病毒分析(一)-手动查杀流程

手动查杀病毒流程

排查可疑进程　　检查启动项　　删除病毒　　修复病毒破坏的文件

 

对于现在大多数人来讲，可能病毒查杀都是使用如360，卡巴斯基等杀毒软件进行自动查杀，但杀毒软件的缺点是具有严重的滞后性，杀毒软件之所以能查杀病毒，是因为病毒分析人员已经分析过含有该病毒的样本，并将特征写入特征库当中，于是该病毒才能够被查杀，这可能对于普通计算机用户来说不是大问题，但对于真正的病毒分析人员，具有一定的手动查杀病毒能力是必须的（比如说删除某些文件，输入几条DOS命令来查杀病毒），下面来介绍手动查杀病毒的基本流程。

1.排查可疑进程，因为病毒往往会创建出来一个或多个进程，因此我们需要辨别出哪些进程是由病毒创建的，然后删除可疑进程。

2.检查启动项。病毒为了完成自启动，会采用一些方法将自己添加到自启动项当中（比如将自身写入注册表自启动项当中），从而实现自启动，所以我们需要把启动项中的病毒清除。

3.删除病毒。在上一步检查启动项中，我们就能够确定病毒主体的位置，这样就可以顺腾摸瓜，从根本上删除病毒文件。

4.修复被病毒破坏的文件，这一步一般来说无法直接通过纯手工完成，需利用相应的软件，我们暂且可以将其放置一边。

通过上述四个步骤，可以大体完成手动查杀病毒的流程，可以使病毒分析人员有更好的进一步的分析依据。

 

排查可疑进程

在CMD中，可以使用tasklist显示出当前所有正在运行的进程

 

 

排查可疑进程常用的DOS命令

tasklist--显示当前所有正在运行的进程

tasklist /f /im ()--删除某个进程   /f指的是强制删除   /im指的是进程的内存镜像，括号内输入进程的PID

dir xxx--可以检查某盘下是否含有该文件

del /f xxx--强制删除某个文件

dir /ah--显示在用户所处目录下隐藏的文件    a代表属性，h代表隐藏，即属性是隐藏的文件

del /ah /f xxx--强制删除隐藏的文件

attrib -s -r -h xxx--消除某个文件的隐藏属性，使其可见

 

检查启动项

在Windows中，设置启动项有许多方法，这里列出几例比较常用的

一、任务管理器

通过任务管理器中的启动选项，可以查看系统中的启动项

 

二、通过注册表进行查看

Run注册表键

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

Boot Excute

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\BootExecute

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Execute

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SetupExecute

 

Load注册表键

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load

在该几个键中都可以检查启动项

 

 

三、ActiveX 启动

这是一种组件技术，它被注册在系统当中，被其他程序调用，其注册登记的地方在Windows注册表中。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components

 

 

 

 

 

 里面有各种例如此类的子健，子健下面有StubPath键值，该键值保存了开机启动的文件路径，向该路径中添加键值，即可自启动文件。

 四、其他启动方式

文件关联启动、通过svchost.exe加载启动、文件感染启动、映像劫持启动等。