上一篇主要介绍了工具(我是说主要啊,当然还有点别的内容),这一篇就来讲一下思路。
首先,我们要试验一下病毒的威力如何,知己知彼,方能百战不殆啊!
1.首先,打开杀毒软件,全盘扫描,要是没有出问题,而且杀出了病毒,
暂且不管清除与否,这个病毒实在没有水平可言了……
2.映像劫持,现在的病毒绝大多数都会映像劫持,阻止杀毒软件启动,
也就是双击杀软的主程序后什么都不出现。
对付这类病毒,主要思路就是恢复被劫持的注册表项,然后用杀软杀毒。
3.另一类病毒相对厉害一些,他们不仅采用影响劫持,而且会关闭修改了文件名从而启动的安全软件。
对付这类病毒,思路有二:
其一,使用冷门安全软件,也就是让病毒不知道这个是什么软件,
其二,设法结束病毒进程,然后修改安软文件名,再次启动就没有问题了。
4.再强一些的病毒,不仅做到了上边的几项,而且连系统自带的任务管理器、注册表编辑器都禁用了。
这个时候又该如何是好呢?别忘了,前边介绍过了,使用命令行界面的工具一般可以搞定此类病毒。
5.做到如上几项的服务型病毒,这类病毒有的用exe作服务,还比较好办,可以结束进程,
而有的干脆没有exe文件,让人不知如何是好,上有政策,下有对策,此类病毒一样可以对付!
首先,找到对应的服务,比如服务显示名为AAAAAA,服务名为aaa的服务型病毒
(本文不介绍显示名和服务名的区别,不明白的请自行到网上搜索。)
我们首先要做的,就是找到他的DLL文件名称和对应该病毒服务的进程。
还是用命令行,tasklist /svc,找到服务名为aaa的进程,taskkill /f /pid:*之!
注意,为什么这里采用PID,因为病毒利用系统服务加载,一般进程名为svchost.exe,
如果用进程名称结束,可能会牵连无辜,甚至出现系统倒计时关机!
接下来打开注册表编辑器,注意在windows目录找到regedit.exe,然后复制一份,
修改文件名后再打开,这样做主要是为了避免注册表编辑器被病毒影响劫持!
转到如下位置:HKEY_LOCAL_MACHINE\System\ControlSet00#\Services\aaa\Parameters
(#代表一个数字,一般情况下,类似的有2~3个分支,需要依次全部处理,aaa为服务名)
记住ServiceDll所指向的文件,然后退回到Services项,删除整个aaa项,
按此法,依次删除掉全部的aaa项以后,删除ServiceDll所指向的文件。
6.驱动级别的病毒,建议不要在正常模式下清除此类病毒,因为那是非常困难的!
在正常模式下,利用Autoruns等工具,确定病毒驱动名称,及其文件所在位置和文件名,
然后重启到安全模式,先删除驱动文件,接着打开设备管理器,点查看,选中“显示隐藏的设备”,
在非即插即用驱动程序下,卸载对应的驱动(有可能有黄色问好或感叹号标志),重新启动即可。
7.更为高级的病毒,利用Rootkit,Hook系统API函数,例如Hook了OpenProcess、TerminateProcess等函数
致使任务管理器无法结束其进程的,依然利用命令行工具ntsd,首先获得病毒进程的PID,
例如PID为1234,则使用“ntsd -c q -p 1234”来结束他的进程,接下来,就可以按照一般病毒的思路来处理了。
8.比上面所有介绍的还高明的病毒,目前为止我也没有见过,所以,谁见到了,自己想办法吧……
处理不掉只能认倒霉了,做系统吧!
好了,今天先写到这里了,后边的部分又不知道什么时候有时间了……
本文为作者原创,转载请注明出处(点饭论坛:
http://www.mpfans.org/)
[
本帖最后由 SONGBOWEN 于 2007-12-12 15:29 编辑 ]
