以下内容摘选自“新手无毒入门培训第十四课文档”。其中红色注释部分为本人补充(标点改了好久,海老大下次能不能全用全角逗号)。
辅助手工杀毒的工具比较多,比较火的是冰刃、wsyscheck、XueTr等,这三款工具都是windows系统中功能强大的手工杀毒利器,其中冰刃的诞生时间最长, XueTr属于相对后起之秀了,不过我们只会教大家XueTr的使用方法,因为XueTr可以没有任何障碍的运用在最新的 windows 7 系统里,而且功能上也稍微强大些,如果熟悉了XueTr,那么另两款工具上手也不难了。(注:最新版本的XueTr支持windows 7 Sp1,不支持64位,可去开发者博客下载。)
工具初次打开后就会立刻显示出系统里目前存在的所有进程
这个进程列表有 7 个栏目查看,分别为:
1、映像名称:进程名字
2、进程ID:进程的Id号码
3、父进程ID:说明该进程由谁创建启动的,比如这里XueTr程序是在winrar压缩包里双击打开的
所以XueTr是由winrar创建的,因此它父进程ID号和WINRAR程序ID号一样都是2476
4、映像路径:进程文件的具体位置
5、EPROCESS:进程在系统内核的地址,熟悉点Windows内核的人,可以通过这个地址查看更多的信息,但我们的教程是面向新人的,所以可以不在意这些信息,也不影响平时使用
6、应用层访问状态:说明这个进程是否允许其它进程对自己操作,比如关闭自己,一般的杀毒软件有自我保护,会禁止其它进程对自己有任何操作
7、文件厂商:显示进程文件由那个公司出品,可以了解下该程序的出处背景,不过要知道这个文件厂商信息很容易伪造,所以只能做个参考而已不可全信
除了这些项目,大家应该可以发现上图中我的进程项目都是用黑色和蓝色来表现的,这里不同的颜色就代表不同的意义
黑色—表示这个进程的主文件是微软的,比较安全
蓝色—这个进程文件不是微软出品的,可能是其他的公司或个人制作,安全性有待考证
粉红—也是安全有待考证,说明这个进程中还包含了其它文件,比如有些DLL文件插入到本进程里,而这些文件没有签名,默认情况下软件不会显示粉色,需要我们右击任意进程,选择校验所有签名才行
而如果我们选择一个微软的进程,然后它所包含的模块文件里有些文件是非微软公司出品的,就会用黄色显示出来
红色—比较危险了,说明进程是隐藏的或者有其它反常表现
(注,开发者的颜色说明:
1.驱动检测到的可疑对象,隐藏服务、进程、被挂钩函数 ----> 红色
2.文件厂商是微软的 ----> 黑色
3.文件厂商非微软的 ----> 蓝色
4.如果您效验了所有签名,对没有签名的模块行 ---> 粉红色
5.进程标签下,当下方使用模块窗口时,对文件厂商是微软的进程,会检测其所有模块,如果有模块是非微软的 ----> 土黄色)
进程的检测是对病毒查杀的第一步了,这款工具对于检测到的进程操控能力很强,右击进程可以在弹出的菜单里做出各个需要的操作,相信这些文字大家都看的懂
我们选择些比较实用的说下。前面提到很多病毒木马会进入到正常进程内部,起到隐藏和保护自己的目的,所以查看每个进程里包含的文件就很重要了,右击任意进程选择在下方显示模块窗口就可以了,这是后单击某个进程就可以在下方窗口显示出进程里面包含的所有文件了
不过默认中显示的并不完全,右击选择显示所有模块可以查看到那些微软出品的,软件自认为是安全的模块文件
这时候细心的网友会注意到软件最下方一栏显示的信息
这栏相当于对当前情况的一个汇总,意思是系统里面一共有 60个进程,隐藏的危险进程没有,有4 个进程自我保护不能轻易被其它程序关闭或控制。
当前我选择的进程名字是 svchost.exe,里面有39个模块文件,其中有1个不是微软出品的。一个进程中包含了而很多模块文件是很正常的事,如果要想辨别出病毒程序就比较麻烦了,需要一定的系统知识和了解。
假如我们判定某一个模块文件为恶意程序,可以右击它选择卸载模块、全局卸载、删除三种方式
分别代表将这个模块文件从改进程里除掉、将这个模块文件从所有进程里除掉、直接删除了这个文件(如果认定是病毒木马就可以采取后两个措施),不过实际操作中需要判断准确,因为如果错误卸载了正常安全的模块可能会引起系统崩溃,死机等等。而右击模块文件弹出的菜单里校验数字签名、查看模块文件属性等等都有助于判断。
不过仅供参考而已,不能作为唯一标准
当然有时候杀毒软件会给出警报提示有某个文件是病毒,但是又无法清除,这很可能因为病毒文件插入到了其他进程之中,既然已经知道了文件名字那么要查出在哪个进程中就比较好办了,不需要一个个进程慢慢看,只需要右击选择在”进程中查找模块”,然后输入文件完整名字即可,找到了隐蔽之所那么就能右击来选择你所需要的操作搞定了。
