,而dll木马的标准执行入口为dllmain,dllmain包含了木马的运行代码,或者其指向木马的执行模块,在dll木马中通过在另一个进程中创建远程线程(RemoteThread)的方法进入那个进程的内存地址空间被称为“注入”,当载体在那个被注入的进程里创建了远程线程并命令它加载DLL时,木马就挂上去执行了,没有新进程产生,这就是嵌入式dll木马。
因此黑客通常把dll木马注入到一些系统关键进程,如嵌入到ie浏览器,Explorer.exe中,来达到更好的启动和隐蔽自身的目的。如今除了专门的dll木马外,还有许多优秀的木马也可以选择生成一般的exe木马和dll木马2种类型,来提供给用户各种需要,其中的典型的木马是黑洞和灰鸽子,这2款经典之作就支持这2种服务端的生成,其生成的dll木马服务端的稳定性也相当出色,各大杀毒产商都将其列入重点查杀对象。
揪出嵌入式木马
在了解了嵌入式木马的工作原理后,我们应该如何来及时发现和清除这一类木马呢?不管是传统木马还是嵌入式木马,首先我们要了解木马的藏身之地,同传统木马一样system32同样也是嵌入式木马最喜爱的藏身之所,根据这个特点我们在安装好系统和必要的应用程序后,对该目录下的exe文件和dll文件做一个记录,运行CMD--转换目录到system32--dir *.exe>exe.txt & dir*.dll>dll.txt,这样所有的EXE和DLL文件的名称都被分别记录到exe.txt和dllback.txt中。
如果系统在以后的使用中出现异常而用传统的方法查不出来的时候,我们就要考虑是不是嵌入式木马在捣乱了,此时我们再次运行CMD--转换目录到system32--dir *.exe>exe1.txt & dir*.dll>dll1.txt将system32下的exe和dll文件分别再记录到exe1.txt和dll1.txt中,接下来我们就可以对2次记录的文件进行比较了,来判断是否存在嵌入式木马,方法如下:运行CMD--fc exe.txt exe1.txt>change.txt & fc dll.txt dll1.txt>change.txt,其含义为用fc命令比较exe和dll的2次记录文件,并将结果输出到change.txt中。这时我们就可以从change.txt中发现发生变化的exe和dll文件以及多出来的exe和dll文件,最后我们查看这些文件的创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马修改了。
如果有的话,在没有把握的情况下就把dll文件先删除到回收站中,以便误删以后还能文件还原,如果重新启动后系统没有任何异常,我们就可以彻底删除此dll文件了。但同时由于有的进程调用的DLL文件非常多,使得靠我们自己去一个一个去核对变的不太现实,所以此时我们可以借助一些工具来帮助我们缩小范围,其中NT进程/内存模块查看器ps.exe就是一款很不错的工具,用命令ps.exe /a /m >usedll.txt将系统目前正在调用的所有DLL文件名称保存到usedll.txt中,然后再用fc dll.txt usedll.txt>changenow.txt把比较结果输出到changenow.txt中,这样我们就能大大的缩小查找范围。同时端口也是值得我们重视的一部分,我们可以用进程端口查看工具Fport.exe来查看与端口对应的进程,一般木马开放的是高端口(但也不排除其使用了端口转发和复用技术)样还可以将范围缩小到具体的进程,然后结合Procedump.exe这款脱壳工具来查看此进程调用的dll文件,再利用上面介绍的文件比较法来比较,从而使得查找DLL木马变的更容易。针对端口我们还可以使用嗅探的方法来嗅探端口所传输的数据,如果数据异常则,再使用Fport来找出端口所对应进程然后再重复以上步骤
实战文件对比法
以上讲了这么多方法来揪出嵌入式木马,也许大家看着这些操作无从做起,以下我将给出文件对比的主要步骤。
◆应用环境◆
Windows2000 pro,d:/test文件夹的对比
◆实战流程◆
步骤一:进入d盘test文件夹,对test文件夹下内容进行记录,运行CMD--转换目录到d:/test--dir *.exe>exe.txt & dir *.dll>dll.txt,如下图所示:
这样我们就会在d:/test下生成exe和dll两个记事本文件,内容分别如下:
exe.txt文件:
驱动器 D 中的卷是 娱乐
卷的序列号是 6078-F043
D:\\test 的目录
2005-12-04 11:59a 26,772,480 dx81setup.exe
2005-12-04 11:59a 473,600 g5setup解码.exe
2 个文件 27,246,080 字节
0 个目录505,454,592 可用字节
dll.txt文件:
驱动器 D 中的卷是 娱乐
卷的序列号是 6078-F043
D:\\test 的目录
2005-03-31 02:52a 36,924 php5apache.dll
2005-03-31 02:52a 36,925 php5apache2.dll
2005-03-31 02:52a 53,314 php5apache_hooks.dll
3 个文件127,163 字节
0 个目录505,454,592 可用字节
步骤二:我向test文件夹中拷贝几个exe和dll文件进去,再次重复步骤一,得到exe1.txt和dll1.txt两个文件,同样他们位于test文件夹中。
步骤三:比较exe.txt和exe1.txt文件以及dll.txt和dll1.txt文件,运行CMD--fc exe.txt exe1.txt>change.txt & fc dll.txt dll1.txt>change.txt,如下图所示:
对比后得到changedll.txt和changeexe.txt两个文件内容如下:
changedll.txt:
正在比较文件 dll.txt 和 DLL1.TXT
***** dll.txt
2005-03-31 02:52a 36,924 php5apache.dll
***** DLL1.TXT
2005-03-31 02:52a 417,792 fdftk.dll
2005-03-31 02:52a 90,112 fribidi.dll
2005-03-31 02:52a 346,624 gds32.dll
2005-03-31 02:52a 36,924 php5apache.dll
*****
***** dll.txt
2005-03-31 02:52a 53,314 php5apache_hooks.dll
3 个文件127,163 字节
0 个目录505,454,592 可用字节
***** DLL1.TXT
2005-03-31 02:52a 53,314 php5apache_hooks.dll
6 个文件981,691 字节
0 个目录475,787,264 可用字节
*****
其中我们只需看上面我加粗的部分,这部分内容为增加的文件。加粗部分上面一段dll.txt内容只显示一行信息2005-03-31 02:52a 36,924 php5apache.dll,其他文件内容信息省略了,这一行内容就代表了dll.txt中的内容,而加粗这部分DLL1.TXT中的2005-03-31 02:52a 36,924 php5apache.dll就代表了dll.txt中所有内容,剩下的就是我加粗了的文件了,即增加了的文件。
changeexe.txt:
正在比较文件 exe.txt 和 EXE1.TXT
***** exe.txt
2005-12-04 11:59a 473,600 g5setup解码.exe
2 个文件 27,246,080 字节
0 个目录505,454,592 可用字节
***** EXE1.TXT
2005-12-04 11:59a 473,600 g5setup解码.exe
2005-12-04 12:02p 13,058,048 mpsetup.exe
2004-10-30 09:11a 11,761,184 RealPlayer10-5GOLD_cn.EXE
2005-12-04 12:02p 3,963,392 Winamp278cn_DFX_Blue.EXE
5 个文件 56,028,704 字节
0 个目录475,787,264 可用字节
*****
以上增加了的内容为:
2005-12-04 12:02p 13,058,048 mpsetup.exe
2004-10-30 09:11a 11,761,184 RealPlayer10-5GOLD_cn.EXE
2005-12-04 12:02p 3,963,392 Winamp278cn_DFX_Blue.EXE
步骤四:判断以上增加的内容是否是自己,曾经安装在test文件夹中的exe或者dll文件,如果不是则删除即可。
结束语
总而言之要查杀这类嵌入式木马最有效的办法就是文件对比法,除了上面介绍的一些缩小查找范围的办法外,用户还可以自己再发挥想象把范围缩至最小,从而更加准确的查杀此类嵌入式木马,让嵌入式木马在我们面前无法遁形。
涔涔 发表于 2007-10-20 18:34
网页木马深度剖析以及手工清除阅读提示:杀毒软件风靡全球的今天,各式各样的病毒仍然在网络上横行,其形式的多样化,自身之隐蔽性都大大的提高。其中,网页病毒、网页木马就是这个新型病毒大军中危害面最广泛,传播效果最佳的。之所以会出此篇,也是在考虑到太多的人都在网页病毒中“应声倒下”,却不知自己是如何中毒,以及中毒后如何去处理。就此问题,我们开始以下,对网页病毒、网页木马这一“新概念”做个详细的剖析。 前言 杀毒软件风靡全球的今天,各式各样的病毒仍然在网络上横行,其形式的多样化,自身之隐蔽性都大大的提高。其中,网页病毒、网页木马就是这个新型病毒大军中危害面最广泛,传播效果最佳的。之所以会出此篇,也是在考虑到太多的人都在网页病毒中“应声倒下”,却不知自己是如何中毒,以及中毒后如何去处理。就此问题,我们开始以下,对网页病毒、网页木马这一“新概念”做个详细的剖析。 注:为什么会用这么大的篇幅去介绍网页病毒、网页木马的常识和运行机理,而非机械地去介绍如何如何做,大家在通读全文后便有个新的了解。 第一章 恶意网页的基本常识 第一节 什么是网页病毒 网页病毒是利用网页来进行破坏的病毒,它存在于网页之中,其实是使用一些script语言编写的一些恶意代码利用IE的漏洞来实现病毒植入。当用户登录某些含有网页病毒的网站时,网页病毒便被悄悄激活,这些病毒一旦激活,可以利用系统的一些资源进行破坏。轻则修改用户的注册表,使用户的首页、浏览器标题改变,重则可以关闭系统的很多功能,装上木马,染上病毒,使用户无法正常使用计算机系统,严重者则可以将用户的系统进行格式化。而这种网页病毒容易编写和修改,使用户防不胜防。 目前的网页病毒都是利用JS.ActiveX、WSH共同合作来实现对客户端计算机,进行本地的写操作,如改写你的注册表,在你的本地计算机硬盘上添加、删除、更改文件夹或文件等操作。而这一功能却恰恰使网页病毒、网页木马有了可乘之机。 而在我们分析网页病毒前,先叫我们知道促使病毒形成的罪魁祸首:Windows脚本宿主和MicrosoftInternetExplorer漏洞利用 第二节 Windows脚本宿主,InternetExplorer漏洞以及相关 WSH,是“Windows scripting Host”的缩略形式,其通用的中文译名为“Windows 脚本宿主”。对于这个较为抽象的名词,我们可以先作这样一个笼统的理解:它是内嵌于Windows操作系统中的脚本语言工作环境。 Windows scripting Host这个概念最早出现于Windows98操作系统。大家一定还记得MS-Dos下的批处理命令,它曾有效地简化了我们的工作、带给我们方便,这一点就有点类似于如今大行其道的脚本语言。但就算我们把批处理命令看成是一种脚本语言,那它也是98版之前的Windows操作系统所唯一支持的“脚本语言”。而此后随着各种真正的脚本语言不断出现,批处理命令显然就很是力不从心了。面临这一危机,微软在研发Windows 98时,为了实现多类脚本文件在Windows界面或Dos命令提示符下的直接运行,就在系统内植入了一个基于32位Windows平台、并独立于语言的脚本运行环境,并将其命名为“Windows scripting Host”。WSH架构于ActiveX之上,通过充当ActiveX的脚本引擎控制器,WSH为Windows用户充分利用威力强大的脚本指令语言扫清了障碍。  WSH也有它的不足之处,任何事物都有两面性,WSH也不例外。应该说,WSH的优点在于它使我们可以充分利用脚本来实现计算机工作的自动化;但不可否认,也正是它的这一特点,使我们的系统又有了新的安全隐患。许多计算机病毒制造者正在热衷于用脚本语言来编制病毒,并利用WSH的支持功能,让这些隐藏着病毒的脚本在网络中广为传播。借助WSH的这一缺陷,通过java script,VBscript,ACTIVEX等网页脚本语言,就形成了现在的“网页危机”。 促使这一问题发生的还有问题多多InternetExplorer的自身漏洞。比如:“错误的MIMEMultipurposeInternetMailExtentions,多用途的网际邮件扩充协议头”,“MicrosoftInternetExplorer浏览器弹出窗口Object类型验证漏洞”。而以下介绍的几个组件存在的问题或漏洞或是在安全问题上的过滤不严密问题,却又造成了“网页危机”的另外一个重要因素。 lJava语言可以编写两种类型的程序:应用程序(Application)和小应用程序(Applet)。应用程序是可以独立运行的程序,而Applet不能独立运行,需要嵌入HTML文件,遵循一套约定,在支持Java的浏览器(如:NetscapeNavigator2.02版本以上,HotJava,MicrosoftInternetExplorer3.0版本以上)运行,是Java一个重要的应用分支,也是当时Java最令人感兴趣的地方(它一改网页呆板的界面),就是在WWW网页(HomePage/Pages)设计中加入动画、影像、音乐等,而要达到这些效果使用最多的是JavaApplet和java script(这是一种Java的命令语言)。 ljava script是一种基于对象(Object)和事件驱动(EventDriven)并具有安全性能的脚本语言。使用它的目的是与HTML超文本标记语言、与Web客户交互作用。从而可以开发客户端的应用程序等。它是通过嵌入或文件引用在标准的HTML语言中实现的。它的出现弥补了HTML语言的缺陷,它是Java与HTML折衷的选择,具有基于对象、简单、安全、动态、跨平台性等特性。 lActiveX是Microsoft提出的一组使用COM(ComponentObjectModel,部件对象模型)使得软件部件在网络环境中进行交互的技术。它与具体的编程语言无关。作为针对Internet应用开发的技术,ActiveX被广泛应用于WEB服务器以及客户端的各个方面。同时,ActiveX技术也被用于方便地创建普通的桌面应用程序。在Applet中可以使用ActiveX技术,如直接嵌入ActiveX控制,或者以ActiveX技术为桥梁,将其它开发商提供的多种语言的程序对象集成到Java中。与Java的字节码技术相比,ActiveX提供了“代码签名”(CodeSigning)技术保证其安全性。 第三节 网页病毒的攻击方式 既然是网页病毒,那么很简单的说,它就是一个网页,甚至于制作者会使这个特殊网页与其他一般的网页别无他样,但在这个网页运行与本地时,它所执行的操作就不仅仅是下载后再读出,伴随着前者的操作背后,还有这病毒原体软件的下载,或是木马的下载,然后执行,悄悄地修改你的注册表,等等…那么,这类网页都有什么特征呢? §1.美丽的网页名称,以及利用浏览者的无知. 不得不承认,很多恶意网页或是站点的制作者,他们对浏览者的心理分析是下功夫的,对域名的选择和利用绝对是很到位的。很多上网的男性网民大都对MM照片感兴趣,这就是他们利用的一个渠道。如你看到了一个域名: www.lovemm.com
访问网址超出本站范围,不能确定是否安全
继续访问取消访问
