双飞美女视频,宋茜演唱会视频,绑架美女性感美女视频

一款優(yōu)秀的防火墻并不能防御所有的病毒，一款優(yōu)秀的殺毒軟件并不能查殺所有的帶毒程序。在殺毒軟件不是很智能的今天，簡(jiǎn)單的修改木馬過(guò)幾款出色的殺毒軟件并不艱難。所以，在殺毒軟件不能識(shí)別病毒的情況下，我們就有必要手工查殺病毒。

手工查殺病毒，顧名思義，就是在不使用殺毒軟件的情況下人為的使用一些系統(tǒng)自帶的或非系統(tǒng)自帶的手工輔助工具進(jìn)行查殺病毒。有些人懷疑手工殺毒是否有必要呢？其實(shí)，殺毒軟件只是一條看門(mén)狗，作為主人的你，理論上應(yīng)該比那條狗更清楚入屋者是不是賊才對(duì)。這只是作為管理者的一種基本意識(shí)。引用一位高手朋友的一句話(huà)：“只要?dú)⒍拒浖€要更新病毒庫(kù)，免殺就依然可以成功。”這也就說(shuō)明了手工查殺病毒很有必要，因?yàn)闅⒍拒浖菦](méi)辦法識(shí)別經(jīng)過(guò)免殺修改了的病毒的，這類(lèi)病毒只能手工查殺。而手工查殺是不是需要很雄厚的基本功呢？實(shí)話(huà)實(shí)說(shuō)，是應(yīng)該對(duì)系統(tǒng)有所了解才能做得到，但是，意識(shí)都是慢慢培養(yǎng)的，學(xué)習(xí)也是一個(gè)緩慢的過(guò)程，接觸多了，也就簡(jiǎn)單了。

廢話(huà)至此，下面開(kāi)始簡(jiǎn)單介紹一些查殺病毒的的方法：

課程總體分布

#1.任務(wù)管理器

#2.命令提示符（CMD）

#3.IceSword（冰刃）

#4.360安全衛(wèi)士（輔助學(xué)習(xí)的好工具）

#5.簡(jiǎn)單應(yīng)用，免殺灰鴿子手工查殺實(shí)例

#6.常用啟動(dòng)項(xiàng)

#7.映像劫持

#8.單挑07年毒王----AV終結(jié)者

一.常用工具使用簡(jiǎn)介

1.任務(wù)管理器

任務(wù)管理器是大家最常用的工具，有兩種比較簡(jiǎn)單的打開(kāi)方式：一種是組合鍵Ctrl+Alt+Delete，另一種是在任務(wù)欄右鍵→任務(wù)管理器。在任務(wù)管理器的應(yīng)用程序欄里面顯示的是正在運(yùn)行的正常程序的，而病毒程序是不會(huì)顯示出來(lái)的，所以我們一般都查看進(jìn)程欄。在這里我首先向大家介紹一些主要的系統(tǒng)進(jìn)程：

QUOTE:
      1.svchost.exe
　　進(jìn)程文件:svchost或者svchost.exe
　　描述:svchost host proscess是一個(gè)標(biāo)準(zhǔn)的動(dòng)態(tài)鏈接庫(kù)主機(jī)處理服務(wù)

  　　2.iexplore.exe
　　進(jìn)程文件:iexplore或者iexplore.exe
　　描述:microsoft internet explorer瀏覽器用于瀏覽網(wǎng)頁(yè)。

  　　3.rundll32.exe
　　進(jìn)程文件:rundll32或者rundll32.exe
　　描述:windows rundll32 為了需要調(diào)用dlls的程序。

  　　4.ctfmon.exe
　　名稱(chēng):alternativeuserinputservices
　　描述:office xp輸入法圖標(biāo)。

  　　5.winlogon.exe
　　進(jìn)程文件:winlogon或者winlogon.exe
　　描述:windows NT用戶(hù)登錄程序。

  　　6.alg.exe
　　進(jìn)程文件:alg或者alg.exe
描述:這是一個(gè)應(yīng)用層網(wǎng)關(guān)服務(wù)用于網(wǎng)絡(luò)共享。

