学历|
高考
中考
考研
自考
成考
外语|
CET6
职称英语
商务英语
公共英语
资格|
公务员
报关员
银行
证券
司法
导游
教师
计算机|
等考
软考
工程|
一建
二建
造价师
监理师
咨询师
安全师
结构师
估价师
造价员
会计|
会计证
中级会计
注会
经济师
税务师
医学|
卫生资格
医师
药师
[更多]
系统中毒:一次病毒手杀记录
在客户这里做项目,发现客户给我的计算机上面在打开分区的时候,会另开一个窗口打开,查看了系统的文件夹选项,并将其还原为默认设置。发现情况依然,很明显,这台机器中毒了,磁盘下有autorun.inf这个东西!
现在大部分病毒和木马都通过在磁盘分区根目录下生成Autorun.inf。修改磁盘分区右键菜单的“打开”,“自动播放”等菜单项的点击操作,实现病毒自动运行。
一些典型的症状:
1、双击磁盘分区无法打开分区,提示找不到某某程序
2、双击响应速度变慢。
3、在新窗口打开
谨慎的通过在地址栏输入c:/等方式进入分区根目录。不要双击或右键哦!尝试显示隐藏文件和系统文件,诶,这个病毒居然没有修改文件夹的hidden的注册表项,可以显示系统文件和隐藏文件。果然,在每个分区根目录下面有两个隐藏的文件:autorun.inf和system.dll,但是没有.exe的可执行文件,有点奇怪。查看autorun.inf的内容:
[autorun]
shell/open/command=rundll32 system.dll,explore
shell/explore/command=rundll32 system.dll,explore
我不太了解这些语法,从字面意义上看,时调用rundll32 来调用这个syste.dll病毒控件。以前见过的其他autorun.inf的写法还有自定义右键菜单的,反正一句话,如果不是自定义的autorun.inf都是不正常的。
Autorun.inf本来是用在光驱上实现光盘自动播放的工具。本身无害,难而很容易被病毒利用以传播病毒。可以通过修改系统组策略禁止驱动器不自动播放,防范病毒通过自动播放达到自动运行。
尝试删除这两个文件,马上,3秒钟,这两个文件又生成了,说明有进程在监控这两个文件,删除了就补回来。尝试先建一个同名的文件抑制再生,就是建立一个同名的文件夹,根据windows文件建立规则,同一个目录下不能有同名的文件或文件夹。结果病毒自行先删除那个文件,重新建立。囧,看了那些抑制病毒再生的工具也可以退伍咯。
常见的抑制U盘病毒的工具,就是在U盘下面生成一个autorun.inf文件夹来实现抑制的。这也容易被病毒破解。要加强这种方式,可以通过修改autorun.inf文件夹的NTFS权限,禁止所有人删除!