www.lovemm.com,或是/UpLoadFiles/NewsPhoto/60331961.gif你还能“火眼金睛”吗?不知道结果是什么,那你就放心的去点击它看看。 §2.利用浏览者的好奇心 在这里我要说一句,这样的人中毒也是自找。对什么都要好奇这可不是个好习惯。有些东西不是你想看就可以去看的。[作者注]有这个习惯的都改改.^_^! §3.无意识的浏览者 这类人,对他们的同情,我们表示遭遇。^_^! 在我们基本了解了网页病毒、网页木马的运行机体环境后,让我们开始重点分析一下网页病毒是如何对我们的计算机进行攻击,并染毒,并自我保护的。 第二章 网页病毒、网页木马机理深度剖析 第一节 网页病毒、网页木马的制作方式 Ⅰ.java script.Exception.Exploit 利用JS+WSH的完美结合,来制作恶意网页的方法几乎是所有恶意站点必有的“功能”。 Ⅱ.错误的MIMEMultipurposeInternetMailExtentions,多用途的网际邮件扩充协议头. 几乎是现在网页木马流行利用的基本趋势,这个漏洞在IE5.0到IE6.0版本中都有,对这么一个全能的漏洞,大家怎能不重视? Ⅲ..EXEto.BMP+Javascritp.Exception.Exploit 具体的.EXE转化到.BMP的文章我想大家都见到过,而且不只一次。应用方法很简单:诱骗浏览者上当。 Ⅳ.iframe漏洞的利用 当微软的IE窗口打开另一个窗口时,如果子窗口是另一个域或安全区的话,安全检查应当阻止父窗口访问子窗口。但事实并非如此,父窗口可以访问子窗口文档的frame,这可能导致父窗口无论是域或安全区都能在子窗口中设置Frame或iframe的URL。这会带来严重的安全问题,通过设置URL指向java script协议,父窗口能在子域环境下运行脚本代码,包括任意的恶意代码。攻击者也能在“我的电脑”区域中运行脚本代码。这更会造成严重的后果。 Ⅴ.通过安全认证的CAB,COX 此类方法就是在.CAB文件上做手脚,使证书.SPC和密钥.PVK合法 原理:IE读文件时会有文件读不出,就会去“升级”这样它会在网页中指定的位置找.cab并在系统里写入个CID读入.cab里的文件。 方法:.cab是WINDOWS里的压缩文件,我们知道IE里所用的安全文件是用签名的CAB也不例外,所做的CAB是经过安全使用证书引入的。也就是说IE认证攻击,只所以每次都能入侵我的脑,是因为它通过的是IE认证下的安全攻击,这样不管我怎么做都没办法。 Ⅵ.EXE文件的捆绑 现在的网页木马捆绑机几乎是开始泛滥了,多的数不胜数。再将生成的MHT文件进行加密,好,这样一来,连我们最信任的杀毒软件也无效了。 第二节 网页病毒、网页木马的运行机理分析 Ⅰ.java script.Exception.Exploit 精华语句: Functiondestroy(){ try { //ActiveXinitialization初始化ActiveX,为修改注册表做准备 a1=document.applets[0]; //获取applet运行对象,以下语句指向注册表中有关IE的表项 a1.setCLSID(\"{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}\"); a1.createInstance(); Shl=a1.GetObject(); a1.setCLSID(\"{0D43FE01-F093-11CF-8940-00A0C9054228}\"); a1.createInstance(); FSO=a1.GetObject(); a1.setCLSID(\"{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}\"); a1.createInstance(); Net=a1.GetObject(); try { 开始做坏事 } } catch(e) {} } catch(e) {} } functiondo() { //初始化函数,并每隔一秒执行修改程序 setTimeout(\"destroy()\",1000);//设定运行时间1秒 } Do()//坏事执行函数指令 全部是JS编写,没有什么高深的技术,但它却可以把你的计算机注册表改的是乱78糟,在你的计算机里留下各式各样的垃圾,甚至于连声招呼都不打就G了你的硬盘。所列出的整段函数看起来简单明了,声明函数,初始化环境,取得注册对象,执行读,写,删权限,定义操作时间(快得叫你连反映都没有)。 Ⅱ.错误的MIMEMultipurposeInternetMailExtentions,多用途的网际邮件扩充协议头. 精华语句: Content-Type:multipart/related; type=\"multipart/alternative\"; boundary=\"====B====\" --====B==== Content-Type:multipart/alternative; boundary=\"====A====\" --====A==== Content-Type:text/html; Content-Transfer-Encoding:quoted-printable --====A====-- --====B==== Content-Type:audio/x-wav; name=\"run.exe\" Content-Transfer-Encoding:base64 Content-ID:---以下省略AAAAAN+1个--- 把run.exe的类型定义为audio/x-wav,这下清楚了,这是利用客户端支持的MIME(多部 分网际邮件扩展,MultipartInternetMailExtension)类型的漏洞来完成的。当申明邮件 的类型为audio/x-wav时,IE存在的一个漏洞会将附件认为是音频文件自动尝试打开,,结果导致邮件文件x.eml中的附件run.exe被执行。在win2000上,即使是用鼠标点击下载下来的x.eml,或是拷贝粘贴,都会导致x.eml中的附件被运行。整个程序的运行还是依靠x.eml这个文件来支持。Content-Transfer-Encoding:base64Content-ID:从这我们可以看出,由于定义后字符格式为base64,那么一下的代码全部为加密过的代码,里面可以是任何执行的命令: 〈scriptlanguage=vbs〉 OnErrorResumeNext· 容错语句,避免程序崩溃 setaa=CreateObject(\"Wscript.Shell\")·建立Wscript对象 Setfs=CreateObject(\"scripting.FileSystemObject\")·建立文件系统对象 Setdir1=fs.GetSpecialFolder(0)·得到Windows路径 Setdir2=fs.GetSpecialFolder(1)·得到System路径 ……省略…… 下面代码该做什么各位都该清楚吧.这就是为什么很多人中毒后不能准确的清除全部的病毒体的原因,也是很多杀毒软件的一个通病。病毒监控只杀当时查到的,新建的却置之不理。 Ⅲ.iframe漏洞的利用 ㈠ 多方便的办法,浏览者的COOKIES就这样轻松的被取走。 ㈡ 〈iframesrc=run.emlwidth=0height=0〉〈/iframe〉 常见的木马运用格式,高度和宽度为0的一个框架网页,我想你根本看不到它。除非你的浏览器不支持框架! ㈢ 又是一个框架引用的新方式,对type=\"text/x-scriptlet\"的调整后,就可以实现和eml格式文件同样的效果,更是防不胜防。 Ⅳ.MicrosoftInternetExplorer浏览器弹出窗口Object类型验证漏洞漏洞的利用 精华代码: -----codecutstartforrun.asp----- -----codecutendforrun.asp----- [作者注]我想,这个方法是现行的大部分木马网页中使用的频率最高的一个。效果绝对是最好的。不管是你IE5.0还是IE6.0还是+SP1补丁的。我们都敢大声的说:IE6.0+SP1也不是万能的。呵呵,是不是想改用mozilla了? 总结: 几乎所有类型的网页病毒都有一个特性,就是再生,如何再生,让我们从注册表中的启动项开始分析:注册表中管理启动的主键键值分别为: [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices] [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce] [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run] [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce] [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce] [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices] 确认主键下没有加载任何分键值.另外,在启动配置器里的autoexec.bat,win.ini,system.ini以及在WIN9X下的winstart.ini文件,其中的存在LOAD=键的,它的值是空,不是空格,只有=号。Autoexec.bat没有加载任何程序,在「开始」菜单/程序/启动文件夹下不存在任何程序,那样才能有效的去掉一个病毒的再生功能。不叫它开机运行,或者不在运行,那我们就可以把它从计算机上请出去。 第三节 网页病毒、网页木马的运行效果分析 第一、电脑中的默认主页会被无故更改,并且IE工具栏内的修改功能被屏蔽掉; 第二、在电脑桌面上无故出现陌生网站的链接,无论怎么删除,每次开机都依旧会出现,如果单击鼠标右键,出现的工具栏中有也会有大量陌生网站的链接; 第三、开机后,无法进入DOS实模式;仅对WIN9X系统 第四、电脑桌面及桌面上的图标被隐藏; 第五、注册表编辑器被告知“已锁定”,从而无法修改注册表; 第六、上网之前,系统一切正常,下网之后系统就会出现异常情况,如系统盘丢失、硬盘遭到格式化等,查杀病毒后仍无济于事; 第七、上陌生网站后,出现提示框“您已经被XX病毒攻击”,之后系统出现异常; 第八、登陆站点后,发现一个窗口迅速打开后又消失,自己的计算机系统文件夹内多了几个未知的好象是系统文件的新文件。 第九、发现系统的进程中多了几个未知进程,而且杀不掉,重起后又会出现。 第十、自己的计算机CPU利用率一直是高居100%,好象是在运行什么占用内存的东西。 第十一、登陆某站点后,杀毒监控软件报警,并删除病毒文件,位置在IE的缓冲区。重新启动计算机后发现自己的IE被改掉了。而且发现第八,第九,第十中的现象。 第十二、发现中毒后,反复杀毒,病毒反复复发,根本没办法清理干净。尤其是IE的默认页。杀毒后修复完毕,但重新启动后又出现问题。 第十三、会不定时的弹出广告。 第十四、自己的私有帐号无故丢失。 第三章 网页病毒、网页木马的基本预防手段 l要避免被网页恶意代码感染,首先关键是不要轻易去一些自己并不十分知晓的站点,尤其是一些看上去非常美丽诱人的网址更不要轻易进入,否则往往不经易间就会误入网页代码的圈套。 l由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。 具体方法是:在IE窗口中点击\"工具→Internet选项,在弹出的对话框中选择\"安全\"标签,再点击\"自定义级别\"按钮,就会弹出\"安全设置\"对话框,把其中所有ActiveX插件和控件以及Java相关全部选择\"禁用\"即可。不过,这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。 l对于Windows98用户,请打开C:/WINDOWS/JAVA/Packages/CVLV1NBB.ZIP,把其中的“ActiveXComponent.class”删掉;对于WindowsMe用户,请打开C:/WINDOWS/JAVA/Packages/5NZVFPF1.ZIP,把其中的\"ActiveXComponent.class\"删掉。请放心,删除这个组件不会影响到你正常浏览网页的. l对Win2000用户,还可以通过在Win2000下把服务里面的远程注册表操作服务\"RemoteRegistryService\"禁用,来对付该类网页。具体方法是:点击\"管理工具→服务→RemoteRegistryService(允许远程注册表操作)\",将这一项禁用即可。 l升级你的IE为6.0版本并装上所有的SP以及追加的几个小补丁,可以有效防范上面这些症状。 l下载微软最新的MicrosoftWindowsscript5.6 l安装病毒防火墙,一般的杀毒软件都自带.打开网页监控和脚本监控. l虽然经过上述的工作修改回了标题和默认连接首页,但如果以后某一天又一不小心进入这类网站就又得要麻烦了。这时你可以在IE浏览器中做一些设置以使之永远不能进入这类站点: 打开IE属性,点击“工具”→“Internet选项”→“安全”→“受限站点”,一定要将“安全级别”定为“高”,再点击“站点”,在“将Web站点添加到区域中”添加自己不想去的网站网址,再点击“添加”,然后点击“应用”和“确定”即可正常浏览网页了。 l在注册表 [HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/InternetExplorer/ActiveXCompatiblity]下为 [ActiveSetupcontrols]创建一个基于CLSID的新建{6E449683-C509-11CF-AAFA-00AA00B6015C}在新建下创建REGDWORD类型的值:[CompatibilityFlags0x00000400] 可以间接的防止网页木马问题。 l请经常升级你的杀毒软件病毒库,让他们能及时的查出藏在你计算机内的病毒残体。经常性的做全机的扫描检查。 l推荐安装:IE6.0.2800.1106+SP1+4个IE专项补丁 第四章网页病毒、网页木马的清理和手工清理 第一节网页病毒、网页木马的一般清理 在病毒防治和查杀的第一选择,我们首当其冲的就是杀毒软件。不定期的升级你的病毒库,关注你所用的操作系统和浏览器的漏洞信息以及相关补丁的安装。当你进入一个恶意站点后注册表被改时,首先要做的不是盲目的去找杀毒工具,而是确认一下你自己所中的毒是否只是简单的修改注册表,如果是木马的话,你还在网络上飞来飞去,想想能不丢东西么?这就是为什么在文章的开头部分我们花了一部分篇幅进行恶意网页机理的介绍和说明。为的就是叫大家从道理上明白,所谓的恶意网页是通过什么样的途径,运行了什么样的代码执行出了什么样的效果。当然,你没必要去理解代码的全部含义,至少在查看一个页面原码时发现它,也知道它是做什么,而不去访问此页。再提一点,这样做并非是让每人个人都去理解,去记忆。在这里我们也采用“让少数人先富起来的”政策。这样,那些GG才能在MM面前显示自己的“才能”。开个玩笑,转入整题,如何一般性的清理病毒? 1.到“网上助手”去清理.地址是: http://magic.3721.com
访问网址超出本站范围,不能确定是否安全
继续访问取消访问
http://magic.3721.com 2.使用杀毒软件杀毒.用你自己的杀毒软件来清除。记得要先升级。 3.使用一些专杀工具查杀.到一些杀毒软件站点去下载杀毒工具吧。 4.到本站的专业IE维护,是针对现在几个流行的网页病毒,网页木马站点修改注册表键值精心制作的.地址是: http://ie.e3i5.net
访问网址超出本站范围,不能确定是否安全
继续访问取消访问
http://ie.e3i5.net [作者注]请在使用网页IE修复时,最好进行两次修复,我们的修复器采用的是_Dll插件+java script+ActiveX制作的,对系统的键值有检测功能,如果你的注册表项没有更改,修复系统会自动退出。 第二节网页病毒、网页木马的一般手工清理 一般在网络不通或者不能上网的情况,你可能会需要修改回你的注册表。这时以上的方法可能帮不上你任何的忙,怎么办?尝试我们推荐的办法,手工清理。 1.清除每次开机时自动弹出的网页 其实清除每次开机时自动弹出的网页方法并不难,只要你记住地址栏里出现的网址,然后打开注册表编辑器(方法是在点击“开始”菜单,之后点击“运行”,在运行框中输入regedit命令进入注册表编辑器),分别定位到: HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run和 HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Runonce下,看看在该子项下是否有一个以这个网址为值的值项,如果有的话,就将其删除,之后重新启动计算机。这样在下一次开机的时候就不再会有网页弹出来了。不过网页恶意代码的编写者有时也是非常的狡猾,他会在注册表的不同键值中多处设有这个值项,这样上面提的方法也未必能完全解决问题。遇到这种情况,你可以在注册表编辑器的选项菜单里选择“编辑”→“查找”,在“查找”对话框内输入开机时自动打开的网址,然后点击“查找下一个”,将查找到的值项删除。另外,如果你是使用Windows98的用户,可在“开始”菜单中的“运行”对话框内输入“msconfig”,点击确定,打开“系统配置实用程序”并打开“启动”选项卡,检查其中是否有非常可疑的启动项,如果有的话请将其禁用(在程序前的打上勾),然后重启机器就可以了。如果你所使用的是WindowsNT/2000的用户,可以把Windows98下的“系统配置实用程序”复制过来并运行进行查找清除。 2.IE标题栏被修改 具体说来受到更改的注册表项目为:  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main/WindowTitle HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Main/WindowTitle 解决办法: ①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键; ②展开注册表到 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main下,在右半部分窗口中找到串值“WindowTitle”,将该串值删除即可,或将WindowTitle的键值改为“IE浏览器”等你喜欢的名字; ③同理,展开注册表到 HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Main 然后按②中所述方法处理。 ④退出注册表编辑器,重新启动计算机,运行IE,你会发现困扰你的问题被解决了! 3.IE分级审查密码的清除 1.打开“开始”菜单,单击“运行”,在运行框中输入regedit命令(这是打开注册表编辑表的命令)。 2.