科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道菜鸟自杀病毒-进程管理篇

菜鸟自杀病毒-进程管理篇

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

操作系统自带的small工具。物尽其材,使用操作系统自带的命令结束部分病毒进程。使用process xp 来管理病毒进程,主要介绍它的挂起功能在查杀病毒中的利用分。使用icesword(冰刃)的加强版本的进程管理工具。

作者:zdnet安全频道 来源:论坛整理 2008年6月18日

关键字: 进程 杀毒

  • 评论
  • 分享微博
  • 分享邮件

菜鸟自杀病毒-进程管理篇

第一部分 操作系统自带的small工具

物尽其材,使用操作系统自带的命令结束部分病毒进程


1,随心所欲的任务管理器

1)如何召唤

复制内容到剪贴板
代码:
键盘组合    ctrl+alt+del 或者ctrl+shift+esc
鼠标飞点    右键任务栏---任务管理器

2)如何使用:

复制内容到剪贴板
代码:
切换到进程项目,然后选择要结束的进程,右键结束进程




2,黑白双煞 taskilist taskkill

1,白煞tasklist 显示当前运行的进程列表

1) 如何召唤:

复制内容到剪贴板
代码:
开始-运行 输入 cmd 进入命令提示行以后,运行tasklist即可召唤

2) 如何使用;

复制内容到剪贴板
代码:
可以输入tasklist /?查询命令支持的参数或者直接运行即可

3) 常用参数与实战;

tasklist

复制内容到剪贴板
代码:

/m Module
列出与给定模式名称匹配的加载了 DLL 模块的所有任务。如果未指定模块名称,该选项将显示每个任务加载的所有模块。
Eg;tasklist /m  LPK.DLL 这个命令将显示出所有加载了LPK.DLL的进程列表

/svc
无截断地列出每个进程的所有服务信息
Eg:tasklist /svc




2,黑煞taskkill,结束一个或多个任务或进程
1) 如何召唤:

复制内容到剪贴板
代码:
开始-运行 输入 cmd 进入命令提示行以后,运行tasklill即可召唤

2) 如何使用;

复制内容到剪贴板
代码:
通过taslist获得进程列表 然后可以输入taskkill /?查询命令支持的参数 以便用适合自己的方式管理相应的进程

3) 常用参数与实战;

复制内容到剪贴板
代码:

taskkill
/pid pid代号(对应于tasklist 结果中的pid栏)
指定将终止的进程的进程 ID。
Eg  有一个进程PID 为 2864 那么我们可以命令行下输入 taskkill /pid 2864 来结束这个进程

/im 程序名称
指定将终止的进程名称。
Eg  有一个进程名叫 wintersweet.exe 那么我们可以在命令行下输入 taskkill /im wintersweet.exe来结束这个进程(进程中所有和wintersweet.exe名称相同的进程都会被结束掉)




小技巧:

复制内容到剪贴板
代码:

taskkill /pid 3844 /pid 2836  这条命令将同时结束pid分别为3844和2836的进程
taskkill /im kav32.exe /im notepad++.exe 这条命令将同时结束进程名为kav32.exe 和notepad++.exe的进程

3,黑面剑客 NTSD

1) 如何召唤:

复制内容到剪贴板
代码:
开始-运行 输入 cmd 进入命令提示行以后,运行ntsd即可召唤

2) 如何使用;

复制内容到剪贴板
代码:
通过taslist获得进程列表 然后可以输入ntsd /?查询命令支持的参数 以便用适合自己的方式管理相应的进程

3) 常用参数与实战;

复制内容到剪贴板
代码:

-c 执行debug命令
  q  退出
-p 调试指定PID的进程
-pn 调试指定进程名称的进程(后缀名.exe是不可省略)
复制内容到剪贴板
代码:
Eg1 通过tasklist命令查看到一个进程PID为 3912  我们可以通过NTSD -c q p 3912来结束该进程,会启动一个新的cmd窗口,过一会就自动关闭了,我们想结束的进程也被结束了
复制内容到剪贴板
代码:
Eq2 通过tasklist命令查看到一个进程名为explorer.exe,我们可以通过NTSD -c q -pn explorer.exe来结束该进程,会启动一个新的cmd窗口,过一会就自动关闭了,我们想结束的进程也被结束了




注意: System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它,ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限,从而能杀掉大部分的进程。

4,相关资源:
   
   
  命令行参考

引用:www.newjian.com

第二部分:

1,适用范围:

1)采用双进程保护自己的病毒程序,我们可以先挂起一个进程然后结束另一个进程(只需要右键病毒进程然后选择 suspend『挂起』就可以了)


2)采用线程保护自己的进程,或者通过线程插入来系统进程来达到盗号或者其他行为的病毒(双击病毒线程插入的系统进程一般是explorer.exe winlogon.exe,svchost.exe等 或者右键这些被注入病毒dll的进程选择properties『属性』 打开属性对话框 然后切换到 threads『线程』选项卡 找到病毒dll 选择suspend,然后尝试删除病毒dll文件 重启再看看




2,相关资源:
   
  Process Explorer v11.04官方下载页面
      Process xp 11.04爱毒霸论坛点击下载
引用:

第三部分:icesword(冰刃)的加强版本的进程管理工具

对付一些采用进程隐藏技术来隐藏自己进程的病毒

1,适用范围

1)采取多进程保护(可以同时选择这几个进程 然后结束进程),
2) 采取线程保护来重新创建自己进程的病毒(可以在文件设置里面设置禁止进线程创建以后再结束病毒进程)
3) 采用进程隐藏技术的病毒 比如新版本的灰鸽子会创建一个隐藏的进程任务管理器 process xp 之类的不能查看这个病毒进程,这时候我们就可以使用冰刃来结束病毒的进程




2,相关资源
   
  icesword(冰刃)官方下载页面
     icesword(冰刃)爱毒霸点击下载
引用:www.newjian.com

第四部分: 金山清理专家的进程插件,会分辨黑白的进程管理插件

金山清理专家进程管理优势在于能够判断进程是否安全,还可以找出存在分享的进程

1,适用范围:

1) 对系统进程不熟悉不知道无法判断是不是病毒进程的时候
2) 进程看上去都是正常,但是有病毒dll注入的情况



    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章