Download
1 / 12
120 likes | 313 Views
项目四:手工杀毒技巧总结. 任务 1 :杀毒技巧与实战 任务 2 :杀毒经验总结. 任务 1 :手工杀毒. 案例 1 : 手工清除 AV 终结者 案例 2 :手工清除 U 盘巡警. 手工清除 AV 终结者. 病毒特征: 1. 生成文件 %programfiles%Common FilesMicrosoft SharedMSInfo{ 随机 8 位字母 + 数字名字 }.dat %programfiles%Common FilesMicrosoft SharedMSInfo{ 随机 8 位字母 + 数字名字 }.dll
E N D
项目四:手工杀毒技巧总结 • 任务1:杀毒技巧与实战 • 任务2:杀毒经验总结
任务1:手工杀毒 • 案例1: 手工清除AV终结者 • 案例2:手工清除U盘巡警
手工清除AV终结者 • 病毒特征: • 1.生成文件 %programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat %programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll %windir%\{随机8位字母+数字名字}.hlp %windir%\Help\{随机8位字母+数字名字}.chm • 也有可能生成如下文件 %sys32dir%\{随机字母}.exe 替换%sys32dir%\verclsid.exe文件
2.生成以下注册表项来达到使病毒随系统启动而启动的目的2.生成以下注册表项来达到使病毒随系统启动而启动的目的 HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\ShellExecuteHooks "生成的随机CLSID" "" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
3.映像劫持 通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统管理软件运行,并执行病毒体。 • 被劫持的软件包括: 360rpt.exe; 360Safe.exe; 360tray.exe; KAV32.exe; KAVDX.exe; KAVPFW.exe; ……….
4.修改以下注册表,导致无法显示隐藏文件 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Advanced Hidden dword:00000002 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000 • 5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004
6.删除以下注册表项,使用户无法进入安全模式6.删除以下注册表项,使用户无法进入安全模式 HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ • 7.连接网络下载病毒 hxxp://www.webxxx.com/xxx.exe • 8.关闭杀毒软件实时监控窗口,如瑞星、卡巴,通过自动点击"跳过"按钮来逃过查杀 • 9.尝试关闭包含以下关键字窗口 Anti AgentSvr CCenter Rsaupd SmartUp FileDsty RegClean 360tray
10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。 • 11.隐藏病毒进程,但是可以通过结束桌面进程显示出来。 • 12.在硬盘分区生成文件:autorun.inf 和 随机字母+数字组成的病毒复制体,并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。
清除AV终结者 • 下载IceSword,并将该其改名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword,结束一个8位数字的EXE文件的进程,有时可能无该进程。 2.利用IceSword的文件管理功能,展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。再到%windir%\help\目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。 3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。 4.利用IceSword的注册表管理功能,展开注册表项到:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],删除里面的IFEO劫持项。 5.安装或打开杀毒软件,升级杀毒软件到最新的病毒库,对电脑进行全盘杀毒。
U盘巡警的手工清除 • USBPlice: 自动运行,当U盘插入后自动打开,尚未发现对计算机有无危害 • 清除方式: 1)结束USBPlice进程 2)删除C:\windows\目录下的USBPlice.exe及其它相关文件 3)打开注册表,搜索所有包含USBPlice的键值并删除 4)重启系统
病毒预防经验 • 尽量不要让机器裸奔,随时升级杀毒软件的病毒库 • 在可能的情况下尽可能打开杀毒软件的所有监控功能 • 尽量少上可能含有恶意代码的网站,降低风险 • 接收来文件时务必先查毒,不要打开不明来历的任何文件 • 利用组策略,禁用光盘、U盘的自启动功能 • 打开分区或U盘时,尽量多用资源管理器而少用直接双击打开的方式 • 如果不是必须,禁用掉不必要的服务如RPC服务、远程桌面服务等 • 关闭不必要的端口如:135、139、445等
病毒查杀经验总结 • 多利用进程管理工具(IceSword)查看有无可疑进程 • 查看注册表启动项有无可疑的启动项 • 尽量在安全模式下杀毒,杀毒时尽量断开网络