在注册表编辑器中有五个主要的键值,请您按照下面顺序一步一步打开下面的文件(在所指的文件夹上双击或单击在文件夹前面的十字符号)。 3.具体顺序是: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion /Policies/Ratings 在您打到Ratings文件夹后会看到在右面的窗口中有key键值,直接在这个键上点右键,之后选删除,然后关闭注册表编辑器即可。 下面的这个图是最后一个文件夹及其右面的提示,只要将上面显示的key键删除也就可以清除IE分级审查的密码了。如图: 4.篡改IE的默认页 具体说就是以下注册表项被修改: HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Main/Default_Page_URL “Default_Page_URL”这个子键的键值即起始页的默认页。 解决办法: 运行注册表编辑器,然后展开上述子键,将“Default_Page_URL”子键的键值中的那些篡改网站的网址改掉就行了,或者将其设置为IE的默认值。 5.修复被锁定的注册表 可以自己动手制作一个解除注册表锁定的工具,就是用记事本编辑一个任意名字的.reg文件,比如recover.reg,内容如下: 窗体顶端 REGEDIT4 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System] \"DisableRegistryTools\"=dword:00000000 窗体底端 要特别注意的是:如果你用这个方法制作解除注册表锁定的工具,一定要严格按照上面的书写格式进行,不能遗漏更不能修改(其实你只需将上述内容“复制”、“粘贴”到你机器记事本中即可);完成上述工作后,点击记事本的文件菜单中的“另存为”项,文件名可以随意,但文件扩展名必须为.reg(切记),然后点击“保存”。这样一个注册表解锁工具就制作完成了,之后你只须双击生成的工具图标,其会提示你是否将这个信息添加进注册表,你要点击“是”,随后系统提示信息已成功输入注册表,再点击“确定”即可将注册表解锁了。 6.修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改 主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):  HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer/ControlPanel \"Settings\"=dword:1 HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer/ControlPanel \"Links\"=dword:1 HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer/ControlPanel \"SecAddSites\"=dword:1 解决办法:上面这些DWORD值改为“0”即可恢复功能。 7.IE的默认首页灰色按扭不可选  这是由于注册表HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/InternetExplorer/ControlPanel 下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改后为“1”(即为灰色不可选状态)。 解决办法:将“homepage”的键值改为“0”即可。 8.IE右键菜单被修改 受到修改的注册表项目为: HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/MenuExt 下被新建了网页的广告信息,并由此在IE右键菜单中出现! 解决办法: 打开注册标编辑器,找到 HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/MenuExt 删除相关的广告条文即可,注意不要把下载软件FlashGet和Netants也删除掉,这两个可是“正常”的,除非你不想在IE的右键菜单中见到它们。 9.IE默认搜索引擎被修改 出现这种现象的原因是以下注册表被修改: HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Search/CustomizeSearch HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Search/SearchAssistant 解决办法: 运行注册表编辑器,依次展开上述子键,将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可 10.查看“源文件”菜单被禁用 恶意网页修改了注册表,具体的位置为: HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer 下建立子键“Restrictions”,然后在“Restrictions”下面建立两个DWORD值: “NoViewSource”和“NoBrowserContextMenu”,并为这两个DWORD值赋值为“1”。 在注册表 HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/InternetExplorer/Restrictions下,将两个DWORD值:“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。 通过上面这些键值的修改就达到了在IE中使鼠标右键失效,使“查看”菜单中的“源文件”被禁用的目的。 解决办法: 将以下内容另存为后缀名为.reg的注册表文件,比如说unlock.reg,双击unlock.reg导入注册表,不用重启电脑,重新运行IE就会发现IE的功能恢复正常了。 REGEDIT4 HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer/Restrictions “NoViewSource”=dword:00000000 \"NoBrowserContextMenu\"=dword:00000000 HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/InternetExplorer/Restrictions “NoViewSource”=dword:00000000 “NoBrowserContextMenu”=dword:00000000 11.系统启动时弹出对话框 受到更改的注册表项目为: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon 在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。由于它们的存在,就使得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那些网页的广告信息! 解决办法: 打开注册表编辑器,找到 HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon 这一个主键,然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串,删除这两个字符串就可以解决在登陆时出现提示框的现象了。 12.IE默认连接首页被修改 受到更改的注册表项目为: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main/StartPage HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Main/StartPage 通过修改“StartPage”的键值,来达到修改浏览者IE默认连接首页的目的,如浏览“万花谷”就会将你的IE默认连接首页修改为“ http://url.url.com
访问网址超出本站范围,不能确定是否安全
继续访问取消访问
http://url.url.com”,即便是出于给自己的主页做广告的目的,也显得太霸道了一些,这也是这类网页惹人厌恶的原因。 解决办法: ①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键; ②展开注册表到 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main下,在右半部分窗口中找到串值“StartPage”双击,将StartPage的键值改为“about:blank”即可; ③同理,展开注册表到 HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Main 在右半部分窗口中找到串值“StartPage”,然后按②中所述方法处理。 ④退出注册表编辑器,重新启动计算机,一切OK了! 特殊例子:当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。 解决办法:运行注册表编辑器regedit.exe,然后依次展开 HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run 主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:/ProgramFiles/registry.exe,最后从IE选项中重新设置起始页。 13.IE中鼠标右键失效 解决办法: 1.右键菜单被修改。打开注册表编辑器,找到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt,删除相关的广告条文。 2.右键功能失效。打开注册表编辑器,展开到 HKEY_CURRENT_USER\Software\Policies\Microsoft\ InternetExplorer\Restrictions,将其DWORD值\"NoBrowserContextMenu\"的值改为0。 第三节未知网页病毒、网页木马的高级手工清理 我想,文章到这里应该算是高潮了吧,我们所遇到任何棘手的病毒都是未知的。也正式杀毒软件管不了的,也没有专杀工具的干涉,一般的IE修复也是无能为力,那怎么办?只有靠自己动手将病毒或木马请出你的计算机。动手前还是要做一件事。就是确认一下,你是不是真的染毒了,如果是类QQ病毒那样的有明显的征兆的你当然可以直接进行以下的操作,如果没呢?就要养成一个谨慎的态度。当发现你的计算机速度这几天突然速度很慢,你的文件夹或是文件多出几个,进程里无缘无故的多出几个新的进程文件,计算机CPU利用率总是高居不下,一打开某种类型的文件就出错,或者是无故的死机、蓝屏,那么你该注意了,你的爱机可能已经中毒了。开始你的手工查杀工作吧。(这时最好是先用升级后杀毒软件查一次,如果没有任何发现,再进行以下操作)。 情况一,你是明确知道你的计算机已经中毒了,比如说是QQ上出现自动发出信息的问题。但你发现你所发的网址并非是以前文章上介绍过的地址,那么这个站点感染的病毒可能是另外一种植入方式,如加载的文件不同,启动方式也不同等等。既然已经中毒了,那就不怕什么了,再次深入虎穴吧。但我们没必要那样做,我们某种意义上的深入虎穴,为的是得到这个站点网页的病毒原码,如何得到,我想不用我说也大家也清楚。现在很多站点都提供原代码查看的网页,用它就可以完全实现不用访问该页而提取到原码(不要太天真哦,用这个办法那个页面也会到你IE缓存内,但你不必PaPa,这个不会对你够成任何威胁).如果实在找不到,那你可以到 http://www.e3i5.com/bbs/
访问网址超出本站范围,不能确定是否安全
继续访问取消访问
http://www.e3i5.com/bbs/找我,我给你临时做一个查看页。(什么?找不到怎么办?那就没办法了,你就真的再次深入虎穴,用工具栏上的查看选项去看原码吧。呵呵~^_^!)为什么要查原码,主要是看一下,网页的运行机制是怎么样的?又回到我们文章一开始的话题了,为什么要花些文章在介绍网页病毒、网页木马的常识和运行机理上。学以必用的道理大家比我还清楚。分析出网页病毒、木马的机理我们再来进行本地机的清理工具将是一个很好的前提条件。 情况二,你根本不知道你是不是中毒了,怎么办?要从计算机最基本的开始查,进程表。这个一般是查出问题的关键之处。一般都要使用第三方软件来查看,如windows优化大师的进程管理器,柳叶擦眼等。查看进程表,那些标识为系统文件的进程你可以不看,而那些非系统进程你要注意了。象一些仿系统文件的进程则是我们重点关心的对象,发现即禁止掉,然后到相应的路径改名。(由于是非系统进程,终止掉它到下次重新启动也不会影响计算机的正常运行)然后,查看该文件的属性,尤其是查看“创建时间”如果和你的中毒时间相仿或是差不多远,那就说明这个文件十之八九就为病毒文件。一般的系统文件创建时间都是很早哦,大约要比当前时间早一到两年,甚至三年五年的。按如此办法我们就可以逐一的找出可疑的文件,然后按以下的方法进行病毒的清理。 清理工作的开始: ⒈准备工作: 下载进程管理软件:柳叶擦眼没有的请到以下地址下载: http://www.e3i5.com/soft/SoftView.Asp?SoftID=361
访问网址超出本站范围,不能确定是否安全
继续访问取消访问
http://www.e3i5.com/soft/SoftView.Asp?SoftID=361 这里我推荐使用柳叶擦眼因为它是个绿色软件,不需要安装,下载解压后该怎么用就怎么用,方便。 进行手工杀毒的准备工作,先关闭你能关闭的所有软件,包括杀毒软件,防火墙,宽带连接等等一切能生成进程的东西.只保留必要的系统进程,这样会使以后的操作带来很多方便。 ⒉查看系统进程:除了显示系统文件外,将所有无关的进程杀掉。 如:查看进程表定位文件。intneter.exec:/windows/system/intneter.exe这里的intneter.exe就是仿intnater.exe输入法进程加载到系统的非法进程文件,我们应马上结束这个进程,并删除对应的文件,注意一些文件是隐藏的,在查找时应用\"文件夹选项\"打开对隐藏文件的查看. 如果不知道相关的进程,你可以这样尝试, 将进程软件下载后,断网,关闭运行的软件,打开进程管理软件,软件显示的系统进程你不要理,如果你不知道你以前正常的软件进程名是什么的话,将所有非系统的进程全部杀死,(注意除了进程查看软件之外的哦,我要是不说一定有人连它一起杀了.)并记下他们的文件路径,并记录下来。由于不知道是否是非法文件暂时改名,也记录下来,以便修改。 ⒊修改注册表 开始------>运行------>REGEDIT------>编辑------>查找 查找 [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices] [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce] [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run] [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce] [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce] [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]主键下所有的键都为空,如果不为空,全部清理为空.使系统启动不加载任何程序。(一般的来说,驱动程序除了一些显示驱动会保留在启动项里,其他重要的很少了)如果你知道你常用软件所在RUN以及相关键下的值,当然更好,你就可以选择性的进行清理。对以后的整理工作会更方便些。 修改以下注册表关联项目: [HKEY_CLASSES_ROOT/chm.file/shell/open/command\"(默认)\"\"%windir%/hh.exe\"%1] [HKEY_CLASSES_ROOT/exefile/shell/open/command\"(默认)\"\"%1\"%*] [HKEY_CLASSES_ROOT/inifile/shell/open/command\"(默认)\"%windir%/NOTEPAD.EXE%1] [HKEY_CLASSES_ROOT/regfile/shell/open/command\"(默认)\"regedit.exe\"%1\"] [HKEY_CLASSES_ROOT/scrfile/shell/open/command\"(默认)\"\"%1\"/S] [HKEY_CLASSES_ROOT/txtfile/shell/open/command\"(默认)\"%windir%/NOTEPAD.EXE%1] ⒋清理启动项配置文件 1.进入配置管理,除WIN2K外都为MSCONFIG. 开始------>运行------>MSCONFIG WIN9X用户注意:将启动配置里所有带*.hta,的去掉。HTA的特性就是隐藏掉窗体,然后一段时间就弹出网页. 进入:system.ini 修改[BOOT] shell=Explorer.exe//注意:后面没东西了,再有什么,改成和前面一样的。 进入:WIN.INI 修改[WINDOWS] //注意load键后面除了=号什么也没有。空格都不行。 