|
一款优秀的防火墙并不能防御所有的病毒,一款优秀的杀毒软件并不能查杀所有的带毒程序。在杀毒软件不是很智能的今天,简单的修改木马过几款出色的杀毒软件并不艰难。所以,在杀毒软件不能识别病毒的情况下,我们就有必要手工查杀病毒。
手工查杀病毒,顾名思义,就是在不使用杀毒软件的情况下人为的使用一些系统自带的或非系统自带的手工辅助工具进行查杀病毒。有些人怀疑手工杀毒是否有必要呢?其实,杀毒软件只是一条看门狗,作为主人的你,理论上应该比那条狗更清楚入屋者是不是贼才对。这只是作为管理者的一种基本意识。引用一位高手朋友的一句话:“只要杀毒软件还要更新病毒库,免杀就依然可以成功。”这也就说明了手工查杀病毒很有必要,因为杀毒软件是没办法识别经过免杀修改了的病毒的,这类病毒只能手工查杀。而手工查杀是不是需要很雄厚的基本功呢?实话实说,是应该对系统有所了解才能做得到,但是,意识都是慢慢培养的,学习也是一个缓慢的过程,接触多了,也就简单了。
废话至此,下面开始简单介绍一些查杀病毒的的方法:
课程总体分布
#1.任务管理器
#2.命令提示符(CMD)
#3.IceSword(冰刃)
#4.360安全卫士(辅助学习的好工具)
#5.简单应用,免杀灰鸽子手工查杀实例
#6.常用启动项
#7.映像劫持
#8.单挑07年毒王----AV终结者
一.常用工具使用简介
1.任务管理器
任务管理器是大家最常用的工具,有两种比较简单的打开方式:一种是组合键Ctrl+Alt+Delete,另一种是在任务栏右键→任务管理器。在任务管理器的应用程序栏里面显示的是正在运行的正常程序的,而病毒程序是不会显示出来的, 所以我们一般都查看进程栏。在这里我首先向大家介绍一些主要的系统进程: 1.svchost.exe
进程文件:svchost或者svchost.exe
描述:svchost host proscess是一个标准的动态链接库主机处理服务
2.iexplore.exe
进程文件:iexplore或者iexplore.exe
描述:microsoft internet explorer浏览器用于浏览网页。
3.rundll32.exe
进程文件:rundll32或者rundll32.exe
描述:windows rundll32 为了需要调用dlls的程序。
4.ctfmon.exe
名称:alternativeuserinputservices
描述: office xp输入法图标。
5.winlogon.exe
进程文件:winlogon或者winlogon.exe
描述:windows NT用户登录程序。
6.alg.exe
进程文件:alg或者alg.exe
描述:这是一个应用层网关服务用于网络共享。
7.smss.exe
进程文件:smss或者smss.exe
描述:进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登录过程。
8.explorer.exe
进程文件:explorer或者explorer.exe
描述:windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单、任务栏,桌面以及文件管理。
9.csrss.exe
进程文件:csrss或者csrss.exe
描述:客户端服务子程序,用以控制windows图形相关子系统。
10.lsass.exe
进程文件:lsass或者lsass.exe
描述:本地安全权限服务控制windows安全机制。
11.conime.exe
进程文件:conime或者conime.exe
描述:输入法编辑器相关程序。
12.wmiprvse.exe
进程文件:wmiprvse或者wmiprvse.exe
描述:用于通过winmgmt.exe程序处理wmi操作。。
13.services.exe
进程文件: services 或者 services.exe
描述:用于管理windows服务系统进程。
系统进程路径对照表:
alg.exe 路径为C:\WINDOWS\system32\alg.exe;
conime.exe 路径为C:\WINDOWS\system32\conime.exe;
csrss.exe 路径为C:\WINDOWS\system32\csrss.exe;
ctfmon.exe 路径为C:\WINDOWS\system32\ctfmon.exe;
explorer.exe 路径为C:\WINDOWS\explorer.exe;
iexplore.exe 路径为C:\Program Files\Internet Explorer\iexplore.exe;
lsass.exe 路径为C:\WINDOWS\system32\lsass.exe;
rundll32.exe 路径为C:\WINDOWS\system32\rundll32.exe;
services.exe 路径为C:\WINDOWS\system32\services.exe;
smss.exe 路径为C:\WINDOWS\system32\smss.exe;
svchost.exe 路径为C:\WINDOWS\system32\svchost.exe;
winlogon.exe 路径为C:\WINDOWS\system32\winlogon.exe;
wmiprvse.exe 路径为C:\WINDOWS\system32\wbem\wmiprvse.exe;
上面的大多是一些随着系统启动的系统进程(iexplore.exe除外,如果开机就弹出网页或出现iexplore.exe进程就可以初步判定它是木马或者恶意程序), 其中有的机子rundll32.exe是不随机启动的,wmiprvse.exe开机启动后过些时间会消失,必要时还会启动。
对于陌生进程,我们可以考虑到百度搜索,查看一下是否为病毒进程。在此推荐大家遇到危险进程的时候查看一下危险进程速查表:
【危险进程速查表】
在任务管理器我们可以获取很多有用信息,例如进程的PID,所占用的内存、CPU,I/O写入等等,在系统运行不正常时我们可以根据这些信息来判断病毒的所在。
其中PID和I/O写入项在 查看→选择列里选择显示,默认是不显示的,自己可以配置一下,把PID、I/O写入和I/O写入字节勾选上,即可查看到我们所想要的信息,如下图:
【图3】
【图4】
【图5】
PID指的是进程的标识号,系统中是不会存在重复PID的,它们在启动的时候随机生成,只有两个例外,如上图:System Idle Process进程的PID为0,System进程的PID为4,它们是固定不变的。
利用任务管理器,我们可以查看到每个进程所占用的内存和CPU的大小,正常来说,系统进程占用的内存并不多,一般不会超过50M,如果某个系统进程超过了100M的话就要留意了,很有可能已经被病毒注入。当你发觉硬盘灯狂闪时,就应该查看一下哪个进程占用的内存特别多,借以判断问题的源头,但有些时候所有的进程占用的内存并不多而硬盘灯也狂闪,我们就可以查看I/O写入和I/O写入字节的大小,问题一般都出在数值最大的进程上,这就是勾选出I/O写入和I/O写入字节I/O写入和I/O写入字节的作用所在。
当任务管理器打不开时,可用下面三种方法修复: 方法一:修改注册表。运行→regedit,展开到:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
找到"DisableTaskmgr"把dword值设置为00000000
方法二:
打开记事本,把下面的内容保存成.reg文件,然后双击导入恢复。
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskmgr"=dword:00000000
(最后一行留一空行)
方法三:利用组策略:
开始/运行/gpedit.msc,
在用户配置-管理模板-系统-CTRL+ALT+DELE选项,在左边找到“删除任务管理器”
双击打开,设置为未配置,或者禁用。
当注册表都被锁上时,可用记事本把下面内容保存成.bat文件,然后双击运行解锁: @reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d 00000000 /f
start regedit
|
|