科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道反映像劫查杀病毒技巧

反映像劫查杀病毒技巧

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

最近由于av终结者以及其他病毒和木马的蜂拥来袭,搞得网络乌烟瘴气。通过分析病毒日志以及实际处理病毒问题的经验上看,下面这种方法是比较简单与安全的。

来源:论坛整理 2008年6月24日

关键字: 杀毒软件 病毒查杀 病毒

  • 评论
  • 分享微博
  • 分享邮件
最近由于av终结者以及其他病毒和木马的蜂拥来袭,搞得网络乌烟瘴气。通过分析病毒日志以及实际处理病毒问题的经验上看,下面这种方法是比较简单与安全的。

  【关键词】检测日志 映像劫持 注册表 批处理

  『检测日志』

  首先,电脑有了病毒症状我们需要有一些检测手段。通过一些工具生成的检测报告我们分析病毒文件的名称类型以及路径,常用的是sreng和autoruns的检测报告。(分析autoruns日志的话,初学者最好在选项中勾选隐藏微软项目)截图如下:  

  

  Sreng在智能扫描结束后会自动提示保存报告,autoruns在左上角有【保存】按钮同样可以将检测报告保存成文本。

  通过分析检测报告中的病毒行为我们可以作出各种具有针对性的处理。Autoruns的日志比sreng复杂些一般用户先从sreng看起比较好。我也是因为近段时间的AV终结者病毒才每天大量去看autoruns日志的。

  『映像劫持』

  提到AV终结者不得不提到“映像劫持”这个概念,而本文的核心思想也是基于“映像劫持”而展开的。

  首先,可能有人会问“映像”在windows的哪里?劫持它要做什么?那么我们现在可以使用ctrl+alt+delete或者ctrl+shift+esc组合键,调出任务管理器。查看“进程”中第一列的标题便是“映像名称”。

  简单与通俗的讲,映像劫持的含义是将正常的可执行程序劫持到让其无法正常运行的文件上面。AV终结者就是利用了这个特点把杀毒相关软件劫持到自己释放的病毒程序上面,使得杀软相关程序无法正常启动,达到肆无忌惮地下载盗号木马以及其他风险程序的目的。

  这个说法估计绝大多数人还是会晕,下面打一个比方并且根据这个比方作出简单解释:

  9.11事件我相信大多数人都知道。我知道的不多,只是打个比方用。也许不恰当,只是辅助大家理解原理。飞机原本的目的地是下一个机场,但是中途冒出一伙恐怖分子,劫持了原本应该正常抵达目的机场航班,飞向了五角大楼这个错误的目标。导致了美利坚人民伤心的一天。这就是类似AV病毒映像劫持的比方,不管你是波音还是空客,碰到暴徒就要改航线去撞大楼。

  把这个比方翻译成现在的病毒现象是:病毒劫持了一个机舱的杀毒软件去撞向大楼。导致了我们广大网友的信息安全危机。

 了解了大概的原理,这又和我们杀毒有什么关系吗?病毒不还是在那里,你杀毒软件还是启动不了啊!先别急,听我把话说完。通过分析之前的sreng或者auroruns日志我们可以知道病毒文件的名称,比如 :rundl132.exe那样我只需要把他劫持掉,重启计算机以后他便再也启动不了了。假设你电脑里面只有一个autorun病毒rsing.exe,一双击盘符便会加载。那样你只需要劫持掉它一个文件就行,重启后删除它以及autorun.inf文件即可。经我测试,只要你把所有病毒文件集体绑架到让他们无法证行运行的程序上面即可。重启后即使你没事闲得去点它,他也不会启动。相当于在恐怖分子登机前你先把他们找到,之后拉警署去蹲两天。

  『注册表』

  讲了半天原理和比方,那么我们怎样去劫持呢?如果是本机中毒,直接使用注册表编辑器即可。如下图: 