  　　7.smss.exe
　　進(jìn)程文件:smss或者smss.exe
　　描述:進(jìn)程為會(huì)話(huà)管理子系統(tǒng)用以初始化系統(tǒng)變量，ms-dos驅(qū)動(dòng)名稱(chēng)類(lèi)似lpt1以及com，調(diào)用win32殼子系統(tǒng)和運(yùn)行在windows登錄過(guò)程。

   　8.explorer.exe
　　進(jìn)程文件:explorer或者explorer.exe
　　描述:windows program manager或者windows explorer用于控制windows圖形shell，包括開(kāi)始菜單、任務(wù)欄，桌面以及文件管理。

　9.csrss.exe
　　進(jìn)程文件:csrss或者csrss.exe
　　描述:客戶(hù)端服務(wù)子程序，用以控制windows圖形相關(guān)子系統(tǒng)。

  　　10.lsass.exe
　　進(jìn)程文件:lsass或者lsass.exe
描述:本地安全權(quán)限服務(wù)控制windows安全機(jī)制。

　  11.conime.exe
   進(jìn)程文件:conime或者conime.exe
　　描述：輸入法編輯器相關(guān)程序。

  　　12.wmiprvse.exe
　　進(jìn)程文件:wmiprvse或者wmiprvse.exe
描述:用于通過(guò)winmgmt.exe程序處理wmi操作。。
　
   13.services.exe
進(jìn)程文件： services 或者 services.exe
描述：用于管理windows服務(wù)系統(tǒng)進(jìn)程。

QUOTE:
系統(tǒng)進(jìn)程路徑對(duì)照表：

alg.exe          路徑為C:\WINDOWS\system32\alg.exe；

conime.exe    路徑為C:\WINDOWS\system32\conime.exe；

csrss.exe 路徑為C:\WINDOWS\system32\csrss.exe；

ctfmon.exe    路徑為C:\WINDOWS\system32\ctfmon.exe；

explorer.exe   路徑為C:\WINDOWS\explorer.exe；

iexplore.exe 路徑為C:\Program Files\Internet Explorer\iexplore.exe；

lsass.exe       路徑為C:\WINDOWS\system32\lsass.exe；

rundll32.exe    路徑為C:\WINDOWS\system32\rundll32.exe；

services.exe 路徑為C:\WINDOWS\system32\services.exe；

smss.exe       路徑為C:\WINDOWS\system32\smss.exe；

svchost.exe 路徑為C:\WINDOWS\system32\svchost.exe；

winlogon.exe 路徑為C:\WINDOWS\system32\winlogon.exe；

wmiprvse.exe 路徑為C:\WINDOWS\system32\wbem\wmiprvse.exe；

上面的大多是一些隨著系統(tǒng)啟動(dòng)的系統(tǒng)進(jìn)程（iexplore.exe除外，如果開(kāi)機(jī)就彈出網(wǎng)頁(yè)或出現(xiàn)iexplore.exe進(jìn)程就可以初步判定它是木馬或者惡意程序），其中有的機(jī)子rundll32.exe是不隨機(jī)啟動(dòng)的，wmiprvse.exe開(kāi)機(jī)啟動(dòng)后過(guò)些時(shí)間會(huì)消失，必要時(shí)還會(huì)啟動(dòng)。

對(duì)于陌生進(jìn)程，我們可以考慮到百度搜索，查看一下是否為病毒進(jìn)程。在此推薦大家遇到危險(xiǎn)進(jìn)程的時(shí)候查看一下危險(xiǎn)進(jìn)程速查表：

墨泉

2樓

關(guān)注卡飯騰訊微博 -

關(guān)注卡飯新浪微博

【危險(xiǎn)進(jìn)程速查表】

在任務(wù)管理器我們可以獲取很多有用信息，例如進(jìn)程的PID，所占用的內(nèi)存、CPU，I/O寫(xiě)入等等，在系統(tǒng)運(yùn)行不正常時(shí)我們可以根據(jù)這些信息來(lái)判斷病毒的所在。