上面大概的介绍了下xuetr在进程管理方面主要用到的功能,而那些卸载模块、删除模块、结束进程、结束进程删除文件等等力度都十分强大,对于很多具备自我保护的杀毒软件和顽固难缠病毒都可以轻松结束和删除。当然光光操作进程也不够的我们一起认识下另外一些功能。
驱动模块
这些以sys、dll结尾的文件虽然不能像exe程序那样直接双击运行,但是它们的破坏力确实相当强悍,它们比一般的exe程序拥有更高的权限更容易接触系统核心,这些文件都以系统服务或者驱动的形式运行着,在进程管理查看工具里是看不到了。
默认情况下显示的都是已经启动的驱动,但是不代表系统中就这些,还有些没有运行的驱动如果想看到就需要右击将“仅显示已加载驱动”取消了
驱动文件要想从名字上来识别是否正常可比进程辨别难多了,所以右键菜单还提供了在线搜索驱动名和在线分析两项。在线搜索就是打开google网页搜索该文件名字
而在线分析则打开著名的多引擎扫描网站,由网友们自己上传这个文件让37款杀毒软件扫描检测下
网友们可以根据这两种在线分析判断下驱动是否正常,对于恶意文件也可以右击采取删除操作。
好了,下面是几个比较高深的技术,新人目前还不是和理解,所以我们简单概括下:
内核
这里会显示一些驱动文件的具体位置,出处和在系统核心中地址等等,对于一些没有厂商出处的需要注意下。过滤驱动大多运用在安全软件上面,顾名思义就是过滤电脑中或网络上传输来的数据,筛选出有害的给出警报,比如文件过滤驱动可以监控文件操作等,键盘过滤驱动可以监控键盘的一些操作(这样可以实现一些快捷键效果,也有一些病毒木马利用这个来记录键盘输入)。
对象劫持的一些说明:可以理解成系统中的一些文件被替换。如果您的系统出现一些劫持情况,也不必惊慌,这可能是正常现象,因为有些安装有些杀毒软件会出现这个情况。
上图所示的“\Device\Harddisk\DR0的下层设备/驱动被劫持”是机器感染TDL3+病毒后出现的,这个病毒劫持了磁盘的一些操作,但安装某些还原软件后也会有这种情况。
如果您那里出现“内核模块文件被替换,可能是驱动程序升级后未重启电脑导致的,也可能是被病毒劫持了”,很可能是Window打补丁或者一些有在线升级功能的程序升级驱动模块后未重启电脑导致的,当然有些病毒也会替换系统里的一些正常驱动(比如beep.sys等)来实现驱动加载,遇到这个情况需要您仔细辨认。
如果出现“\Device\KeyboardClassX的下层设备/驱动被劫持”则表示键盘相关操作可能被劫持,要注意下机器上是否安装有键盘记录器等。(注,不是所有的键盘记录行为都是病毒木马,一些安全控件也有可能有此类行为,如卡巴斯基提示PDM.Keylogger,则可能是支付宝控件)
如果出现“进程对象被隐藏或者篡改”则表示有进程对象被恶意篡改等。
DPC定时器大致作用:目前有不少正常程序和rootkit会利用DPC定时器反复检查自身的Hook是否被恢复。
GDT:CPU内核模式下的一种很抽象术语,还没想到什么通俗易懂解释,不过和前面的进程查看一样,如果是红色的需要警惕了。
内核钩子
简单地说就是拦截各种系统命令的动作,比如我们右击删除一个文件,那么就会给系统发出一个“我要删除这个文件”的命令。收到后windows再转给系统中专门负责删除职能的那个人,由他去具体执行,而如果病毒采用了钩子,则会监视这些操作,将所有命令先经过自己手。如果发现删除命令的对象是自己,那么就把这个命令抛弃掉,如果是其他的就继续交给那个人来执行。就有点类似于奸臣扣留所有对自己不利的奏章,欺上瞒下那种。不过并不是所有钩子都是病毒的杰作,安全软件基本都有的,如何辨别就需要对文件名字有一定了解或上网搜索下。
应用层钩子意思也差不多,不过级别没有内核高
网络项目对于新手来说还比较好用,可以知道哪些进程有联网行为,不过美中不足的是似乎不能在这里结束进程
这里的连接状态大多时候分为
LISTEN:正在监听中,随时准备连接某一个目标
SYN_SENT:客户端通过应用程序调用connect进行active open,于是客户端tcp发送一个SYN以请求建立一个连接,之后状态置为SYN_SENT
SYN_RECV:服务端应发出ACK确认客户端的 SYN,同时自己向客户端发送一个SYN,之后状态置为SYN_RECV
ESTABLISHED:代表一个打开的连接,双方可以进行或已经在数据交互了
CLOSE_WAIT:连接正在准备跟对方断开
TIME_WAIT:表示系统在等待对方的相应,让对方回复到底连还是不连