LOAD= NULLPORT=NONE 修改:autoexec.bat内容为空 WIN2K直接进入启动编辑器。 修改以上三个文件. 记得这三个文件里没有任何为空的指令命令,有就删除。 任何值如果为空的话就是什么都没有,甚至于空格都不存在。有之,改! ⒌清理注册表垃圾信息 开始------>运行------>REGEDIT------>编辑------>查找 将开机运行的那个站点进行搜索找到即删除. ⒍清理缓存[这点最重要] 一定要把你的IE缓冲区清理干净,以及TEMP文件夹的临时文件和垃圾文件清理干净。 好了,将你记录的路径的文件保存,然后重新启动计算机。 ⒎清理校验 1.启动计算机后,再次打开柳叶擦眼,查看进程,看除了系统进程是否还有其他进程存在。如果没有,说明手工清理完成。如果还发现异常的进程请重复以上步骤。 2.确认杀毒完成后,你开始逐一的启动各类软件,检查你所改名的文件是否会影响到软件运行,如果没有异常发生,请删除或放入你杀毒软件的隔离区,(为什么要选择后者毕竟我们还不清楚这是不是病毒文件,即使是在隔离区的文件系统是不会再次运行的). [注意]做这项工作时你一定要想起你在杀进程时保存的那个进程路径列表文件,依照上面的文件逐一的进行检查. 3.逐一恢复了所有的进程后,重新启动计算机,再做最后一次检测。以防万一。 4.到此为止,你已经完成了你的全部手工清理过程,病毒已经被你请出你的计算机了。 总结: 不论怎么说,自己亲自清理过一次网页病毒后,你会觉得网页病毒其实也并非那样可怕,最难的是挑战自我的勇气。我个人并不推荐计算机出了问题就是格盘、重装,这并非是一个解决问题的途径。我们建议大家首先先简单的认识恶意网页的代码机理为的就是从根本上来解决问题。但,我们更强调的是动手能力。当然我的意思也并非完全抛弃杀毒和防毒软件,但,毕竟是个工具。俗话讲得好:事在人为。 [新问题] 最近在写一个特殊效果页的时候,发现一个新问题,页面在执行了几个特殊函数后,整个页面被锁死,以下所有的JS全部失效,打开进程查看,发现有一个svchost.exe一直在监视这个页面进程,而在WINDOWS的标准进程管理中看不到,只有借助第三方软件才能终止此进程,即使终止了网页进程,这个svchost.exe的监视进程还在。与好友LuoLuo商量了一段时间后,猜测可能是由于页面中的某部分代码引起了缓冲区溢出,导致IE崩溃,而不能执行页面指令。多次测试只后我们还是找不到原因,到底是哪部分函数引起了这个问题我们还在研究中,出现的问题就是非常非常的隐蔽,如果在页面锁死后可以注入一些恶意代码或是木马那不是没救了?IE啊…用MOZILLA算了,呵呵~ 后记 全文到这里基本上结束了。通篇文章涉及到网页病毒代码分析,中毒机理分析,预防手段,以及一般的查杀、手工查杀四大部分的介绍。我尽量做到详细的将问题以最简单易懂的方式说明。归结到一点就是,希望大家能从网页病毒的本质出发来面对它,解决它。仔细想想现在含各式病毒站点越来越多,而他们利用的也不仅仅是代码的威力以及系统或是浏览器上漏洞,也上在利用大家在浏览网页的安全意识不健全的基础上。另外,我还想说明的一点就是:不要完全依靠杀毒软件,现在国内的一些杀毒软件做的并完善,杀毒不彻底,很容易残留一些病毒遗体到你计算机内,当你一不小心运行了它,病毒又死灰复燃了;还有就是一部分杀毒软件虽然能及时的预警,但在杀毒上却稍逊一筹.杀掉了缓存内的病毒原体,却留下了病毒自动生成的新文件。这也似乎成了国内软件的一个通病,功能有,但不强大。面对着如此格局,除了自己伸手帮自己,还能有什么办法?相信自己,遇到问题自己动手解决.
涔涔 发表于 2007-10-20 18:35
RM,WMV木马的防御方法
阅读提示:Helix Producer Plus是一款图形化的专业流媒体文件制作工具,这款软件把其他格式的文件转换成RM或RMVB格式,也可以对已存在的RM文件进行重新编辑,在编辑的同时,我们可以把事先准备好的网页木马插入其中。
(一)RM、RMVB文件中加入木马的方式
Helix Producer Plus是一款图形化的专业流媒体文件制作工具,这款软件把其他格式的文件转换成RM或RMVB格式,也可以对已存在的RM文件进行重新编辑,在编辑的同时,我们可以把事先准备好的网页木马插入其中。这样只要一打开这个编辑好的媒体文件,插入在其中的网页木马也会随之打开,甚至还能控制网页木马打开的时间,让网页木马更隐蔽。
(二)WMV、WMA文件中加入木马的方式
对于WMA、WMV文件,是利用其默认的播放器Windows Media Player的“Microsoft Windows媒体播放器数字权限管理加载任意网页漏洞”来插入木马。当播放已经插入木马的恶意文件时,播放器首先会弹出一个提示窗口,说明此文件经过DRM加密需要通过URL验证证书,而这个URL就是事先设置好的网页木马地址,当用户点击“是”进行验证时,种马便成功了。和RM文件种马一样,在WMV文件中插入木马我们还需要一样工具——WMDRM打包加密器,这是一款可以对WMA、WMV进行DRM加密的文件,软件本身是为了保护媒体文件的版权,但在攻击者手中,便成了黑客的帮凶。
(三)防御方法
1.看影片之前,用Helix Producer Plus 9的rmevents.exe清空了影片的剪辑信息,这样就不会出现指定时间打开指定窗口的事件了。(适合RM木马)
2.升级所有的IE补丁,毕竟RM木马实际上也是靠IE漏洞执行的。(适合RM木马)
3.用网络防火墙屏蔽RealPlayer对网络的访问权限。(适合RM木马)
4.换其他播放器,如:梦幻鼎点播放器、暴风影音、Mplayer等。(适合两款木马)
5.及时升级杀毒软件的病毒库,升级两个媒体播放软件的补丁。(适合两款木马)
涔涔 发表于 2007-10-20 18:38
WSYSCHECK 反黑重型武器的使用方法
WSYSCHECK 反黑重型武器的使用方法(本文参考软件中附带的《Wsyscheck简要说明.txt》(0725版),并加以补充。本人也不是很精通其所有功能,所以只是说说我知道的一些常用操作,我不会的不明白的操作,就不说了,嘿嘿 。本文是给菜鸟看的,当然,我也是菜鸟,所以有些词汇我不知道专业点的应该怎么讲,大家看明白意思知道怎么操作就行了。还有,一些简单的,一看就知道什么意思的操作,就忽略不写了。wsyscheck的操作界面也很清爽,本文也是按照界面的菜单逐个介绍,所以,懒得配图了。 )
Wsyscheck使用须知:
Wsyscheck是一款功能强大且丰富的手动清除木马病毒的工具。强烈推荐大家在杀毒和远程杀毒时使用。此软件只有一个文件:Wsyscheck.exe。Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。
如果你下载的软件包含DOS删除功能,那么就还有一个附加WdosDel.dat文件。WdosDel.dat不是Wsyscheck运行所必须的,删除后将不再显示Dos删除功能。一般情况下“重启删除”已经可以删除大多数的木马文件,所以如携带不便也可以删除WdosDel.dat。
进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制,这一点在远程使用时比较方便。
关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功,一些功能无法完成。”
多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。
驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能(即先用强删除功能消灭木马文件),执行完后重启系统,,再清除它的启动项,注册表项等加载途径。
下载地址: http://bark.net.cn/soft/Wsyscheck.html
访问网址超出本站范围,不能确定是否安全
继续访问取消访问
http://bark.net.cn/soft/Wsyscheck.html
或下载本帖附件(主程序改名为Wsyscheck().exe)。
【Wsyscheck的很多操作是通过右键菜单来完成的。在本文中,凡是提到的右键菜单的操作,全部用蓝色显示。窗口菜单的操作,使用紫红色显示。重要的提示内容使用红色显示。】
一、菜单-软件设置:(清除病毒的前期准备工作要做好)
模块、服务简洁显示(默认打开)
简洁显示会过滤掉微软文件不显示,方便查找病毒进程、文件和模块。
校验微软文件签名 (默认关闭)` http://www..com
访问网址超出本站范围,不能确定是否安全
继续访问取消访问
http://www..com `
在使用了“校验微软文件签名”功能后,通不过的微软签名验证文件也会显示出来。
建议在查找病毒时,打开上面两个选项,查找时比较容易。
在使用“软件设置”-“校验微软文件签名”后,紫红色显示未通过微软签名的文件。同时,在各显示栏的\"微软文件校验\"会显示Pass与no pass。(可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信)
禁止进程与文件创建:
针对木马的反复启动,反复创建文件,反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。
开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块文件。如果在日志页观察到反复写创建文件,反复写注册表,反复创建的进程。当此进程是非系统进程时可以直接关闭并删除它。如果是系统进程,需要手动分析一下该进程的模块(配合查看一下活动页的加载项有助于快速找到木马插入系统进程的模块)。清理文件注册表完成后不要退出“禁止进程与文件创建”,而应直接使用工具下的“重启计算机”,以确保我们的清理成功。
要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。
二、菜单-工具:
清除临时文件:删除%TEMP%,%windir%\\Temp及%windir%\\Downloaded Program Files下的所有文件。
清除Autorun.inf:程序分析各盘根目录下的Autorun.inf指向的文件,删除各盘的Autorun.inf及其指向的文件。清除以Autorun.inf方式启动的木马,(可配合“禁止进程与文件创建”使用以取得最好的效果)。如果手动清理,操作中尽量使用Wsyscheck内置的文件管理操作以防双击盘符再次激活木马。在手动删除Autorun.inf文件前用Wsyscheck的文件管理中打开这个文件查看木马启动的具体位置有利于您快速找到木马文件。清理时完后检查一下各盘根目录以保证完全清理了Autorun.inf文件。
修复隐藏文件显示及禁用硬盘自动播放:菜单栏太长写不完,本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。
修复安全模式:某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。
构建安全环境:还原SSDT(某些杀软还原SSDT会引起死机,本功能仅测试在Kv系列,Kav6.0下使用没有问题,其它版本请自行测试。如不确定,使用本功能前最好退出杀软进程),只保留系统必须的几个进程,然后执行上述三个子菜单功能。
重启计算机:开启禁止“禁止进程与文件创建”后,清理病毒文件,修复注册表完毕,在wsyscheck的监控下重启电脑。
三、进程管理:清除病毒木马的第一步
红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。
定位文件:使用wsyscheck的文件管理器,锁定目标进程文件。可以快速查看文件的位置和基本信息,可以锁定一切存在的文件。注意,定位没有隐藏属性的文件时,不要选wsyscheck的文件管理器的“仅显示隐藏文件”选项。
拷贝文件路径:拷贝文件的完整路径,配合其他删除工具使用。如菜刀(费尔)、XDELBOX等。
结束这个进程:可以直接结束单个进程。
结束选择的进程:在要结束进程的前面复选,然后同时批量结束所选进程。
禁止这个程序运行:这个功能就是流行的IFEO劫持功能,我们可以使用它来阻止病毒进程的重新加载。此操作的结果参看安全检查-常规检查页的“禁用程序管理”,如果结束木马进程后反复发现木马启动,可以尝试使用“结束进程并删除文件”或“禁止这个程序运行”,让其不再启动后删除。   还可以配合使用“禁止进程与文件创建”让其不再创建新进程、创建文件无效而清理它。
关于进程文件下半部的窗口,显示的是相关进程所加载的模块列表。这里特别注意查看explorer.exe和iexplore.exe两个进程所注入的非系统模块,病毒模块一般不会放过这两个关键进程。右键点击模块列表中的相应文件,可以进行相关的卸载、删除、改名等操作。
付:关于模块卸载:
对HOOK了系统关键进程的模块卸载可能导致系统重启,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件。
四、内核检查之SSDT检查:这里显示病毒的内核驱动保护。
如果SSDT管理中有木马模块在工作,请先恢复SSDT,再在服务管理页清理木马的服务及文件。否则会失败。
SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。
红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。
SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。
使用“恢复所有函数”功能则同时恢复上述两种HOOK。
五、服务管理:
红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。
有些木马利用服务启动,请注意一下并判断一下服务页中的红色显示程序。如果状态是STOP,而类型是Auto,则它已运行过一次,所以有可能启动了别的木马程序。
查看第三方服务可以点击标题条“文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。
“检查键值保护”:使用后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。
对于检测出的启动项,如果不是十分肯定,可以右键“设为禁用”,让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。不要直接删除服务或文件,删错了很麻烦的。
删除选中的服务与文件:在删除文件的同时删除注册表加载项。
六、安全检查-常规检查:
host查看:检查hosts文件是否被恶意修改,一些病毒通过修改hosts文件,来阻止中毒者打开相关的杀毒网站和病毒升级服务器,还屏蔽一些常见的求助网站。
“禁用程序管理”:目前利用IFEO禁用杀软、启动木马程序是比较流行的。在木马使用IFEO劫持一些杀软后,可以在“禁用程序管理”中恢复被劫持的程序。这个功能就是流行的IFEO劫持功能,当然,我们可以使用它来阻止病毒进程的重新加载。
注册表键值改动检测:检查和修复文件关联。
七、安全检查-活动文件:
红色显示的常规启动项的内容。即开机加载项。病毒木马一般在这里藏匿。
黑色部分内容大多是右键菜单或浏览器等窗口菜单调用的项目,多是一些插件之类的东东。也是病毒木马的藏身之处,要仔细认真的一个一个鉴别。
对于检测出的启动项,如果不是十分肯定,可以定位注册表项,将这个启动程序的路径前加上“;”等字符让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。
注意这里的修复所选项 - 这个操作是删除当前选定的启动或加载项。
这个页面没有直接删除选定的文件功能,不是很方便。可以使用“定位文件”,然后改名或删除。
八、安全检查-IE 安全:
这里是ie浏览器里加载的一些插件。怀疑的就删除,不会影响系统运行。
九、安全检查-重启删除文件:
驱动加载的情况下,大多数文件都可以立即删除,加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启可观察到文件已消失。
“重启删除”仅作为驱动无法加载情况下使用的一种辅助手段,“重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表,会问询是否执行。
如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”,它将在删除前将文件备份到%systemDrive%\\VirusBackup目录中,且将文件名添加.vir后缀以免误执行。
付: dos删除功能:
对于用以上功能仍删除不了的文件,可以使用Wsyscheck的或“dos删除功能”,使用“dos删除”功能后会在启动菜单中添加一项“删除顽固文件”,执行后自动清理文件并去掉它所添加的启动项。本功能需要将辅件Wdosdel.dat与Wsyscheck放在一起才会显示相关页面。“dos删除”在多系统情况下可能存在一些问题,请慎用。建议在万不得已必须使用dos删除功能之前,备份重要资料。
十、文件管理:
文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。
应注意的是如果文件本身在回收站内,请使“用直接删除文件”功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个(因为右键“删除”是删除到回收站)。
PS::(有的病毒文件是在回收站里的,参看帖子: recycled\\info.exe  )
