系统安全.面对病毒.反击篇
系统安全.面对病毒.反击篇
引言
最近病毒是越来越厉害了、而且对于我们开发人员来说有很多情况是不能因为中毒就重做系统的如:
- 在客户那里可能系统内有很重要的文件必须先拯救
- 而由于搞开发的可能重装一次系统时间太长了可能要好长时间
如:windows2003,VS2003,VS2005 不用多就这3个就要好长时间更不用说别的了 - 开发人员中病毒容易被BS,搞不定也会受到BS 郁闷啊,这是为啥那???
- 深为开发人员我们有很多理由如:为了和邪恶势力斗争、为了挽救地球、为了全世界人民的安危、为了毛主席、为了....、吖不要仍鸡蛋皮^_^。
当然更不能带毒修行、本文将作者手工处理病毒的方法写出来,以便大家参考
重要声明:网络暴民者、自己可以写杀毒软件者、计算机裸奔12个月以上者没问题者、计算机已经烧毁无法观看本文者请迅速离开 ^_^
名词解释
“冰刃”一款系统软件集成,各种“查看”、包括进程、服务、钩子、驱动等等,集成注册表文件强制删除复制等功能技术先进处于国内外领先水平
“WinPE” 可以由光盘启动的windows 系统
“裸奔” 不装杀毒软件者
“邪恶的科学家”病毒制造者
一、恶意软件或病毒分类描述及其对应方法
排除系统没打补丁等MS的问题,没打补丁中的多半打完补丁清清就可以了不多说了 ^_^
第一类:没有任何反侦查能力
自动启动、浏览器对象、服务、或sys文件不过很容易清除此类恶意软件多半很容易在注册表被找到或、用360安全卫士,SREng2 等清理软件清除掉,这类病毒、有可能是早期方式的恶意软件插件、木马等、杀伤力不大比较容易对付。
对应方案:过于简单部描述、我可没有BS 360安全卫士,诺顿,卡巴等软件、因为有了他们这类病毒才不能生存、于是邪恶科学家们更加深入的进行学习研讨当然这个过程是很痛苦的,我们搞开发的可以理解、从而在重生中得到了进化,出现了更高的等级的病毒
第二类:具有再生、隐身能力
反病毒或反恶意软件、老提示重新启动,不过从新启动后还是存在,怎么杀也杀不掉。这类基本上由一个或1-N个"后台病毒"和1-N"前台病毒"组成,后台多半是 sys 文件,而且把自己搞成系统必须的驱动即使是安全模式也会启动, 而且"后台"具有隐身效果,就算你选择了显示全部文件或在 cmd 的下也是看不到的,在注册表编辑器里也看不见,这类病毒后台多半使用 "SSDT Hook",可以接管 windows下的文件操作,或注册表操作如果已经被中上,在安装杀毒或反恶意软件基本就都是瞎子了,即使杀到其实也是杀的"前台病毒",因为这时很多 Windows API 已经被控制或Hook所以看也看不见,杀也杀不光.
这类病毒多半不会感染,多半为流氓软件,最近似乎比较多。对应方案:
[A] 方法
- 作一个集成最新杀毒软件,和病毒库的 WinPE、多半可以解决这种病毒(如果病毒很新本方法无效)、具体怎么做网上有好多文章可以参考
[B] 方法
- 前提条件,有一个windows安装盘,或一个一般的 winPE 盘,或则任何可以脱离Windows操作系统的启动盘都可以(如果没有就得靠老天了)
- 拔掉网线
- 删除现有的杀毒软件,防火墙,反流氓软件,后装的驱动 保证 SSDT 表正常应该是没有被 Hook 的
- 启动"冰忍" ,(放在USB盘上记得上锁光盘内以免被感染)
- 看 SSDT 项如果是红的都是被 Hook,可以看到哪个 sys 文件 hook 了系统 SSDT
- 在 "冰刃" 文件操作里先将可疑文件复制到 XXX 目录(防止删除错了系统启动不了)
- 在 "冰刃" 中删除可疑文件.
