课前大纲:
手杀很复杂,但可以做为杀毒软件的补充;手杀有局限,要求较高的不易做到,不过简单的东西可以学习;最先要做的和最重要的一点,是要找到、要认出病毒的文件。可以借助工具与一点简单的知识。
课程内容:
从名称上,不管是叫手工还是手动杀毒,也许是对应于自动杀毒,总之是不用杀毒软件的杀毒,但是仍然我会建议在自己动手后,尽量用杀毒软件或其它各种自动工具再查一遍,因为也许这时候经过病毒库的升级或我们的“抢救”,它们已经醒转过来、可以干活了,不过也很有可能还是一无所获。
从原理上解释杀毒软件杀不了毒的原因就是不认得病毒,只有将病毒的特征加入病毒库,杀毒软件才能够识别病毒,也只有对某种病毒的全部机制研究透彻,杀毒软件才能完美解决病毒(这就是有的杀毒软件虽然能认出病毒却杀不了或只能删除的原因,至于删不删得掉又是另一个问题,这涉及杀毒软件本身的能力与对病毒的了解程度)。正因为以上的原因,才有了我们要自己动手处理病毒的需要。
自己动手有个局限,就是水平问题,由于个人知识水平的差异,对于修复被感染文件这样级别的工作,很多群众做不了,即使是高手,如果要面对数量在几百个以上(哪怕只有十几个)待修复的文件也会手软,除非召唤出高高手编写对应的专门程序才能解决工作量的问题(专杀就这么来的)。此外,还有一些可能对普通用户来说是“高精尖”的操作要求无法有短时间内掌握,需要自我积累与学习进步,所以下面我只说最简单的、能够理解的东西,其余的大家以后慢慢探索吧。
要想手杀,最先要做的和最重要的一点,就是要找到、要认出病毒的文件。怎么认?一个是进程,一个启动项,还有一个临时文件夹,附带一个是根目录。从进程表和启动项中发现可疑的文件,是第一步,怎么发现,首先是要熟悉正常的时候是什么样的,其次是利用一些工具,windows自己的进程列表功能(win7的任务管理器改进多了)还是msconfig都太弱,显示不了比较完整的内容,好在现在很多工具都能显示比较完整详细进程、线程信息与启动项,比如各种卫士或助手软件、XueTr、PowerTool、SREng等等,冰刃这些老家伙虽然很厉害,可惜已经不更新了,新系统下能不能存活也成了问题,所以大家还是选一些新工具吧,好在大同小异,都差不多。
具体的问题来了,还是怎么识别的问题,我提供一些我以前的思路,不怕打广告,以前在别的论坛也发过,转一圈后也被人贴回来,可惜被改了有些偏离我的原意。下面扩展阅读供大家参考:通过时间、文件名、文件信息、位置来判断是否是病毒,以上方法仅供参考、参照,非绝对必要条件,不可生搬硬套。
说的是很简单,不过真的完全做到还是有点难度,因为需要对系统文件有一些熟悉,甚至是有一点英文底子,否则同样是一堆英文文件名字,如何认得哪个是无意义的随机组合,哪个是有规则、有含义的?平时的积累还是很重要的。(待续……)
课堂讨论与课后作业:无
注:原文首发于电脑报论坛,整理版有修正与补充,转载请注明出处
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1010.html
