熊貓燒香之手動(dòng)查殺

　　電腦已經(jīng)走進(jìn)我們的生活，與我們的生活息息相關(guān)，感覺已經(jīng)離不開電腦與網(wǎng)絡(luò)，對(duì)于電腦安全防范，今天小編在這里給大家推薦一些電腦病毒與木馬相關(guān)文章，歡迎大家圍觀參考，想了解更多，請(qǐng)繼續(xù)關(guān)注學(xué)習(xí)啦。

　　一、前言

　　作為本系列研究的開始，我選擇“熊貓燒香”這個(gè)病毒為研究對(duì)象。之所以選擇這一款病毒，主要是因?yàn)樗哂幸欢ǖ拇硇?。一方面它?dāng)時(shí)造成了極大的影響，使得無論是不是計(jì)算機(jī)從業(yè)人員，都對(duì)其有所耳聞;另一方面是因?yàn)檫@款病毒并沒有多高深的技術(shù)，即便是在當(dāng)時(shí)來講，其所采用的技術(shù)手段也是很一般的，利用我們目前掌握的知識(shí)，足夠?qū)⑵淦饰?。因此，我相信從這個(gè)病毒入手，會(huì)讓從前沒有接觸過病毒研究的讀者打消對(duì)病毒的恐懼心理，在整個(gè)學(xué)習(xí)的過程中開個(gè)好頭。

　　本篇文章先研究如何對(duì)“熊貓燒香”進(jìn)行手動(dòng)查殺。這里所說的手動(dòng)查殺，主要是指不通過編寫代碼的方式對(duì)病毒進(jìn)行查殺。說白了，基本上就是通過鼠標(biāo)的指指點(diǎn)點(diǎn)，有時(shí)再利用幾條DOS命令就能夠?qū)崿F(xiàn)殺毒的工作。但是不可否認(rèn)的是，采用這種方法是非常粗淺的，往往不能夠?qū)⒉《緩氐撞闅⒏蓛簦菑膶W(xué)習(xí)手動(dòng)查殺病毒起步，有助于我們更好地理解反病毒的工作，從而為以后更加深入的討論打下基礎(chǔ)。

　　需要說明的是，手動(dòng)查殺病毒并不代表在什么軟件都不使用的前提下對(duì)病毒進(jìn)行查殺，其實(shí)利用一些專業(yè)的分析軟件對(duì)于我們的查殺病毒的還是很有幫助的，這些工具我會(huì)在對(duì)不同的病毒的研究中進(jìn)行講解。另外，出于安全考慮，我的所有研究文章，都不會(huì)給大家提供病毒樣本，請(qǐng)大家自行上網(wǎng)尋找，我只會(huì)給出我所使用的病毒樣本的基本信息。

　　二、手動(dòng)查殺病毒流程

　　手動(dòng)查殺病毒木馬有一套“固定”的流程，總結(jié)如下：

　　1、排查可疑進(jìn)程。因?yàn)椴《就鶗?huì)創(chuàng)建出來一個(gè)或者多個(gè)進(jìn)程，因此我們需要分辨出哪些進(jìn)程是由病毒所創(chuàng)建，然后刪除可疑進(jìn)程。

　　2、檢查啟動(dòng)項(xiàng)。病毒為了實(shí)現(xiàn)自啟動(dòng)，會(huì)采用一些方法將自己添加到啟動(dòng)項(xiàng)中，從而實(shí)現(xiàn)自啟動(dòng)，所以我們需要把啟動(dòng)項(xiàng)中的病毒清除。