文件搜索中利用“限制时间”条件来搜索近期产生的文件可能有助于您的清理工作。
选上文件列表下面的“仅显示隐藏文件”,可以更快速的锁定system32等目录下的病毒文件。
十一、注册表管理:
wsyscheck的强大之处在于,这个注册表管理功能一般的时候根本用不到。
但还是简单介绍一下。这个注册表管理功能,比系统自带的regedit要强大,可以看到regedit看不到的隐藏键,可以删除regedit删除不掉的键。类似于冰刃的注册表管理功能。
涔涔 发表于 2007-10-20 18:39
教你如何找到线程插入式木马
目前网络上最猖獗的病毒估计非木马程序莫数了,特别是在过去的2004年木马程序的攻击性也有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的exe可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接psapi等,这些木马也是目前最难对付的。本期就教你查找和清除线程插入式木马。
操作步骤:
1、通过自动运行机制查木马
一说到查找木马,许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”,具体的地方一般有以下几处:
1)注册表启动项:
在“开始/运行”中输入“regedit.exe”打开注册表编辑器,依次展开[hkey_current_user\\software\\microsoft\\windows\\currentversion\\]和[hkey_local_machine\\software\\microsoft\\windows\\currentversion\\],查看下面所有以\"run\"开头的项,其下是否有新增的和可疑的键值,也可以通过键值所指向的文件路径来判断,是新安装的软件还是木马程序。
另外[hkey local machine\\software\\classes\\exefile\\shell\\open\\command\\]键值也可能用来加载木马,比如把键值修改为“x:\\windows\\system\\abc.exe \"%1\"%”。
2)系统服务
有些木马是通过添加服务项来实现自启动的,大家可以打开注册表编辑器,在[hkey_local_machine\\software\\microsoft\\windows\\currentversion\\runservices]下查找可疑键值,并在[hkey_local_machine\\system\\currentcontrolset\\services\\]下查看的可疑主键。
然后禁用或删除木马添加的服务项:在“运行”中输入“services.msc”打开服务设置窗口,里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务,双击打开它,把启动类型改为“已禁用”,确定后退出。也可以通过注册表进行修改,依次展开“hkey_local_machine\\system\\currentcontrolset\\services\\服务显示名称”键,在右边窗格中找到二进制值“start”,修改它的数值数,“2”表示自动,“3”表示手动,而“4”表示已禁用。当然最好直接删除整个主键,平时可以通过注册表导出功能,备份这些键值以便随时对照。
3)开始菜单启动组
现在的木马大多不再通过启动菜单进行随机启动,但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项,可以右击它选择“查找目标”到文件的目录下查看一下,如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看,它的位置为[hkey_current_user\\software\\microsoft\\windows\\currentversion\\explorer\\shell folders],键名为startup。
4)系统ini文件win.ini和system.ini
系统ini文件win.ini和system.ini里也是木马喜欢隐蔽的场所。选择“开始/运行”,输入“msconfig”调出系统配置实用程序,检查win.ini的[windows]小节下的load和run字段后面有没有什么可疑程序,一般情况下“=”后面是空白的;还有在system.ini的[boot]小节中的shell=explorer.exe后面也要进行检查。
5)批处理文件
如果你使用的是win 9x系统,c盘根目录下“autoexec.bat”和windows目录下的“winstart.bat”两个批处理文件也要看一下,里面的命令一般由安装的软件自动生成,在系统默认会将它们自动加载。在批处理文件语句前加上“echo off”,启动时就只显示命令的执行结果,而不显示命令的本身;如果再在前面加一个“@”字符就不会出现任何提示,以前的很多木马都通过此方法运行。
2、通过文件对比查木马
最近新出现的一种木马。它的主程序成功加载后,会将自身做为线程插入到系统进程spoolsv.exe中,然后删除系统目录中的病毒文件和病毒在注册表中的启动项,以使反病毒软件和用户难以查觉,然后它会监视用户是否在进行关机和重启等操作,如果有,它就在系统关闭之前重新创建病毒文件和注册表启动项。下面的几招可以让它现出原形(下面均以win xp系统为例):
1)对照备份的常用进程
大家平时可以先备份一份进程列表,以便随时进行对比查找可疑进程。方法如下:开机后在进行其他操作之前即开始备份,这样可以防止其他程序加载进程。在运行中输入“cmd”,然后输入“tasklist /svc >x:\\processlist.txt”(提示:不包括引号,参数前要留空格,后面为文件保存路径)回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。输入“tasklist /?”可以显示该命令的其它参数。
2)对照备份的系统dll文件列表
对于没有独立进程的dll木马怎么办吗?既然木马打的是dll文件的主意,我们可以从这些文件下手,一般系统dll文件都保存在system32文件夹下,我们可以对该目录下的dll文件名等信息作一个列表,打开命令行窗口,利用cd命令进入system32目录,然后输入“dir *.dll>x:\\listdll.txt”敲回车,这样所有的dll文件名都被记录到listdll.txt文件中。日后如果怀疑有木马侵入,可以再利用上面的方法备份一份文件列表“listdll2.txt”,然后利用“ultraedit”等文本编辑工具进行对比;或者在命令行窗口进入文件保存目录,输入“fc listdll.txt listdll2.txt”,这样就可以轻松发现那些发生更改和新增的dll文件,进而判断是否为木马文件。
3)对照已加载模块
频繁安装软件会使system32目录中的文件发生较大变化,这时可以利用对照已加载模块的方法来缩小查找范围。在“开始/运行”中输入“msinfo32.exe”打开 “系统信息”,展开“软件环境/加载的模块”,然后选择“文件/导出”把它备份成文本文件,需要时再备份一个进行对比即可。
4)查看可疑端口
所有的木马只要进行连接,接收/发送数据则必然会打开端口,dll木马也不例外,这里我们使用netstat命令查看开启的端口。我们在命令行窗口中输入“netstat -an”显示出显示所有的连接和侦听端口。proto是指连接使用的协议名称,local address是本地计算机的ip地址和连接正在使用的端口号,foreign address是连接该端口的远程计算机的ip地址和端口号,state则是表明tcp连接的状态。windows xp所带的netstat命令比以前的版本多了一个-o参数,使用这个参数就可以把端口与进程对应起来。输入“netstat /?”可以显示该命令的其它参数。
接着我们可以通过分析所打开的端口,将范围缩小到具体的进程上,然后使用进程分析软件,例如《windows优化大师》目录下的winprocess.exe程序,来查找嵌入其中的木马程序。有些木马会通过端口劫持或者端口重用的方法来进行通信的,一般它们会选择139、80等常用端口,所以大家分析时要多加注意。也可以利用网络嗅探软件(如:commview)来了解打开的端口到底在传输些什么数据。
涔涔 发表于 2007-10-20 18:39
网络时代,病毒已经无所不在。在层出不穷、变化多端的病毒袭击下,中招基本上是不可避免的了。那么中招以后我们改如何处理(当然必须处理,否则计算机没法替你工作)?是格式化系统然后重装windows,还是请人帮忙……。因为职业关系,我不得不与这些让人讨厌的东西战斗着,逐步地积累了一些行之有效的办法,供大家参考。
一、中毒的一些表现
我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。
二、中毒诊断
1、按Ctrl+Shift+Ese键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%.
2、查看windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:winntsystem32explored.exe,计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。
3、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累,你可以轻易的判断病毒的启动项。
4、用浏览器上网判断。前一阵发作的Gaobot病毒,可以上yahoo.com,sony.com等网站,但是不能访问诸如 http://www.symantec.com/
访问网址超出本站范围,不能确定是否安全
继续访问取消访问
www.symantec.com, http://www.ca.com/
访问网址超出本站范围,不能确定是否安全
继续访问取消访问
www.ca.com这样著名的安全厂商的网站,安装了symantecNorton2004的杀毒软件不能上网升级。
5、取消隐藏属性,查看系统文件夹winnt(windows)system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;driversetc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
6、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败……杀毒、建议。
三、杀毒
1、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。当成系统服务启动的病毒程序,会在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身,找到之后一并消灭。
2、停止有问题的服务,改自动为禁止。
3、如果文件system32driversetchosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。
4、重启电脑,摁F8进“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
5、搜索病毒的执行文件,手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。
7、关闭不必要的系统服务,如remoteregistryservice.
8、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。
9、上步完成后,重启计算机,完成所有操作。
涔涔 发表于 2007-10-20 18:40
很多网友在保卫自己的爱机时,不管使用了哪些杀毒软件,几乎都会碰到储如此类的问题,如:
★清除病毒失败怎么办?
★杀毒出现清除失败怎么办?
★清除失败或未解决病毒怎么办?
★发现病毒时提示“删除失败”,怎么办?
★发现病毒时提示“清除失败”,怎么办?
★系统中了病毒、木马、蠕虫,清除、隔离、删除失败怎么办?
产生这些问题的主要原因在于:
1、病毒正在使用中;
2、病毒防止杀毒软件清除而做的自我保护;
3、病毒中有守护进程在保护病毒。
简单解释下这其中的原因:
1、这是较早期的杀毒软件无法清除病毒时的提示,比如一个文件,如果你正在打开使用它时,你是没有办法删除这个文件的, 因为文件正在使用中,受到系统正常的保护;同样病毒进程如果没有终止掉,直接删除病毒文件的话,同样会提示该信息。
2、 原因2与原因3可以归类来说,简单地讲,就相当于病毒躲在巨人的身后,你想要抓住这个“病毒”,首先要打败这个“巨人”,否则就会受到“巨人”的干扰而让你无法顺利抓到这个“病毒”。同样地,病毒为了防止自己不被杀毒软件查杀、剿灭,而使用了如:权限提升到系统级、阻止病毒进程被终止、阻止病毒体被删除、电脑中同时存在2个以上的病毒,相互负责监控对方,如发现自己的保护对象不存在了,重新生成新的病毒体。
解决办法:
1、 重新启动电脑进入操作系统的安全模式, 使用杀毒软件清除或手工删除病毒体。
2、 使用终截者抗病毒中的“安全回归”功能,在电脑重新启动的同时迅速将病毒隔离,之后,你可以通过杀毒软件清除或手工删除。
小插曲:什么是安全回归?
安全回归看似是“重新启动”,它主要是针对目前许多恶意病毒无法彻底查杀,在每次电脑开机启动后又重新发作的问题,安全回归行为识别技术提供一个快速解决方案。用户只须轻点击“安全回归用户电脑将在一次重新启动电脑的过程中恢复到一个无病毒、无流氓软件运行的安全状态,并告知用户已经拦截了哪些危险程序,整个过程的感觉就像是上天给予了一次安全重来的机会。
安全回归基本原理
安全回归在计算机开机启动过程中,识别和判断所有将要运行的程序,包括病毒、木马等恶意程序,只允许运行合法的系统程序和用户在安全回归许的程序,其它的一律禁止。这样可以保证:
1、电脑启动完成后,没有任何病毒及流氓软件正在运行,同时也抑制了所有病毒程序对电脑破坏;
2、不用担心病毒程序先于安全回归运行,它有一夫当关,万夫莫开之功效;
3、使用安全回归不会删除用户任何数据,请用户放心使用。
安全回归可以解决什么问题?
1、解决顽固木马、病毒无法清除,或反复清除失败的问题;
2、拒绝流氓软件困扰、减少弹出窗口的干扰;
3、禁止了与安全无关的进程、服务及插件的运行,加快了系统运行速度。
涔涔 发表于 2007-10-20 18:40
iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒,该病毒会终止你的反病毒软件,和一些Windows系统工具,该进程的安全等级是建议删除。
这个东西可以说是病毒,也可以说不是病毒。
因为微软的浏览器就是IEXPLORE.EXE,但是它一般情况随系统被安装在C:\\Program Files\\Internet Explorer下面。那么,如果发现这个文件是在这个目录下面的,一般情况不是病毒,当然,不包括已经被感染了的情况;还有一种情况,就是IEXPLORE.EXE在C:\\WINDOWS\\system32\\下面,那么这个十有八九都是病毒。
系统进程--伪装的病毒 iexplore.exe
Trojan.PowerSpider.ac 破坏方法:密码解霸V8.10。又称“密码结巴”。偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
现象:
1、系统进程中有iexplore.exe运行,注意,是小写字母;
2、搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
解决办法:
1、到C:\\\\WINDOWS\\\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。
2、到注册表中,找到HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion \\\\Run “mssysint”= iexplore.exe,删除其键值。
涔涔 发表于 2007-10-20 18:40
杀毒攻略:清除无法显示隐藏文件的病毒
选择“显示隐藏文件”这一选项后,发现U盘有个文件闪出来一下就马上又消失了,而再打开文件夹选项时,发现仍就是“不显示隐藏文件”这一选项。而且刚发现点击C、D等盘符图标时会另外打开一个窗口!
总结:
I、病情描述:
1、无法显示隐藏文件;
2、点击C、D等盘符图标时会另外打开一个窗口;
3、用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个恶心的文件;
4、任务管理器中的应用进程一栏里有个莫明其妙的kill;
5、开机启动项中有莫明其妙的SocksA.exe。
II、解决办法:
用了一些专杀工具和DOS下的批处理文件,都不好使,只好DIY。注意在以下整个过程中不要双击硬盘分区,需要打开时用鼠标右键—>打开。
一、关闭病毒进程
在任务管理器应用程序里面查找类似kill等你不认识的进程,右键—>转到进程,找到类似SVOHOST.exe(也可能就是某个svchost.exe)的进程,右键—>结束进程树。
二、显示出被隐藏的系统文件
开始—>运行—>regedit
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\windows\\CurrentVersion\\explorer\\Advanced\\