打开任务管理器,发现有一些莫名进程,是一些数字和.txt,比如说3***.txt,进程不是都是.exe的么?不解,不管他了。结束掉,结束掉发现该进程并未再次生成。再次尝试删除那两个文件,依然如此,看来,我得知道是谁在生成那两个文件了。下载Filemon,这个软件微软的网站有下,我从skycn下的,别人修改过的filemon居然绑了流氓软件,什么上网助手啊,幸好是可以选择不安装。运行后,在过滤器里面添上过滤标志autorun.inf。发现居然是svchost在读写这个文件。右键选择进程,查看进程位置,c:/windows/system32。找到那个文件后,查看文件属性,Microsoft出品...,强行结束掉一个svchost,弹出提示要关机,赶忙输入shutdown -a停止自动关机。我预计这个文件被感染了,或者被利用了。这可如何是好。
很多病毒的进程名要么是不规则的,要么就是伪装的,可以通过工具软件,找到该可疑进程对应的文件的属性,路径,厂商来判断是不是正常的文件。
打开IE,以autorun.inf svchost system.dll搜索下相关信息,发现还是有一些的有人中了的,一打开那个网页,糟糕,网页给杀掉了,这病毒作者,学了很多东西嘛。这里我有一个想法啊,能不能让标题栏不显示网页的title啊。这样网页就不会给杀掉了。
很多病毒都通过钩子检查当前窗口的标题,如果符合一些特征,则将该窗口关闭。
这是流氓会武术,谁也挡不住啊。从另外一方面想,我不让病毒随机器启动运行也行。msconfig,查看系统服务和启动。在系统服务中隐藏掉微软服务,将那些服务禁止掉。启动里面,清理调未知的。重启,尝试删除那两个文件,依然再生,看来,病毒建立了驱动或者服务了,那需要工具了--SRENG。软件我就不介绍了,很好的工具。(只是我给作者反馈信息不理我,抑郁啊。)运行后,查看启动项,可以发现AppInit_DLLs被大量修改,还有就是Image File Execution Options中大量安全软件被处理,所以大部分的杀软无法启动了。
AppInit_DLLs
AppInit_DLLs 是启动项是初始化动态链接库 ,但是有病毒通过修改AppInit_DLLs来执行 ,通过修改[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs]键值来插入病毒.
让病毒在安全模式下也能运行。
Image File Execution Options,HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/windowsNT/currentversion/image file execution options,病毒通过修改该处键值,实现误导某些可执行程序的路径。比如说,在这个下面添加一个360safe.exe,然后将其键植改为virus.exe,那么我们在运行360safe时,实际上执行的是virus.exe!这个叫映像劫持!通常被病毒利用来阻止杀毒软件的运行。
通常病毒实现随系统启动的办法除了上面提到的两种方式,还有:
1、注册表项:RUN
2、注册表项:Userinit
3、作为服务启动
4、作为驱动启动
这里就可以找到那些文件,一个一个的DEL。本来想那么作,后来没有,我想,这些事情还是交给杀软去做吧。用SRENG按shift连续选择,将他们给del掉。删了,刷新后还有,难道病毒会重写回去呢。
现在大部分病毒和木马都通过在磁盘分区根目录下生成Autorun.inf。修改磁盘分区右键菜单的“打开”,“自动播放”等菜单项的点击操作,实现病毒自动运行。
一些典型的症状:
1、双击磁盘分区无法打开分区,提示找不到某某程序
2、双击响应速度变慢。
3、在新窗口打开
谨慎的通过在地址栏输入c:/等方式进入分区根目录。不要双击或右键哦!尝试显示隐藏文件和系统文件,诶,这个病毒居然没有修改文件夹的hidden的注册表项,可以显示系统文件和隐藏文件。果然,在每个分区根目录下面有两个隐藏的文件:autorun.inf和system.dll,但是没有.exe的可执行文件,有点奇怪。查看autorun.inf的内容:
[autorun]
shell/open/command=rundll32 system.dll,explore
shell/explore/command=rundll32 system.dll,explore
我不太了解这些语法,从字面意义上看,时调用rundll32 来调用这个syste.dll病毒控件。以前见过的其他autorun.inf的写法还有自定义右键菜单的,反正一句话,如果不是自定义的autorun.inf都是不正常的。
Autorun.inf本来是用在光驱上实现光盘自动播放的工具。本身无害,难而很容易被病毒利用以传播病毒。可以通过修改系统组策略禁止驱动器不自动播放,防范病毒通过自动播放达到自动运行。
尝试删除这两个文件,马上,3秒钟,这两个文件又生成了,说明有进程在监控这两个文件,删除了就补回来。尝试先建一个同名的文件抑制再生,就是建立一个同名的文件夹,根据windows文件建立规则,同一个目录下不能有同名的文件或文件夹。结果病毒自行先删除那个文件,重新建立。囧,看了那些抑制病毒再生的工具也可以退伍咯。
常见的抑制U盘病毒的工具,就是在U盘下面生成一个autorun.inf文件夹来实现抑制的。这也容易被病毒破解。要加强这种方式,可以通过修改autorun.inf文件夹的NTFS权限,禁止所有人删除!