CLOSING:比较少见
CLOSED:连接被关闭
TCPIP部分功能默认显示所有和网络连接相关函数
浏览器的插件,很多软件安装完毕或者流氓软件都会在浏览器里驻足,过多的插件会给浏览器带来不稳定
浏览器右键菜单内容显示,和很多清理工具差不多。
SPI简单地说就是现实计算机目前所有的硬件接口和设备,右击有一个恢复lsp的选项,而这个LSP即分层服务提供商,再好的方面可以被利用编写网络监控软件,坏的方面会被木马软件利用劫持浏览器,有时候清除了病毒木马但还是无法连接网络也可能和没有恢复 lsp有关。
Hosts文件,可能不少人都知道了
修改里面的内容会屏蔽一些网站,比如下面我们将网易的网址转到127.0.0.1这个ip上面,但是网易服务器的ip明显不是这个,所以打开网易就会失败,出现无法访问的现象,当然只对本机有效
注册表,不需要多说了吧,如果病毒禁止你使用注册表那么就可以到这里来操作,注册表里包含了而系统基本所有的设置,有关修改注册表来实现一些系统和软件设置更改的教程可以写厚厚一本书,我们这里就不多说了,大家可以自己搜索些注册表技巧看看。
文件管理器,这在小菜们手工杀毒方面也是非常重要必备的,这里可以像在我的电脑或者资源管理器那样操作文件,不过他更加强大实用,可以查看此盘里面所有的文件和文件夹,不管是否被隐藏,右击某个文件弹出的菜单也非常强大,一些正常情况下不能被删除修改的文件在这里都能轻松被消灭。
这里可能会有很多红色显示的文件,不一定都是危害,因为对于隐藏的文件都会用红色显示,而windows系统里有大量自带的文件和文件夹默认状态下都是被隐藏的。
右键菜单的第二个选项“查看锁定情况”有些网友可能比较陌生,一般无法访问或操作某个文件时,您可以用本功能看看这个文件被那些程序占用了,解锁后一般就可以访问或操作这个文件了。
而删除不了的文件可以试试强制删除或者添加到重启删除,当然对于一些比较顽固难产的病毒文件为了彻底杀灭可以用删除后组织文件再生或者重启替换为...来防止它死灰复燃
另外右击某一个磁盘或文件夹可以进行搜索操作,这里的搜索功能比windows自带的强大很多,供选择的条件比较丰富
作为手工杀毒利器,病毒木马最喜欢的开机自动运行也被分析的很干净
这里分别显示了一些会自动运行的程序位置名称,等等,第二项的类型则是启动的方式,有注册表启动,也有在启动文件夹里实现开机启动的,等等。和前面查看进程一样,黑色是被认为安全的微软公司出品文件,蓝色则是其他软件公司或个人的作品。
服务栏目里列举了本机所有的服务项目,这些也都是会开机自动启动的。
当然我们早就说过病毒木马的启动并非一定要在这些位置,它们也会在后期让用户在不经意间运行病毒,比如下面的系统杂项,就包含了一些可能被篡改的内容。比如文件关联,指定了某一种格式的文件应该如何被打开,红色的是工具所不认识的方式,但也未必就是错误有害的,及时修复也可以。
映像劫持之前也提到过,曾经火爆一时,现在也是需要注意。
IME输入法
系统中安装了那些输入法,输入法之间一般通过快捷键切换,有些病毒会把自己注册成一种输入法,当用户通过快捷键切换输入法的时候,就有可能把病毒激活。我的系统里只安装了搜狗输入法,因为他不是微软的产品,所以蓝色显示。
系统防火墙规则
Windows自带防火墙的过滤规则,类型里的standard app 表示这是以程序文件,而 open port表示一个端口号码。状态栏中的Enabled表示允许联网规则,Disable表示禁止联网规则。少数病毒为了顺利连接外网,也会把自己添加到系统防火墙规则里。设置为Enabled。这样这些在访问网络系统防火墙就不会报警,而是直接放行。所以查看下规则,对于有误的及时修改删除也是很有必要的
不过很多网友都不用系统自带的防火墙,那样就不会看到任何有关的规则了。
杂项里面是一些修复功能,可以用于杀毒完毕的善后或者被病毒破坏了一些设置的修复。
Mbr备份恢复功能也可以试一试,因为现在也出现了破坏mbr达到重装系统都无法搞定的病毒了,不过需要注意的是重置MBR和BootSector是一个相当危险的操作,稍有不慎就可能导致系统无法启动。
最后软件还提供了一些实用的小功能,比如,禁止创建进程、禁止创建文件、禁止创建注册表等功能在杀毒的时候十分适用,可以十分有效的限制病毒行为,让你手工杀毒更快捷。这里我勾选了第一个禁止创建进程,因为双击打开一个文件程序都会产生一个进程,所以这时候我们双击任何程序都会弹出错误或没有反应。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/975.html