Folder\\Hidden\\SHOWALL
删除CheckedValue键值,单击右键 新建—>Dword值—>命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
三、删除病毒
在分区盘上单击鼠标右键—>打开,看到每个盘跟目录下有autorun.inf 和tel\\.xls\\.exe 两个文件,将其删除,U盘同样。
四、删除病毒的自动运行项
开始—>运行—>msconfig—>启动—>删除类似sacksa.exe、SocksA.exe之类项,或者打开注册表运行regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
删除类似C:\\WINDOWS\\system32\\SVOHOST.exe 的项。
五、删除遗留文件
C:\\WINDOWS\\ 跟 C:\\WINDOWS\\system32\\ 目录下删除SVOHOST.exe(注意系统有一个类似文件,图标怪异的那个类似excel的图标的是病毒)session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件,每个文件夹两个,不要误删哦,自己注意。重启电脑后,基本可以了。
涔涔 发表于 2007-10-20 18:41
一、为什么流氓软件总是删不掉?
经常有网友发贴子说文件删除不掉,或者流氓软件清除不了,或者删除了相关的文件,但是马上它又出现了。现在流氓软件为了保护自己,采取的手段是五花八门,无所不用其极:进程保护,交叉感染,自启动,自我恢复,文件隐藏,进程注入,驱动保护。
到目前为止,所有流氓软件最终极、最有效的保护办法还是底层驱动级的保护,一般就是在drivers目录下增加一个或多个.sys文件(我也见过一个用rundll32来运行一个.dll作为驱动的),但本质上这个都会在Windows的HKLM\\SYSTEM\\CurrentControlSet\\Services\\下建一个相关的值,如CNNIC建立的就是HKLM\\SYSTEM\\CurrentControlSet\\Services\\cdnprot,并且将启动级别做得很高,在安全模式下也会自动启动。这个底层的驱动过滤所有的文件以及注册表操作,如果发现是对流氓软件自己的文件/注册表操作,就会直接返回一个true,如果发觉文件被删除,就会通过备份或者网络来下载恢复。它们的保护措施已经做到这一级,普通用户根本没有办法删除相关的文件,一般都需要重启到DOS系统下去删除文件。
这也是很多网友提的为什么文件删除不掉,或者删除了,重启之后,一会儿又出现了,阴魂不散的原因。下面我们的要做的,就是找出来这些流氓软件的后台的驱动保护。
二、为什么找出驱动保护很困难?
Windows的驱动文件一般位于system32\\drivers目录下,以.sys文件方式存在,通过注册表的HKLM\\SYSTEM\\CurrentControlSet\\Services\\的方式来启动,有一部分属于服务的,可以在Windows的服务的MMC控制窗口里看到。但如果是驱动,则在这里看不到。Windows正式情况下,那个drivers目录下有200个左右的文件,如果偷偷往这个下面塞一个.sys文件,是很难发现的。象著名的3721这类cnsminkp.sys,CNNIC的cdnprot.sys比较容易认识,但现在的很多软件的名字都是不固定的,或者是随机生成的,这样的辨识的难度就很大。我曾经用过的方式有:
1、通过保存文件列表,时常自己手工比较这两个文件,看前后差别多出来的文件肯定有问题
2、通过文件生成的日期。(这点流氓软件也想到了,日期也只能作为参考)
3、通过文件的属性里在的公司信息。早年还行,现在越来越多的流氓软件的驱动冒充是M$的,有的连英文单词都写错了。唉。。。
4、通过文件夹监视工具。
上面这四种都有一定的缺陷,只能作为参考,都不是太好。并且现在有一些软件通过文件系统隐藏,这些驱动文件,通过资源管理器,根本连看都看不到。
三、如何找出可疑驱动来?
难道没有更好的办法吗?有,应该有的,这个就是我们今天要介绍的主角:autoruns
介绍:autoruns是著名的sysinternals出品的一款小软件,它的主要功能是列出系统自启动的项目。通过它,你可以轻易查看到所有系统可能启动的地方,非常的全面。跟流氓软件相关的是“Services(服务)\",“LSA Providers(LSA提供者)”、\"Winsock Providers(Winsock提供者)\",“Drivers(驱动)“。下面重点介绍Drivers这一部分的功能。
运行autoruns之后,在它的“Options(选项)”菜单中有两项“Verifiy Code Signatures(验证代码签名)“Hide Signed Microsoft Entries(隐藏已签名的微软项)“,把这两项都选中了。验证代码签名是指验证所有dirvers下的.sys文件的文件签名。Windows下的硬件有一个签名的功能,它是为了保证所有的驱动文件是经过M$测试,符合HAL兼容性。隐藏已签名的微软项,就是把那些合法的隐藏起来。不然200多个,会看着发晕的。
这样autoruns就会检查所有已经注册成为驱动的项,并且检查所有的.sys的文件数字签名。所有假冒的或者没有通过代码签名的项,都会在这里列出来。也就可以很容易判断这个驱动是不是有问题了。如果有问题的话,可能通过冰刃把里面相关的注册表键值删除,重启机器,这样驱动保护就失效了,然后可以通过文件删除工具来删除其它的文件,完成最后的清理工作。
四、总结
最后再总结一下:
1、流氓软件删除不掉或者死灰复燃,很多时候是因为有驱动或服务保护
2、通过autoruns找到这些可疑的驱动
3、通过冰刃删除相关驱动健值或者直接用文件粉碎器删除相关的.sys文件,重启驱动就无效
4、清理其它文件,完成善后工作。
以上方法通过各种测试是证明有效的,但不排除将来有更进一步的隐藏手段来躲避autoruns的检查。但原理是一样的。不过是通过程序来减少工作量。
涔涔 发表于 2007-10-20 18:45
未知蠕虫分析与解决方案
目 录
一、病毒特征: 2
二、病毒描述: 2
三、行为分析: 2
四、解决方案: 4
附件1、弱口令字典列表 5
附件2、部分杀毒软件、防火墙进程 5
附件3、修改注册表项内容 6
附件4、遭受攻击时分析截图 7
附件5、终截者拦截蠕虫攻击截图 8
一、病毒特征:
样本名称: fwupdat.exe. 、configure.exe 、sslms.exe
样本大小: 213 KB (218,624 字节)、257 KB (263,168 字节)、259 KB (265,216 字节)
病毒类型: 蠕虫/后门
二、病毒描述:
集合IRC后门、蠕虫功能于一体的,通过网络共享和操作系统漏洞(MS03-026、MS02-061、MS03-007、MS04-011等)进行传播的病毒。
病毒会尝试通过弱密码登陆目标系统。病毒运行后把自己加载到注册表启动项,以使自己下次开机能够继续运行。病毒还会在感染的电脑上打
开后门接收攻击者发出的指令,然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码,占用大量网络带
宽资源,容易造成局域网阻塞。它通过IRC服务器接受攻击者发出的指令,例如安装/卸载后门、下载并运行文件、结束进程、运行代理服务器
、**流行游戏的帐号、对指定的IP进行DDoS(拒绝服务)攻击等。
目前已经有多个变种。修改多处注册表键,用以关闭杀毒软件、防火墙降低系统安全性。
三、行为分析:
1、蠕虫运行后复制自身到
%system32%\\ fwupdat.exe (变种名为:configure.exe 、sslms.exe)
2、在C盘根目录下生成 a.bat 批处理文件,其功能是将需要修改的注册表键值ECHO重定向到 Temp\\1.reg 并使用指令 START /WAIT
REGEDIT /S %temp%\\1.reg 将要修改的注册表内容静悄悄地导入注册表中。
(注: 相关的 a.bat 内容保存为 a.bat.txt )
3、将自身加载到注册表自启动项中,实现开机自动运行蠕虫。
Software\\Microsoft\\Windows\\CurrentVersion\\Run
Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
Software\\Microsoft\\OLE
SYSTEM\\CurrentControlSet\\Control\\Lsa
4、尝试弱口令扫描登录目标主机; (弱口令列表,请参看附件1)
5、扫描系统,终止杀毒软件、防火墙进程; (进程列表,参看附件2)
6、使用findpass获取WinLogon.exe进程空间中的管理员帐号(该方式适用于Win2000/XP系统)
7、连接到一个IRC服务器,等待恶意者的连接并接受控制,命令说明如下:
IRC指令如下:
JOIN %s %s 创建或加入闲聊室
NICK //更改别名
PART // 指名退出闲聊室的原因
QUIT // 退出
对目标主机的操作:
下载文件
发起拒绝服务(DDOS)攻击
执行基本的IRC命令
执行系统扫描
8、 修改多处注册表键,用于关闭微软防火墙及自动更新功能,以降低系统安全性。(注释详见附件3)
9、发去DDOS拒绝服务攻击;如 Syn flood、Wonk flood、UDP flood、Ping flood(参见附件4截图)
10、监听键盘事件,捕获帐号密码信息;
四、解决方案:
虽然用户电脑上安装了诺顿杀毒软件,但仍然遭受到蠕虫的攻击,而且在这个过程中,不仅清除不掉,还防不住!
全面的个人电脑病毒解决方案包括了抗病毒和杀病毒两方面。抗病毒属于防病毒中预防、免疫方面的范畴;杀毒软件是属于事后病毒查杀工具
,目前市场上所有杀毒软件的技术都是大同小异的,无非在病毒特征库的更新速度和数量多少及病毒查杀引擎性能上的区别。用户频繁更换杀
毒软件也是无济于事的。因为新病毒出现太快,老病毒变化多端,黑客及流氓软件又来凑热闹,当然只安装杀毒软件是有一点势单力薄,所以
需要增强电脑的抗病毒能力,具有事前免疫和对抗病毒的功能。
为什么越来越多的人们在安装杀毒软件的同时也安装了防火墙? 原因是什么? 就是因为杀毒软件不具备抗病毒能力。而“防火墙”
在这个安全体系中充当着防范攻击,防止入侵的功能。其本质也是属于抗病毒功能中“防范黑客入侵、避免系统遭到漏洞攻击“的一部分。
目前电脑中安装都是杀毒软件,抗病毒能力都很弱。终截者抗病毒软件的主要作用是:增强电脑对病毒的抵抗力,抗击黑客入侵和流
氓软件干扰。
先清除后巩固:
1、 使用 Terminator Lab样本的专杀工具清除;
2、 使用“终截者抗病毒软件”中的 安全回归 ,使系统迅速回归到标准的符合系统安全的状态;
3、 使用“安全分析专家”自带的“进程管理”、“自启动”管理,将上述特征的蠕虫清除。
4、 配制防火墙策略,拦截异常网络连接、拦截蠕虫缓冲区溢出。
[attach]76[/attach]
附件1、弱口令字典列表
[attach]77[/attach]
附件2、部分杀毒软件、防火墙进程
[attach]78[/attach]
附件3、修改注册表项内容
[attach]79[/attach]
附件4、遭受攻击时分析截图
[attach]80[/attach]
为保障客户安全,隐去内网真实IP地址
附件5、终截者拦截蠕虫攻击截图
[attach]81[/attach]
拦截来自MS03-039蠕虫攻击
[attach]82[/attach]
拦截蠕虫体感染系统
终截者拦截蠕虫攻击效果.jpg
[attach]83[/attach]
病毒体 configure随机打开多个端口.jpg
[attach]84[/attach]
涔涔 发表于 2007-10-20 18:51
驱动木马覆灭记
篇首语:
现在的木马越来越厉害,从Ring 3 到期 Ring 0直接杀进来。本文亦是从大概原理出发,配合工
具挖掘出这只“千里马”。
测试环境:
Windows Xp
终截者入侵阻止 v5.0
安全分析专家 v0.4
IceSword v1.16
反病毒调试程序 v1.2
Process Explorer v10.11
还有纸和笔…
开始了。。。
首先,还是要先激活这只“睡马”,醒了之后才会去找主人的。
[attach]85[/attach]
终截者入侵阻止中的“安全预警“拦截了,正问是否要放过这只“马”呢,一看,
既然是自己玩的“马“,当然要“允许”啦
很快,文件监视器生效了,可以在“病毒监控”框中记录下这只马跑过的地方,下过的蛋。。。嘿嘿。。
[attach]86[/attach]
把记录复制出来看看:
创建时间: 2006-06-15 14:31:37
位 置:d:\\windows\\system32\\yumhyeuj.d1l
>>> 注意, 这个文件的后缀是 .d1l (中间的是 数字 1 )
创建时间: 2006-06-15 14:31:37
位 置:d:\\windows\\system32\\drivers\\yumhyeuj.sys
>>> 驱动保护。驱动名:Yumhyeuj
创建时间: 2006-06-15 14:31:37
位 置:d:\\windows\\system32\\yumhyeuj.dll
>>> 注意,这个后经缀是字母 .dll
创建时间: 2006-06-15 14:31:48
位 置:d:\\windows\\system32\\config\\systemprofile\\local settings\\temporary internet
files\\content.ie5\\qg85n3v1\\xiaoyin[1].txt
>>>> 内容为:221.235.234.211:80
创建时间: 2006-06-15 14:32:19
位 置:d:\\docume~1\\cyq\\locals~1\\temp\\yumhyeuj.log
看看还有什么漏网之鱼,拿出“安全分析专家”,GO GO GO
[attach]87[/attach]
[attach]88[/attach]
发现了一个隐藏进程和一个隐藏服务
这里没有显示出 “完整的路径名称” 是否为BUG?
注: 在注册表中可以找到具体的而且是完整的路径名称:\\??\\D:\\WINDOWS\\System32
\\drivers\\Yumhyeuj.sys (是否在编程读取路径时碰到\\??导致读取失败)
[attach]89[/attach]
还有一个dll,则进来这里了。
想要去搜索这些文件,愣是没有找到??? 怎么可能? 难道这是一只“天马”?
[attach]90[/attach]
在CMD及资源管理器中是看不到这些病毒的存在的。
使用IceSword 查看SDT表, 原来系统被HOOK了文件的查找。
CODE:
d:\\windows\\system32\\drivers\\Yumhyeuj.sys 0x8058c1f4 NtQuerySystemInformation
d:\\windows\\system32\\drivers\\Yumhyeuj.sys 0x805961e4 NtQueryDirectoryFile
在这两个函数中无论是从CMD下还是在资源管理器中,实现了隐藏指定文件名的功能!
d:\\windows\\system32\\drivers\\Yumhyeuj.sys 0x805843fb NtQueryValueKey
d:\\windows\\system32\\drivers\\Yumhyeuj.sys 0x805997c4 NtDeviceIoControlFile
d:\\windows\\system32\\drivers\\Yumhyeuj.sys 0x8057e323 NtEnumerateKey
d:\\windows\\system32\\drivers\\Yumhyeuj.sys 0x8056b5f7 NtEnumerateValueKey
d:\\windows\\system32\\drivers\\Yumhyeuj.sys 0x8058372f NtOpenKEY
http://bbs.security.ccidnet.com/java%20script:
访问网址超出本站范围,不能确定是否安全
继续访问取消访问
[Copy to clipboard]
再用记事本打开d:\\docume~1\\cyq\\locals~1\\temp\\yumhyeuj.log看看它里面有什么内容
记录的格式:
CODE:
时间     窗口  路径名称
[2006-06-15 14:54:21] 口令 C:\\Program Files\\Foxmail\\Foxmail.exe
****  ? 这里存放记录的口令
[2006-06-15 14:54:25] 口令 C:\\Program Files\\Foxmail\\Foxmail.exe
****  <= 这里存放记录到邮箱密码
[2006-06-15 14:54:28] 解析主机地址 C:\\Program Files\\Foxmail\\Foxmail.exe
小结:
这只马首先会生成以下三个文件 yumhyeuj.d1l 、yumhyeuj.sys 、yumhyeuj.dll
还有一个是yumhyeuj.log,这里记录着你输入的任何一个键盘信息,包括你的帐号与密码
而xiaoyin[1].txt这个文件则记录着这只马的老家地址,发送个指令什么的。偶尔发送些东西什么的。。

