论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 2914阅读
  • 0回复

[求助-安全问题]安全第六课,关于手杀(病毒)(第三部分) [复制链接]

上一主题 下一主题
离线沉禹倾峰
 

发帖
2442
今日发帖
最后登录
2017-08-13
只看楼主 倒序阅读 使用道具 楼主  发表于: 2011-05-12 07:57:34
— 本帖被 沉禹倾峰 执行提前操作(2011-05-12) —
转自:瓢虫论坛   作者:流风33

继续未没说完的……

再说两个手杀时应该关注的位置,一个是临时目录,另一个根目录。估计不少同学从买来电脑后就没打开过“我的电脑”或“计算机”看看里面的文件是什么样的,所以让他们去找文件路径可能都不知道什么叫路径。路径就是文件存放的位置。那么临时文件在哪,默认的情况下有两处,可以打开系统的环境变量去查看(右击我的电脑-属性-高级-环境变量),里面的temp/tmp后面的路径就是临时文件夹,如“%USERPROFILE%\Local Settings\Temp”(可以把前面这串字拷到地址栏或运行里直接回车就打开了,然后就可以看到好多的文件和文件夹在TEMP文件夹中,这些都是临时文件(如果你在环境变量中有改过临时文件的位置,比如我改成d:\temp,那就不是%USERPROFILE%\Local Settings\Temp了,则在D:\temp),此外还有一个在c:\windows\temp(如果你的系统装在c盘),不过里面东西没有前面那个temp的多。

上面说的temp就是所谓的垃圾文件,各种卫士们喜欢这么说,每次不论有没有清理干净,都会抢着告诉你又清理了多大空间,甚至要你在扫描检查前清除这些文件,但他们其实并不是垃圾,有时清除了临时文件反而会使程序运行速度变慢。不过我不讨论这个问题,我要说的是很多病毒木马可能会释放自己的文件在临时目录中,不管是临时的还是长期的,建议在杀毒时把TEMP文件夹清空。另外还有一个临时文件就是IE的临时缓存文件,在internet选项中可以看到,建议在internet选项的高级选项中,设置安全-关闭浏览器后清空internet临时文件夹,如果有意外,可以直接在internet选项的常规页中手动删除浏览的历史纪录(选项可以全选,如果有插件也被删了,重新安装就是,在此不多说)

同理,一个急具悲剧色彩的windows系统还原(不是GHOST一键还原),很多杀毒软件在杀毒时都会建议关闭系统还原(关闭即是清空),和上面的意义类似,也不多说了,反正很多人也是关闭还原的,只是看作业吧。

要讲的另一个位置是根目录,就是一打开各个硬盘分区后所看到的地方,以前很多autorun.inf文件及其亲密的病毒战友都爱呆在这里,现在自从微软决心关闭自动播放应该会安全多了(关闭补丁kb971029),当然还是有很多人没关,所以也看看吧,一般情况下根目录下文件不多,C盘系统盘除外,打开显示隐藏文件、系统文件的选项,可以看得很清楚(如果无法显示,说明你中毒了),系统盘下文件不多,多看看就记得差不多了,关注的主要是执行文件、如exe/com/dll,其它的可以忽略,其它盘默认是没什么文件(文件夹有,或者可能还有什么杀U盘病毒时生成的autorun.inf文件夹),装好系统自己先看看,以后就好对比。注意系统盘下的系统文件如果不认的不要乱动,确实有没事找事的洁癖爱好者为使C盘更好看,把系统文件全塞进某个文件夹或直接删除、结果导致系统无法启动的悲剧,所以慎重。

其实还有一些目录,如windows目录及其中的system32目录,甚至是用户配置文件夹(不多说,越说就越多了),是很多木马病毒的最爱,隐藏性特别的好,但对很多人来说,这是一个危险地带,和上面说的系统盘根目录下的系统文件一样,建议不了解的话不要动,如果一定要动,请结合前面几课说的内容进行辨认(强烈建议处理前备份),时间属性、文件名特征是唯一的武器,如果杀毒软件继续装傻的话(当然时间判断也会出错,参考http://bbs.icpcw.com/viewthread.php?tid=2078857),结合启动项判断倒是比较靠谱,不过有的并不出现在启动项中,不过从启动项中逮出一个,再查同时间文件也许可靠性会大一些(要改时间会全改)。如果启动项干掉,没有启动激活,一般来说剩下的也就是死马了,无威胁,除了看着不爽,至少可以安心等待杀毒软件醒来工作(一般来说是这样,但我不打包票)。

还是没讲完……
沉禹倾峰_百度空间_http://hi.baidu.com/zhangjieblog