扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
之前我闲来无事,并且又是在学习批处理,并且发现病毒大部分是进行文件的再生,修改注册表,然后我就上网去找了一个注册表比较软件,之后再自己写了个批处理来生成C盘的文件列表.然后我就在虚拟机里运行病毒,在病毒运行前后对注册表进行捕获,C盘文件也是如此进行病毒运行前后的比较.因为病毒要让自身进行传播,所以一般情况下它不会让你无法进入系统,我就是利用了这点,才可以在虚拟机里对病毒进行监视.其实这样总结起来,病毒进行的操作就是两部分
1、在C盘生成病毒源文件
2、修改注册表(包括删除进入安全模式的功能、把病毒添加到启动项里、修改显示隐藏文件的项等等)
3、在其它盘根目录生成一个autorun.inf的文件和一个或者若干个隐藏的.exe或者.dll文件,这里以.exe文件居多,并且大部分是会把那个.exe文件放在分区根目录下。
其中这个autorun.inf的文件本来是微软用来做光盘自动运行用的,但是分区也可以用这个来调用其它文件,所以病毒就是利用了这点。以下是一个病毒的这个autorun.inf里的内容
[AutoRun]
open=RUNAUT~1\autorun.pif ‘指定病毒文件
shell\1=打开(&O) ‘隐藏你在磁盘分区单击右键里的那个auto,不过仔细的人还是能知道的,因为这样就出现了两个“打开”
shell\1\Command=RUNAUT~1\autorun.pif ‘
shell\2\=浏览(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
有了这个文件的话,当你在双击你的分区时病毒就会运行,这样的话,如果你的电脑没有安装杀毒软件或者杀毒软件的版本不够新的话,如果别人的U盘等移动存储设备在你的电脑上双击运行之后你的电脑就会中这个病毒。然后这个病毒文件会把自己释放在C盘和其它盘生成其它源文件,然后修改注册表来隐藏自己。不过呢也正因为它要通过U盘等来传播,所以它的U盘里的那个病毒或者中病毒之后的电脑的其它分区下的那个病毒源文件一定包括了这个病毒的所有特征,所以我也才有机会在虚拟机运行这个病毒源文件来找解决方法。
解决方法就是根据我在虚拟机里的运行结果进行反操作。
1、 用taskkill命令进行病毒进程
2、 用del命令删除C盘及其它盘下的病毒源文件
3、 用reg命令来修改被病毒修改的注册表项,删除被病毒添加的多余的项,添加被病毒删除的有用的项。
4、 然后因为删除了其它盘的那个autorun.inf这个文件,所以在不重启电脑之前其它盘是无法双击打开的。这时可以用chkdsk 盘符:/x 命令来对其它盘进行磁盘检查来修复这个错误(当然你也可以重启来解决)
当然这里提到的只是那种常见的不是绑定类型的病毒。如果对于绑定的类型的病毒的话,很抱歉我也没办法,因为我不是一个高手,我无法对这些病毒进行拆解。所以只能用杀毒软件了,这里我个人用的杀毒软件是瑞星,我没用过其它杀毒软件,我个人认为瑞星对病毒的处理方法还是比较令我满意的。它对病毒的处理往往是智能的,如果是绑定类型的话,它基本能尽量做到清除病毒而不破坏你的数据。
说了这么多是因为从2007年底开始的病毒会在网上不断下载新的病毒,我已经不可能再去在虚拟机里运行病毒然后再写批处理来解决它了。并且因为我自己也要工作了,我也没有那么多精力来处理了。我想我应该轻松一下了。我不希望老是有人来问我说“我现在中病毒中了,那个病毒会导致我的杀毒软件无法使用,在网上搜索病毒等字样网页就会被关闭”。很遗憾,我也无能为力了,因为最近的病毒都会导致这个结果,说了等于没说,并且它会在网上不断下载新的病毒,所以已经超出我的控制范围了。所以我只能说“你还是重装吧”。
可能大家最讨厌的也就是这个回答。但是我想如果你真的讨厌这个回答的话,那还是好好看完这篇文章,注意一下我以下提到的注意点,然后重装一次之后就基本不用老是重装了,甚至可以在自已想装的时候就装,不想装的时候就不装。
下面针对上面提到的病毒来告诉大家在中病毒后重装时的注意事项,其实重装根本不需要完全格式化。
1、 准备好重装之后马上要用到的杀毒软件的安装包(可以用别人的没有病毒的移动硬盘里的杀毒软件安装包,最好是别人的电脑里的刚更新的杀毒软件打包而成的)。
2、 准备好系统补丁安装包(用于在重装后可以打上补丁,免得重装完就马上中病毒)