然后,在一瞬间的时间,Process Explorer 中显示,Svchost.exe 正创建一个进程Iexplorer.exe (正常
的浏览器进程),只是被注入了两个DLL(yumhyeuj.d1l 、yumhyeuj.dll),实现其隐藏进程功能及监听
TCP 1030 端口。
从哪个.sys的文件来看,系统是被创建了驱动服务。
[attach]93[/attach]
[attach]91[/attach]
[attach]92[/attach]
清除:
打开注册表HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services,删除服务名为:
Yumhyeuj 的驱动服务。
这里记得不要急着去终止那个具有隐藏进程的Iexplorer.exe进程,一旦被终止,系统会被重启

恢复
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\dmserver\\Parameters下的ServiceDll =
%SystemRoot%\\System32\\dmserver.dll
被替换掉的内容参见下图
最后,重新启动后,删除三个小马(yumhyeuj.d1l 、yumhyeuj.sys 、y
涔涔 发表于 2007-10-20 18:53
使用安全重启来删除 Hxdef 后门
简介:
hxdef 是一款隐藏进程, 隐藏注册表, 隐藏连接, 隐藏文件的后门,
运行以后,你用任务管理器无法看到相应的进程,注册表这些。
作者还推出了黄金版的hxdef, 这个版本据说可以躲过iceword, knlps, rootkitreveal 这些内核级后门检测工具,
黄金版的是要付钱的, 呵呵。
但我相信,无论他怎么改, 使用安全重启一定可以把他找出来。
下面是我做的一个简单的介绍, 教你如何使用安全重启的。
一、运行我电脑里面一个病毒样本,hxdef
然后安全专家会拦截掉他,
为了描述安全重启的功能, 我们在这里面允许这个进程运行.
[attach]94[/attach]
二、点击主窗口上面的安全重启按钮
界面如下:
[attach]95[/attach]
[attach]96[/attach]
三、重新启动电脑完成后,
会弹出一个窗口,显示安全专家帮你拦截的进程列表
在这儿我们看到了 hxdef.exe 被拦截了。
[attach]97[/attach]
四、你可以选择编辑列表,
[/td][/tr][/table]
收藏分享评分
ads 10
回复引用
订阅TOP
发短消息加为好友
qqq1500 当前离线
嘎嘎
UID
289663
帖子
736
精华
0
积分
801
威望
170 点
通宝
138 元
支持度
20 点
阅读权限
40
在线时间
557 小时
注册时间
2007-2-14
最后登录
2009-5-19


