论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 3542阅读
  • 3回复

[求助-安全问题]安全第七课,关于手杀(病毒)(第四部分) [复制链接]

上一主题 下一主题
离线沉禹倾峰
 

发帖
2442
今日发帖
最后登录
2017-08-13
只看楼主 倒序阅读 使用道具 楼主  发表于: 2011-06-10 02:01:10
— 本帖被 沉禹倾峰 执行提前操作(2011-06-10) —
转自:瓢虫论坛   作者:流风33

很开心,关于这个手杀的话题终于可以结束了,今天讲这个内容的最后一部分:关于如何处理发现的病毒文件。

正如第四课(还记得这课吗,自己翻一下http://bbs.icpcw.com/viewthread.php?tid=2070076)所说的,自己动手处理病毒,包括比较复杂高级的,也有简单低级,前者如修复被感染文件、分析病毒代码(这样就更详细,稍简单一点的可以利用在线沙盒或虚拟机和监控软件、快照软件),后者就只有简单的删除了。相信很多人还达不到,或做不到前者的程度,作为提起兴趣与入门的课程而言,我就说后者,如果你对前者感兴趣了,或发觉后者已不能满足你的需要,可以自己去学习更多的知识。

删除,DEL,说的简单,做可能有些困难。删不掉是最大的障碍。遇到删不掉怎么办?找个强制删除的工具来删,如unlocker(解锁后再删)、冰刃(强制删除,但注意冰刃可能在你的系统上运行不了)、xuetr、powerrmv、xdelbox,还有很多粉碎机之类的软件,只要能删我们都能用,我们的目标只有一个,删掉它!不用工具可不可以删?也可以,第一结束待删除对象的进程,只要你能找得到它并不让它再运行起来,正在运行的程序是删不了的;第二的获得权限,获得最大的权限,查看看你是不是拥有“完全控制”的权限(文件属性),没有就加上去;第三看看是不是有人在保护它,干掉保镖。安全模式、在PE系统(光盘U盘启动)、在双系统中的另一个系统中、把硬盘挂到另一台电脑上,这些方法能让前面三点的影响降到最低,是比较好的删除场所,切记。

处理病毒的另一个问题是删掉的文件再次生成,反复折腾,杀而不尽,用杀毒软件也同样有这种问题。出现这种情况,一个是还有没找到的病毒文件,另一个病毒正在运行。对付这种情况可以有多个建议:1、删掉它们的启动项马上重启,甚至是强制断电关机,不让病毒有写回的机会(较极端的作法,可能损伤机器,不到万不得已不建议这么做),等重启后再处理剩余的文件;2、删除文件后,在删除文件的位置建立同名文件或文件夹,抑制同名病毒文件再生(以前一些免疫autorun.inf的工具就这么做的),一些工具也带有此功能,如xedlbox、powerrmv、xuetr等(不过注意,如果病毒是假冒正常文件、系统文件,如假冒explorer.exe,而正牌的explorer.exe则转移到另一个位置,此时此法就不适用,应恢复原有文件才是正途,另外随机文件名也不适用,因为文件名不固定,但有时在随机文件名的情况下却暂时有用,在新的随机文件产生前可以奏效)。建议综合采用以上方法。抑制措施可以在一定程度上抵挡病毒的再次攻击,为进一步清除查杀或救醒杀毒软件赢得时间,有时这种抑制会使残余的病毒失去威胁能力,更容易剿灭,但有时这种抑制只是临时措施,将勉强维持直到杀毒软件终于可以杀掉病毒,或永远临时直到重装系统的那一天。

如果误删怎么办?强烈建议删除文件前先备份,宁可放过不可错杀,实在没把握请放生。

其实除了删除外,处理应该还包括修复,如恢复主页、修复注册表、修复文件关联、修复安全模式、重置winsock或lsp和hosts等,比较复杂,建议用一些急救箱或其它工具软件(如sreng)代劳。

最后,在删除和修复后,除非你对这种病毒很了解,否则一般还会有残留在你的电脑上,很多时候(很高兴这一点),残留的文件已经失去危害,但仍有时候(很不高兴这一点),潜在的威胁还有,那么在我们赢得主动权时间后,就需要清除残留,看看上一课讲的几个位置吧,IE缓存、临时文件夹TEMP,建议清理,杀毒软件醒了,也让它工作一下吧,全盘扫描,建议升级后再扫,更建议如果有保留病毒样本先上交给杀毒软件厂商分析后升级再执行此操作。如果技术不够不会做或杀毒软件什么也没有扫出来,那么扫尾工作可以直接结束,并坚决告诉自己本次杀毒已经完成、电脑没事了,如果还有问题,那一定是另一次中毒。如果你不满足本话题就这么结尾,建议进行更深入的学习,欢迎前来交流与探讨,分享你的经验。
沉禹倾峰_百度空间_http://hi.baidu.com/zhangjieblog
离线风过无湮
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 沙发  发表于: 2011-06-11 07:21:29
谢谢分享 我是裸奔..
离线zhb_3448

发帖
59686
今日发帖
最后登录
2016-12-13
只看该作者 板凳  发表于: 2011-06-14 23:13:42
学习下很好的

主队让半球高水,一般不能要主队!
凡是开半一的盘,一般不能要下盘!
凡是开一球或一球球半的盘,一般不能要上盘!
凡是开一球半以上的盘,一般不能要下盘!
离线djkanxue
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 地板  发表于: 2011-07-02 19:25:35
偶尔会用xuetr,测试不大安全的软件都在沙盘中运行,然后看它的目录,看看在系统中做了什么