至于补丁的获取方法可以用360或者其它杀毒软件等有漏洞扫描这个功能的,最快的取得补丁的方法就是用漏洞扫描功能生成补丁文件下载地址列表,然后在迅雷里下载是最快的。下载之后大家可以自己写个批处理来批量打补丁,如果不会写的话,我的百度空间里也有(大家如果在其它地方可以得到补丁集的话也一样,不一定要下载)。
http://hi.baidu.com/%D2%E4%C1%D6%D7%D3/blog/item/5d83b602de24b00d4afb5164.html/cmtid/ba9dc41fe66c4ff7e0fe0bdf#ba9dc41fe66c4ff7e0fe0bdf
3、 然后准备好电脑的驱动盘
4、 准备好操作系统安装盘(如果没有光驱的话,要看情况了,如果系统还能进去的话,可以安装一个硬盘版的ghost,然后在网上下载ghostXP下载来之后把里面的.gho那个文件提取出来,提取这个文件时要注意了,最好是用虚拟光驱来打开下载过来的那个ghostXP.iso,虽然它可以解压,但是解压很浪费时间。Gho提取之后放到C盘之外的其它分区下,重启电脑就可以进行把这个gho文件还原到电脑里,这样也是一种重装的方法,并且速度比较快,不过就是得先学会用ghost,这点大家应该学习一下,因为系统装好之后必然是要备份和还原的,学这个是肯定会用得到的)
5、 在网上下载一个硬盘版的ghost(如果自己已经有了就最好了)
6、 这些东西如果已经全部准备好的话就把网线拔掉(防止因为系统刚装完就中病毒病毒),然后用系统盘开始安装系统。(怎样安装系统我就不在这里说明了,如果不知道的话,可以在迅雷里搜索一下,有视频的,在学习安装操作系统时顺便把ghost的使用方法也学习下,呆会要用到的。)
7、 重装时只要格式化C盘就可以了(除非你确定你其它盘的数据都是不要的,如果你连C盘也还有些数据不知道是不是要保留的话,那你得在重装之前就学会用ghost来备份你的C盘,先把你的C盘备份一下)
8、 系统装完之后就是进入你的系统,这时的操作要注意了,千万不要去双击打开你C盘之外的其它盘,也不要去用右键打开你其它盘。要从地址栏或者运行栏打开你其它盘。在开始,运行里输入
盘符:\
例如要打开D盘就输入
D:\
然后按回车就可以打开D盘了,打开之后在文件夹选项里设置一下,把隐藏文件跟系统文件都显示出来,然后就能看到那个autorun.inf跟病毒文件了,删除它们。
9、 之后安装之前准备的杀毒软件(在安装杀毒软件之前最好不要双击C盘之外的任何地方,特别是exe 文件,如果是绑定病毒的话,一双击就又激活了。)
10、 杀毒软件安装好之后就开始对其它盘进行杀毒软件。
11、 杀毒之后安装驱动
12、 打补丁,设置用户密码,特别是那个administrator那个用户,如果有经验的话,我想这个用户是什么应该知道。不知道的人可以在命令提示符下设置
只要在命令提示符下输入
net user administrator 密码
例如
net user administrator 123456
这样这个超级管理员的密码就被设置成123456了。
13、 之后连接网络并扫描漏洞,把其它补丁也给打上。
14、 补丁安装完之后可以把C盘以$打开的文件夹都删除,这些是补丁的卸载程序,因为补丁安装上去之后往往是不会去卸载的,所以可以删除这些,能省很多空间。
15、 然后给在C盘安装Winrar解压工具,以及其它一些常用软件,不要安装太多,不是自己常用的先不要安装,因为呆会备份时会占空间的。
16、 基本软件安装完之后把虚拟内存到其它盘去(设置方法自己去网上找)
17、 设置虚拟内存之后是需要重启的,重启之后进入搜索C盘的 temp目录,把下面的内容都删除,这些是临时文件,刚重装的系统是不需要这些临时文件的。
18、 然后再把系统自带的备份还原功能禁用,这样那个system volume information那个文件夹里的文件就会被删除,又能找回一些空间。
19、 这些都弄好之后就可以安装ghost,然后重启电脑备份一下C盘,这样下次如果系统出问题的话,还原一下就可以了。我们不能保证自己的系统永远能正常运行,虽然有杀毒软件,但是杀毒软件并不是万能的,再次中病毒的可能也是有的。所以备份是很有必要的。
20、 至此我的说明算是结束了,花了大概两个小时的时间整理了这些希望对大家有点帮助。如果有不足之处还请见谅。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。