小学生

沙发
发表于 2008-6-24 18:37 |只看该作者
是长了点哦。。。。 [s:7]
回复引用
TOP
发短消息加为好友
purdoch 当前离线
潜水ing
UID
70087
帖子
3586
精华
0
积分
3649
威望
46 点
通宝
177 元
支持度
22 点
阅读权限
60
在线时间
2686 小时
注册时间
2005-2-17
最后登录
2009-5-19


高中生

藤椅
发表于 2008-6-24 18:59 |只看该作者
记不住,看不完,很厉害啊。。
The flower opens, then the flower falls, star light shine , do not know when put out.
回复引用
TOP
发短消息加为好友
止戈为武 当前离线
灾难终会过去,阳光会洒满大地!
UID
226949
帖子
527
精华
0
积分
303
威望
27 点
通宝
219 元
支持度
3 点
阅读权限
40
在线时间
162 小时
注册时间
2006-10-22
最后登录
2009-5-18


小学生

板凳
发表于 2008-6-24 19:05 |只看该作者
长见识,不过好像看不完!
回复引用
TOP
发短消息加为好友
xvs777 (一只怨恨不息的骨龙!)当前在线
一只怨恨不息的骨龙!
UID
181381
帖子
4848
精华
0
积分
6365
威望
305 点
通宝
142 元
支持度
30 点
阅读权限
70
在线时间
5063 小时
注册时间
2006-2-2
最后登录
2009-5-19


专科生


报纸
发表于 2008-6-24 19:08 |只看该作者
学习下
回复引用
TOP
发短消息加为好友
づ锁僾崶鈊ヤ 当前在线
有圖才會有真相,而真相永遠只有
UID
119568
帖子
2043
精华
0
积分
955
威望
24 点
通宝
39 元
支持度
20 点
阅读权限
40
性别

来自
浙江杭州
在线时间
384 小时
注册时间
2005-7-5
最后登录
2009-5-19


小学生

地板
发表于 2008-6-24 19:18 |只看该作者
收了,谢谢
回复引用
TOP
发短消息加为好友
*绿之韵* 当前离线
相信别人的同时更要相信自己
UID
302854
帖子
11996
精华
4
积分
5380
威望
682 点
通宝
236 元
支持度
88 点
阅读权限
150
性别

来自
山东平度
在线时间
2037 小时
注册时间
2007-3-21
最后登录
2009-5-19


班主任


7#
发表于 2008-6-24 23:20 |只看该作者
学习,
回复引用
TOP
发短消息加为好友
太陽 当前离线
纯洁的小BB:有点时间就瞎鼓捣,
UID
200284
帖子
11279
精华
3
积分
9356
威望
12106 点
通宝
216 元
支持度
205 点
阅读权限
255
在线时间
5861 小时
注册时间
2006-7-4
最后登录
2009-5-19


校长


8#
发表于 2008-6-24 23:35 |只看该作者
排版真的很乱

回复引用
TOP
发短消息加为好友
hkarlene 当前离线
做人要塌实
UID
232324
帖子
2801
精华
0
积分
1246
威望
20 点
通宝
934 元
支持度
11 点
阅读权限
50
性别

在线时间
513 小时
注册时间
2006-11-6
最后登录
2009-4-19


初中生

9#
发表于 2008-6-25 01:17 |只看该作者
虽然很想转,不过你转得也太不专业了....
回复引用
TOP
发短消息加为好友
。请记住 当前离线
fly] 、请记住。I love you [/f
UID
456931
帖子
331
精华
0
积分
135
威望
4 点
通宝
42 元
支持度
6 点
阅读权限
30
性别

在线时间
34 小时
注册时间
2008-5-2
最后登录
2009-5-16


学前班

10#
发表于 2008-6-25 13:06 |只看该作者
眼都花了。。
请记住。I love you
回复引用
TOP
注册并登陆论坛看贴,可享受更多功能 !

㈡ ㈢ ㈣
= 网络文学 =新书快贴热门书帖1热门书帖2普通书帖储文区小说合集申请发新书TXT小说下载全本下载连载下载全本审核连载审核连载过期书迷交流推荐仓库精品储藏室书迷留声机
= 舞文弄墨 =心情故事往日情怀原创文学网载荟萃
= 休闲娱乐 =把酒侃天精品储藏06年 蓄水池(满)07年 蓄水池(满)08年 蓄水池09年 蓄水池体育专版电脑交流精品软件九月清音乐迷交流精华贮存室视觉天下美食天下随心拍拍摄影技巧时尚生活奢华时尚大众生活档案馆动漫阵营
= 游戏专区 =游戏综合区宠物专区和·稀·泥花猫家小兵一个圣骑士家族玩就是心跳网页机战pop玩网页游戏讨论区YES玩网页游戏讨论区空间应用讨论
= 会员俱乐部 =网友网聚九月希望工程
= 九月站务 =社区服务论坛公告区人事管理办公室岁月留声“岁月留声”九月一周年回顾珍藏版“岁月留声”九月二周年回顾珍藏版“岁月留声”九月三周年回顾珍藏版“岁月留声”九月四周年回顾珍藏版“岁月留声”九月五周年回顾珍藏版“岁月留声”九月六周年回顾珍藏版2005年节日庆典专栏
= 隐藏板块 =
黑道生涯
FLASH游戏
幸运大转盘
红包
社区银行
77YY
勋章中心
道具中心
警告中心
机器人大战
语音聊天室
成员
日志
相册
群组
话题
分享
九月 (津ICP备05003853号-1)|联系我们 |Archiver|WAP
零刻数据@双线通机房提供带宽QQ:89903060
Powered byDiscuz! 7.0.0Licensed
© 2001-2009Comsenz Inc.

本站仅提供网络交流平台,内容均为网友自愿分享/上传,与本站无关。如有侵权等违法行为请联系我们