  点击桌面左下角的【开始】-【运行】-输入“regedit”-【确定】后即可打开注册表编辑器。在左侧的树状结构目录中依次展开到:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  1.在右侧新建【项】为“病毒”.exe(病毒指代的是通过检测报告得知的病毒名,当然你对系统了解的话可以直接去关键目录找那些病毒文件从而得知病毒名)
  2.在【项】里面右键新建【字符串值】为“debugger”
  3.双击打开这个新建的“debugger”将数值数据填写为你要劫持到的程序。(一般我选用C:\windows\system32\syncapp.exe这个系统自带程序因为它劫持以后报错少)
  如果不是本机中毒,尤其是给不了解电脑的朋友分析病毒报告之后,想要指导对方修改注册表的话,一般在我看来是一个比杀毒本身还要艰巨的工程。这样的话,我们可以通过编写reg文件导入即可。编写的方法如下:
  Windows Registry Editor Version 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\病毒.exe]
  "debugger"="C:\\windows\\system32\\syncapp.exe"
  用记事本保存为.reg后缀,导入计算机重启后即可。
  此方法对于有进程监控的病毒同样具有很好的效果!比如我们通过三方工具查看到进程互为监守,结束任何一个的话另一个会自动生成。如下图:
  

  一般通过三方工具去批量结束监守进程或者卸载某些模块会有一定风险,对操作者的水平也有一定要求。那么如上图所示我们已经知道的坚守进程的的名称何不把他劫持掉重启之后再删除呢? TQt{.{nI
  按照上面的方法编写注册表文件
  Windows Registry Editor Version 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\eleicnd.exe]
  "debugger"="C:\\windows\\system32\\syncapp.exe"
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\asgwmne.exe]
  "debugger"="C:\\windows\\system32\\syncapp.exe" 
  另外还可以通过批处理编写劫持,但是理解起来可能会困难些,暂时不做介绍。
  关于劫持病毒的注意事项:
  假如病毒伪装成系统关键进程名一定不要劫持!例如:winlogon.exe, lsass.exe,csrss.exe等。
  倘若你劫持了winlogon.exe的话你的系统将不会启动,劫持svchost.exe的话会有许多系统异常。还是那个比方,本身都是飞机。假如你要是没事闲得把“空军一号”劫持了触动了核按钮,那样的话整个地球将陪你玩完!
  以上方法的确是可以有效处理常规病毒以及木马,但是AV病毒干掉了你杀毒软件怎样修复呢?既然av病毒通过映像劫持干掉了杀毒软件,我们也通过此法干掉了病毒。为杀毒软件解锁的方法同样是靠注册表的方法即可实现。
  还是打开注册表编辑器定位到那个位置,删除例如:Kav32.exe的杀毒软件相关进程即可。
  解锁的reg编写如下:
  Windows Registry Editor Version 5.00
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe]
  (注:为毒霸解锁不只是这两个程序,再此仅仅是举个例子)
  由此可知,我们能够在飞机撞毁大楼前将人质,将我们的杀毒软件解救出来!
  『批处理』
  之前说过不提供批处理的劫持方法,为何还要就这个关键词?别忘了病毒只是被我们劫持掉,但还是实际存在的。恐怖份子被逮捕后,终归要判刑的。和谐的操作系统,不需要这些不和谐的东西。批处理的写法暂时也不提供复杂的语句,用最简单方法同语句去处理我们的病毒问题。
  先前通过映像劫持修改注册表或者导入reg后重启电脑,之后再去相应文件夹下删除或者编写批处理删除。编写的方法如下,用记事本保存为.bat格式后即可。
  del 病毒文件路径
  rd 病毒释放文件夹路径
  假设删除autorun病毒文件rising.exe以及在杀毒软件目录下释放的ws2_32.dll\1..\目录
  del d:\autorun.inf
  del d:\rising.exe
  rd c:\kav2007\ws2_32.dll
  经过以上论述,相信有一定计算机基础的用户或者同事已经基本明白个大概了。具体操作还要见招拆招。学会分析各种日志,假如明天给你换一个同样是三方工具的syscheck的日志呢?万变不离其踪,慢慢学习好了。此方法不能解决所有病毒问题但却是一个简化操作难度的好方法。毕竟你只需要会写简单的reg和bat文件就可以了,而用户那边只需要导入reg后重启计算机,重启后运行bat即可。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章