- 关了"冰刃" 再打开,看看 "可疑文件" 是否还在
- 如果不在,直接硬重新启动电脑,有些病毒是在系统关闭时候动手脚的 (保证你现在的硬盘灯不亮,否则呵呵)
- 重新启动后
- 系统起来了,而且 "可疑文件" 没有在生,估计在安装杀毒软件或反恶意软件应该起作用了,如果都是最新的病毒库估计效果会比较好
- 系统没起来,而且安全模式,或最后一次正确配置也启动不了
呵呵你可能误杀了好人,把以前备份的"可疑文件"一个一个的还原回来吧- 系统启动成功,"可疑文件" 在次复活
你真倒霉,看来不止一个"后台监控"病毒,现在你唯一的办法就是见:附录“经验判断法”(1),然后脱离中毒的Wndows环境去删除(不要忘记备份啊),然后重新启动
- 从启后正常
重复 10.1- 没启动起来
见 10.2- 从启后又出现,天啊杀了我吧(估计现在你已经用1,2个小时了)
看来只能用最后一招,见:附录"全盘比对法"(2)
由于这类病毒走的是“技术路线”而且都是有资金支持的、他们就是想获得一些利益、并没有太坏的行径还是可以被清除的、不过还是有一些“邪恶的科学家"和他们的“主子” 不甘寂寞的要毁灭世界于是、第三种病毒诞生了
第三类:具有感染性、而且到处都是副本众多、可以感染或防御杀毒软件和反恶意软件当然还包括正常的软件。
次种病毒,是比较恶心的那种破坏“感染计算机”上的众多exe文件dll文件等、多半类似熊猫烧香、此类病毒形容起来就两个字恶心,完全处于某种利益,这类病毒刚开始出现的时候、即使被杀毒软件发现清除了也不能保证你的exe或dll还好用,这类病毒基本只有防御的可能、而且要有完全清除病毒的专杀出来要等一段时间,而且有时候感染了,资源管理器和命令行和任务管理器(包括 system32\dllcache 中的)然后被杀毒,软件都给隔离了系统都近不去了(有些杀毒软件杀不了病毒主体就能杀被感染的文件导致......)、那就是郁闷中的郁闷了。
对应方案:
这类病毒技术不是很高主要走的“癞蛤蟆”路线,被黑道白道共同不齿、如早期的熊猫中上系统基本还是可以用的,不过最近新出现了一些类似病毒不知道是“邪恶科学家”们的水平不行还是杀毒软件乱杀毒(总之XXX和XXX很难分辨的),系统一搞就挂了、从这刻开始“杀毒软件”正式更名为“防毒软件”(而且如果中了病毒在装“防毒软件”基本就是无效了)、又过了一段时间计算机软件界时下比较流行“集成”于是第四类病毒应运而生。
- 如果杀毒软件无效、先关掉系统磁盘、光盘的自动运行功能、清除方法可以参考 “第二级病毒”的方式清除病毒“主体”
- 杀毒之后再用 SFC 恢复系统文件、也许你的系统还可以用不过系统以外的就不要说了。
- 如果是手工,即使杀掉了“主体”你系统内的全部软件几乎也都被感染了,如果数据库等重要软件可以启动还是忍着把数据备份出来
然后再重新作系统吧- 如果很多系统重要文件都被感染或被杀毒软件杀掉了、系统干脆无法启动或近不了 windows 界面那只能用 WinPE 重其他系统 copy 文件了,然后重复 1.1
第四类:集合三、二级病毒于一身、堪称病毒中的战斗机.
遇到过一次,不过没有听说过也有可能是中了不止一种病毒,或则被恶意软件集成到一起的。
对应方案:
这类病毒真是“癞蛤蟆有技术谁也挡不住”、没话说 NB 中的 NB、战斗机中的战斗机、流氓中的流氓、从这刻开始“防毒软件”正式更名为“kao kao r”、最后印证了那句老话靠谁不如靠自己、治病不如防病啊......(我可没鼓励“裸奔”啊)
- 结合二、三的处理方法、不过这种病毒一旦中上就基本 over 了、能抢救出重要数据就是万幸了。
第五类:不大面积流行的
很可能是黑客入侵后自己写的恶意程序后门等或者是利用一些不被认为是病毒的软件,由于没有流行杀毒软件反恶意软件都不起作用,而且动作很轻微很难被发现、不过细心的人还是可以发现的。
对应方案:
这类病毒的制造者比较值得敬佩、起码懂得不迁怒人民群众,不强奸民意,不损害计算机、黑客软件的原始规则,哈哈哈
- 具体只能靠经验了,看看有没有可疑的端口、文件读些操作等。
[附录一]病毒基本排查方法
- 经验判断法:
认真派查注册表可以启动的地方很多建议用 ms 的 Autoruns ,找不是版本 ms 的dll、sys、exe 等"可疑文件"文件(不过现在很多病毒都伪装成ms的),在 system32\dllcache 目录中查询你怀疑的文件是否存在,dllcache 中都是系统必须的基本上如果 dllcache 目录中没有的多半是后装的驱动或是病毒,
不过现在也有把自己放到 dllcache 目录里的,所以这只是经验判断不能达到100%准确,还有就是判断可疑的网络端口,可疑的文件读写操作,等。
- 全盘比对法:(必须保证有两台计算机,或则被感染计算机上有一份系统分区全部 dll,exe,sys 的列表不过这种情况很少)
- 准备“纯净计算机”,找一个类似计算机保证没有中毒,或重新作一个(硬件越接近越好),把杀毒软件,后装的驱动和一些可能向Windows下安装文件的软件都卸载了
- 在“纯净计算机”查询出系统分区下的全部 dll,exe,sys 等可启动文件用如以下命令
- "dir /b /s /a /ON *.dll *.exe *.sys >d:\files1.txt" 会生成一个 files1.txt
- 在“感染计算机”脱离现有系统执行上面的命令输入文件名改一下,也得到一个如 files2.txt
- 把 files2.txt 和“纯净计算机”上的 files1.txt 进行比较(ExamDiff,winDiff 等都可以),找到 “感染计算机”上面多的东西,找到可疑文件
- 备份删除,重新启动
尾声
写了这么多、很晚了,明天看看如果有错字在慢慢改吧,不知道能否对大家有些帮助......
在下一章“系统安全.面对病毒.防御篇”