返回
手动杀毒关键要点分析

手动杀毒关键要点分析

ID:11850907

大小:221.55 KB

页数:10页

时间:2018-07-14

手动杀毒关键要点分析_第1页
手动杀毒关键要点分析_第2页
手动杀毒关键要点分析_第3页
手动杀毒关键要点分析_第4页
手动杀毒关键要点分析_第5页
资源描述:

《手动杀毒关键要点分析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、【titian排毒专题】手动杀毒关键要点分析前言病毒木马应用的技术越来越高级,很多安全软件可能会被轻松干掉,同时病毒木马的变种层出不穷,在安全软件的病毒库未能及时更新或者病毒木马专杀未出之前,很多人的表现都是不知所措,而不能在第一时间进行手动查杀。这里我将做个专题,针对手动杀毒的各项关键技术进行介绍。此贴可能为我在计算机技术与网络版块的最后一个主题帖,因为精力不够,卡巴斯基的帖子基本上都没有再更新,更别提初始准备建立CQU卡巴斯基更新服务器的想法。欢迎转载,但请注明来源。关键词:恶意程序,HOOK,I

2、NLINE-HOOK,保护,查杀目录:1.前言2.初试身手,解决LSASS.EXE病毒3.系统启动过程4.安全辅助工具介绍5.常见病毒木马技术6.手动杀毒要领7.手动杀毒步骤8.其它一些辅助方法2.初试身手,解决LSASS.EXE病毒最近是毕业打印论文高峰期,各类病毒也伴随着传播开来,如最近身边不少同学中的LSASS.EXE,SVCHOST.EXE等病毒。正好这几天一位[b]裸奔[/b]同学中了LSASS.EXE,表现为系统会突然自动重启任务管理器多出几个类似LSASS.EXE,SMSS.EXE但是路

3、径不是%windir%system32目录下,并且不是由系统用户启动,而且在任务管理器中无法结束这些进程。首先使用XueTr,打开跳出提示有线程注入,进入XueTr界面。设置选项勾选“禁止自动重启,关机”,“禁止进程创建”。然后依次如下步骤:1.检查各类钩子,发现c:windowssystem32dnsq.dll安装了用户级的代码钩子,基本上所有的进程都安装了OpenProcess的钩子,以便于注入新创建的进程,还有安装的EnumProcessModules钩子等,包括XueTr本身也被线程

4、注入;2.检查进程,发现了两个可疑进程,LSASS.EXE,SMSS.EXE,根据其路径可以得知为非系统进程,而且根据其父PID,路径可以确定病毒程序;3.查看进程模块加载信息,首先通过数字签名验证,然后发现包括Explorer.exe,Winlogon.exe,svchost等进程都有dnsq.dll的线程注入,记下可疑信息。如果直接对这些模块进行卸载会导致系统崩溃;4.利用天琊的进程管理功能,添加%windir%system32comlsass.exe为阻止启动进程,首先结束SMSS.EXE

5、,然后依次结束winlogon.exe,services.exe等,仅仅留下Csrss.exe和system,然后恢复相关应用钩子;5.进入启动项查看界面,发现AppInit_DLLS被修改为c:windowssystem32dnsq.dll,其会被具有用户界面的应用程序载入。删除启动项目。强制删除病毒文件,包括c:system32dnsq.dll,c:windowssystem32comlsass.exe,c:windowssystem32comsmss.exe,以及各分区

6、下*autorun.inf,*pagefile.pgf。清除AppInit_DLLS键值并使用辅助工具的“重启启动电脑”功能。6.安装卡巴斯基,更新并全盘扫描。3.系统启动过程在了解杀毒技术之前,首先必须对Windows系统的启动有个大概的了解。在按下主机电源键后,BIOS将检测系统硬件,如果检查失败,则主机报警;然后进入硬盘的主引导分区,读取硬盘引导程序(在DOS下可以通过fdisk/mbr命令重置引导分区);主引导代码会读取系统根目录下的NTDLR文件,如果没有找到,系统将停止启动并给出错误提

7、示;NTLDR文件的工作为读取系统根目录下的boot.ini文件,即引导菜单,接着清屏并显示系统进度条,这个进度条表示NTDLR文件在加载系统文件,如果加载失败则无法进入系统,这些系统文件首先是Hal.dll,NTOSKRNL.EXE,然后是注册表下SYSTEM注册表文件(%windir%system32config)下的各种系统驱动文件,因为如果加载驱动失败,如文件驱动,则所有的文件则无法被读取(这里是一个关键点);加载完成后,系统将由NTOSKRNL.EXE文件创建SMSS.EXE进程,这个进

8、程的工作是完成会话管理,负责创建用户模式环境,由用户模式环境向Windows提供可视的窗口界面;然后CSRSS.EXE,WINLOGON.EXE进程将被启用,如果这两个其中一个进程被KILL,SMSS.EXE将会让系统彻底崩溃;Csrss.exe是做什么的呢?它负责的工作是创建或删除进程、线程,控制台与虚拟DOS机的支持等;WINLOGON.EXE会启动SERVICES.EXE以及LSASS.EXE(本地安全认证子系统,会验证登陆用户与口令),并读取注册

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。