　　3、刪除病毒。在上一步的檢查啟動(dòng)項(xiàng)中，我們就能夠確定病毒主體的位置，這樣就可以順藤摸瓜，從根本上刪除病毒文件。

　　4、修復(fù)被病毒破壞的文件。這一步一般來說無法直接通過純手工完成，需利用相應(yīng)的軟件，不是我們討論的重點(diǎn)。

　　三、查殺病毒

　　我這里研究的“熊貓燒香”病毒樣本的基本信息如下：

　　MD5碼：87551e33d517442424e586d25a9f8522，

　　Sha-1碼：cbbab396803685d5de593259c9b2fe4b0d967bc7

　　文件大?。?9KB

　　大家在網(wǎng)上搜索到的病毒樣本可能與我的不同，但是基本上都是大同小異的，查殺的核心思想還是一樣的。

　　這里我將病毒樣本拷貝到之前配置好的虛擬機(jī)中(注意要備份)，首先打開“任務(wù)管理器”查看一下當(dāng)前進(jìn)程：

　　因?yàn)槲业奶摂M機(jī)系統(tǒng)中沒有安裝任何軟件，是很純凈的，所以一共有18個(gè)進(jìn)程(包含任務(wù)管理器進(jìn)程)，可以認(rèn)為這18個(gè)進(jìn)程是系統(tǒng)所必須的。有時(shí)我們就需要這樣的一個(gè)純凈系統(tǒng)，來與疑似中毒的系統(tǒng)進(jìn)行進(jìn)程的對(duì)比操作。然后我們運(yùn)行病毒，再次嘗試打開“任務(wù)管理器”，發(fā)現(xiàn)它剛打開就立刻被關(guān)閉了，說明病毒已經(jīng)對(duì)我們的系統(tǒng)產(chǎn)生了影響，而這第一個(gè)影響就是使得“任務(wù)管理器”無法打開。不過沒關(guān)系，我們可以在cmd中利用“tasklist”命令進(jìn)行查看。

　　通過對(duì)比可見這里多出了一個(gè)名為spoclsv.exe的進(jìn)程，那么我們可以通過命令“taskkill /f /im 1820”(強(qiáng)制刪除PID值為1820的文件映像)，從而將這個(gè)進(jìn)程結(jié)束掉：

　　這時(shí)就可以發(fā)現(xiàn)“任務(wù)管理器”可以被打開了，說明我們工作的第一步是成功的。然后需要對(duì)啟動(dòng)項(xiàng)進(jìn)行排查，可以在“運(yùn)行”中輸入“msconfig”：

　　這里很快就能夠鎖定“spoclsv.exe”這一項(xiàng)，我們首先需要記下其文件位置：

　　C:\WINDOWS\system32\drivers\spoclsv.exe

　　然后是注冊(cè)表位置：

　　HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　然后將這個(gè)啟動(dòng)項(xiàng)前面的對(duì)勾取消，來到注冊(cè)表相應(yīng)的位置，將Run中的“spoclsv.exe”刪除，并且刪除病毒文件本體：

　　以上工作完畢后，重啟系統(tǒng)，再次打開“任務(wù)管理器”，可以被正常打開，說明我們的工作是成功的。然后打開“我的電腦”，用鼠標(biāo)右鍵點(diǎn)擊一下各個(gè)盤符(我的系統(tǒng)只有C盤)。

　　我們?cè)谑謩?dòng)查殺病毒的時(shí)候，就應(yīng)該養(yǎng)成一個(gè)習(xí)慣，那就是使用右鍵來打開盤符，而不是通過雙擊左鍵的方式。在這里我們可以看到，鼠標(biāo)右鍵菜單中多出來了一個(gè)“Auto”項(xiàng)，那么很明顯C盤中存在autorun.inf的文件?？梢栽赾md中查看一下。

　　因?yàn)槲乙呀?jīng)確定C盤中存在autorun.inf文件，而使用dir命令卻沒有看到，說明它應(yīng)該是被隱藏了，所以這里要使用“dir /ah”(查看屬性為隱藏的文件和文件夾)命令。而我們也確實(shí)發(fā)現(xiàn)了autorun.inf與setup.exe這兩個(gè)可疑文件(因?yàn)檎Ｎ募遣恍枰[藏的，特別是EXE文件更加不需要隱藏自己，所以這個(gè)setup.exe屬于可疑文件)。因?yàn)檫@兩個(gè)可疑程序的屬性是隱藏的，所以這里可以先去掉其隱藏屬性，然后再進(jìn)行刪除。

　　重啟系統(tǒng)后，所有手動(dòng)查殺病毒的工作完畢，我們的系統(tǒng)就又恢復(fù)正常了。

　　四、小結(jié)

　　事實(shí)上，“熊貓燒香”對(duì)于我們的電腦的危害遠(yuǎn)不止于此，只是說在不使用任何輔助工具的前提下，我們能做的基本上就是這些了。對(duì)于“熊貓燒香”病毒的手動(dòng)查殺部分就到這里，在以后對(duì)于別的病毒的研究中，由于它們比“熊貓”要強(qiáng)大，我們不得不使用一些專業(yè)工具作為輔助。也希望大家能夠親自去嘗試，勤動(dòng)手，由這里開始，不再懼怕病毒。