六月丁香五月婷婷,丁香五月婷婷网,欧美激情网站,日本护士xxxx,禁止18岁天天操夜夜操,18岁禁止1000免费,国产福利无码一区色费

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 病毒知識 > 熊貓燒香之手動(dòng)查殺

熊貓燒香之手動(dòng)查殺

時(shí)間: 若木635 分享

熊貓燒香之手動(dòng)查殺

  電腦已經(jīng)走進(jìn)我們的生活,與我們的生活息息相關(guān),感覺已經(jīng)離不開電腦與網(wǎng)絡(luò),對于電腦安全防范,今天小編在這里給大家推薦一些電腦病毒與木馬相關(guān)文章,歡迎大家圍觀參考,想了解更多,請繼續(xù)關(guān)注學(xué)習(xí)啦。

  一、前言

  作為本系列研究的開始,我選擇“熊貓燒香”這個(gè)病毒為研究對象。之所以選擇這一款病毒,主要是因?yàn)樗哂幸欢ǖ拇硇浴R环矫嫠?dāng)時(shí)造成了極大的影響,使得無論是不是計(jì)算機(jī)從業(yè)人員,都對其有所耳聞;另一方面是因?yàn)檫@款病毒并沒有多高深的技術(shù),即便是在當(dāng)時(shí)來講,其所采用的技術(shù)手段也是很一般的,利用我們目前掌握的知識,足夠?qū)⑵淦饰觥R虼?,我相信從這個(gè)病毒入手,會(huì)讓從前沒有接觸過病毒研究的讀者打消對病毒的恐懼心理,在整個(gè)學(xué)習(xí)的過程中開個(gè)好頭。

  本篇文章先研究如何對“熊貓燒香”進(jìn)行手動(dòng)查殺。這里所說的手動(dòng)查殺,主要是指不通過編寫代碼的方式對病毒進(jìn)行查殺。說白了,基本上就是通過鼠標(biāo)的指指點(diǎn)點(diǎn),有時(shí)再利用幾條DOS命令就能夠?qū)崿F(xiàn)殺毒的工作。但是不可否認(rèn)的是,采用這種方法是非常粗淺的,往往不能夠?qū)⒉《緩氐撞闅⒏蓛?,但是從學(xué)習(xí)手動(dòng)查殺病毒起步,有助于我們更好地理解反病毒的工作,從而為以后更加深入的討論打下基礎(chǔ)。

  需要說明的是,手動(dòng)查殺病毒并不代表在什么軟件都不使用的前提下對病毒進(jìn)行查殺,其實(shí)利用一些專業(yè)的分析軟件對于我們的查殺病毒的還是很有幫助的,這些工具我會(huì)在對不同的病毒的研究中進(jìn)行講解。另外,出于安全考慮,我的所有研究文章,都不會(huì)給大家提供病毒樣本,請大家自行上網(wǎng)尋找,我只會(huì)給出我所使用的病毒樣本的基本信息。

  二、手動(dòng)查殺病毒流程

  手動(dòng)查殺病毒木馬有一套“固定”的流程,總結(jié)如下:

  1、排查可疑進(jìn)程。因?yàn)椴《就鶗?huì)創(chuàng)建出來一個(gè)或者多個(gè)進(jìn)程,因此我們需要分辨出哪些進(jìn)程是由病毒所創(chuàng)建,然后刪除可疑進(jìn)程。

  2、檢查啟動(dòng)項(xiàng)。病毒為了實(shí)現(xiàn)自啟動(dòng),會(huì)采用一些方法將自己添加到啟動(dòng)項(xiàng)中,從而實(shí)現(xiàn)自啟動(dòng),所以我們需要把啟動(dòng)項(xiàng)中的病毒清除。

  3、刪除病毒。在上一步的檢查啟動(dòng)項(xiàng)中,我們就能夠確定病毒主體的位置,這樣就可以順藤摸瓜,從根本上刪除病毒文件。

  4、修復(fù)被病毒破壞的文件。這一步一般來說無法直接通過純手工完成,需利用相應(yīng)的軟件,不是我們討論的重點(diǎn)。

  三、查殺病毒

  我這里研究的“熊貓燒香”病毒樣本的基本信息如下:

  MD5碼:87551e33d517442424e586d25a9f8522,

  Sha-1碼:cbbab396803685d5de593259c9b2fe4b0d967bc7

  文件大?。?9KB

  大家在網(wǎng)上搜索到的病毒樣本可能與我的不同,但是基本上都是大同小異的,查殺的核心思想還是一樣的。

  這里我將病毒樣本拷貝到之前配置好的虛擬機(jī)中(注意要備份),首先打開“任務(wù)管理器”查看一下當(dāng)前進(jìn)程:

  因?yàn)槲业奶摂M機(jī)系統(tǒng)中沒有安裝任何軟件,是很純凈的,所以一共有18個(gè)進(jìn)程(包含任務(wù)管理器進(jìn)程),可以認(rèn)為這18個(gè)進(jìn)程是系統(tǒng)所必須的。有時(shí)我們就需要這樣的一個(gè)純凈系統(tǒng),來與疑似中毒的系統(tǒng)進(jìn)行進(jìn)程的對比操作。然后我們運(yùn)行病毒,再次嘗試打開“任務(wù)管理器”,發(fā)現(xiàn)它剛打開就立刻被關(guān)閉了,說明病毒已經(jīng)對我們的系統(tǒng)產(chǎn)生了影響,而這第一個(gè)影響就是使得“任務(wù)管理器”無法打開。不過沒關(guān)系,我們可以在cmd中利用“tasklist”命令進(jìn)行查看。

  通過對比可見這里多出了一個(gè)名為spoclsv.exe的進(jìn)程,那么我們可以通過命令“taskkill /f /im 1820”(強(qiáng)制刪除PID值為1820的文件映像),從而將這個(gè)進(jìn)程結(jié)束掉:

  這時(shí)就可以發(fā)現(xiàn)“任務(wù)管理器”可以被打開了,說明我們工作的第一步是成功的。然后需要對啟動(dòng)項(xiàng)進(jìn)行排查,可以在“運(yùn)行”中輸入“msconfig”:

  這里很快就能夠鎖定“spoclsv.exe”這一項(xiàng),我們首先需要記下其文件位置:

  C:\WINDOWS\system32\drivers\spoclsv.exe

  然后是注冊表位置:

  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  然后將這個(gè)啟動(dòng)項(xiàng)前面的對勾取消,來到注冊表相應(yīng)的位置,將Run中的“spoclsv.exe”刪除,并且刪除病毒文件本體:

  以上工作完畢后,重啟系統(tǒng),再次打開“任務(wù)管理器”,可以被正常打開,說明我們的工作是成功的。然后打開“我的電腦”,用鼠標(biāo)右鍵點(diǎn)擊一下各個(gè)盤符(我的系統(tǒng)只有C盤)。

  我們在手動(dòng)查殺病毒的時(shí)候,就應(yīng)該養(yǎng)成一個(gè)習(xí)慣,那就是使用右鍵來打開盤符,而不是通過雙擊左鍵的方式。在這里我們可以看到,鼠標(biāo)右鍵菜單中多出來了一個(gè)“Auto”項(xiàng),那么很明顯C盤中存在autorun.inf的文件??梢栽赾md中查看一下。

  因?yàn)槲乙呀?jīng)確定C盤中存在autorun.inf文件,而使用dir命令卻沒有看到,說明它應(yīng)該是被隱藏了,所以這里要使用“dir /ah”(查看屬性為隱藏的文件和文件夾)命令。而我們也確實(shí)發(fā)現(xiàn)了autorun.inf與setup.exe這兩個(gè)可疑文件(因?yàn)檎N募遣恍枰[藏的,特別是EXE文件更加不需要隱藏自己,所以這個(gè)setup.exe屬于可疑文件)。因?yàn)檫@兩個(gè)可疑程序的屬性是隱藏的,所以這里可以先去掉其隱藏屬性,然后再進(jìn)行刪除。

  重啟系統(tǒng)后,所有手動(dòng)查殺病毒的工作完畢,我們的系統(tǒng)就又恢復(fù)正常了。

  四、小結(jié)

  事實(shí)上,“熊貓燒香”對于我們的電腦的危害遠(yuǎn)不止于此,只是說在不使用任何輔助工具的前提下,我們能做的基本上就是這些了。對于“熊貓燒香”病毒的手動(dòng)查殺部分就到這里,在以后對于別的病毒的研究中,由于它們比“熊貓”要強(qiáng)大,我們不得不使用一些專業(yè)工具作為輔助。也希望大家能夠親自去嘗試,勤動(dòng)手,由這里開始,不再懼怕病毒。

95169