打开任务管理器,发现有一些莫名进程,是一些数字和.txt,比如说3***.txt,进程不是都是.exe的么?不解,不管他了。结束掉,结束掉发现该进程并未再次生成。再次尝试删除那两个文件,依然如此,看来,我得知道是谁在生成那两个文件了。下载Filemon,这个软件微软的网站有下,我从skycn下的,别人修改过的filemon居然绑了流氓软件,什么上网助手啊,幸好是可以选择不安装。运行后,在过滤器里面添上过滤标志autorun.inf。发现居然是svchost在读写这个文件。右键选择进程,查看进程位置,c:/windows/system32。找到那个文件后,查看文件属性,Microsoft出品...,强行结束掉一个svchost,弹出提示要关机,赶忙输入shutdown -a停止自动关机。我预计这个文件被感染了,或者被利用了。这可如何是好。
很多病毒的进程名要么是不规则的,要么就是伪装的,可以通过工具软件,找到该可疑进程对应的文件的属性,路径,厂商来判断是不是正常的文件。
打开IE,以autorun.inf svchost system.dll搜索下相关信息,发现还是有一些的有人中了的,一打开那个网页,糟糕,网页给杀掉了,这病毒作者,学了很多东西嘛。这里我有一个想法啊,能不能让标题栏不显示网页的title啊。这样网页就不会给杀掉了。
很多病毒都通过钩子检查当前窗口的标题,如果符合一些特征,则将该窗口关闭。
这是流氓会武术,谁也挡不住啊。从另外一方面想,我不让病毒随机器启动运行也行。msconfig,查看系统服务和启动。在系统服务中隐藏掉微软服务,将那些服务禁止掉。启动里面,清理调未知的。重启,尝试删除那两个文件,依然再生,看来,病毒建立了驱动或者服务了,那需要工具了--SRENG。软件我就不介绍了,很好的工具。(只是我给作者反馈信息不理我,抑郁啊。)运行后,查看启动项,可以发现AppInit_DLLs被大量修改,还有就是Image File Execution Options中大量安全软件被处理,所以大部分的杀软无法启动了。
AppInit_DLLs
AppInit_DLLs 是启动项是初始化动态链接库 ,但是有病毒通过修改AppInit_DLLs来执行 ,通过修改[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs]键值来插入病毒.
让病毒在安全模式下也能运行。
Image File Execution Options,HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/windowsNT/currentversion/image file execution options,病毒通过修改该处键值,实现误导某些可执行程序的路径。比如说,在这个下面添加一个360safe.exe,然后将其键植改为virus.exe,那么我们在运行360safe时,实际上执行的是virus.exe!这个叫映像劫持!通常被病毒利用来阻止杀毒软件的运行。
通常病毒实现随系统启动的办法除了上面提到的两种方式,还有:
1、注册表项:RUN
2、注册表项:Userinit
3、作为服务启动
4、作为驱动启动
这里就可以找到那些文件,一个一个的DEL。本来想那么作,后来没有,我想,这些事情还是交给杀软去做吧。用SRENG按shift连续选择,将他们给del掉。删了,刷新后还有,难道病毒会重写回去呢。
视频学习
我考网版权与免责声明
① 凡本网注明稿件来源为"原创"的所有文字、图片和音视频稿件,版权均属本网所有。任何媒体、网站或个人转载、链接转贴或以其他方式复制发表时必须注明"稿件来源:我考网",违者本网将依法追究责任;
② 本网部分稿件来源于网络,任何单位或个人认为我考网发布的内容可能涉嫌侵犯其合法权益,应该及时向我考网书面反馈,并提供身份证明、权属证明及详细侵权情况证明,我考网在收到上述法律文件后,将会尽快移除被控侵权内容。