其中PID和I/O寫(xiě)入項(xiàng)在查看→選擇列里選擇顯示，默認(rèn)是不顯示的，自己可以配置一下，把PID、I/O寫(xiě)入和I/O寫(xiě)入字節(jié)勾選上，即可查看到我們所想要的信息，如下圖：

【圖3】

【圖4】

【圖5】

PID指的是進(jìn)程的標(biāo)識(shí)號(hào)，系統(tǒng)中是不會(huì)存在重復(fù)PID的，它們?cè)趩?dòng)的時(shí)候隨機(jī)生成，只有兩個(gè)例外，如上圖：System Idle Process進(jìn)程的PID為0,System進(jìn)程的PID為4,它們是固定不變的。

利用任務(wù)管理器，我們可以查看到每個(gè)進(jìn)程所占用的內(nèi)存和CPU的大小，正常來(lái)說(shuō)，系統(tǒng)進(jìn)程占用的內(nèi)存并不多，一般不會(huì)超過(guò)50M，如果某個(gè)系統(tǒng)進(jìn)程超過(guò)了100M的話(huà)就要留意了，很有可能已經(jīng)被病毒注入。當(dāng)你發(fā)覺(jué)硬盤(pán)燈狂閃時(shí)，就應(yīng)該查看一下哪個(gè)進(jìn)程占用的內(nèi)存特別多，借以判斷問(wèn)題的源頭，但有些時(shí)候所有的進(jìn)程占用的內(nèi)存并不多而硬盤(pán)燈也狂閃，我們就可以查看I/O寫(xiě)入和I/O寫(xiě)入字節(jié)的大小，問(wèn)題一般都出在數(shù)值最大的進(jìn)程上，這就是勾選出I/O寫(xiě)入和I/O寫(xiě)入字節(jié)I/O寫(xiě)入和I/O寫(xiě)入字節(jié)的作用所在。

當(dāng)任務(wù)管理器打不開(kāi)時(shí)，可用下面三種方法修復(fù)：

QUOTE:
方法一：修改注冊(cè)表。運(yùn)行→regedit，展開(kāi)到：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
找到"DisableTaskmgr"把dword值設(shè)置為00000000

方法二：
打開(kāi)記事本，把下面的內(nèi)容保存成.reg文件，然后雙擊導(dǎo)入恢復(fù)。
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskmgr"=dword:00000000

(最后一行留一空行)

方法三：利用組策略：
開(kāi)始/運(yùn)行/gpedit.msc,
在用戶(hù)配置-管理模板-系統(tǒng)-CTRL+ALT+DELE選項(xiàng)，在左邊找到“刪除任務(wù)管理器”
雙擊打開(kāi)，設(shè)置為未配置，或者禁用。

當(dāng)注冊(cè)表都被鎖上時(shí)，可用記事本把下面內(nèi)容保存成.bat文件，然后雙擊運(yùn)行解鎖：

QUOTE:
@reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d 00000000 /f
start regedit 2.命令提示符（CMD）

命令提示符是在OS / 2 ， Windows CE與Windows NT平臺(tái)為基礎(chǔ)的操作系統(tǒng)（包括Windows 2000和XP中， Vista中，和Server 2003 ）下的“MS-DOS 方式”。
命令提示符是一個(gè)容易被大家忽略的強(qiáng)大的病毒查殺工具，在本課程只介紹命令提示符里幾個(gè)簡(jiǎn)單的命令。

1.Dir命令

QUOTE:
DIR [drive:][path][filename] [/A[[:]attributes]] [/C] [/D] [/L] [/N]
[/O[[:]sortorder]] [/P] [/Q] [/S] [/T[[:]timefield]] [/W] [/X] [/4]

[drive:][path][filename]
指定要列出的驅(qū)動(dòng)器、目錄和/或文件。

/A 顯示具有指定屬性的文件。
attributes D 目錄 R 只讀文件
H 隱藏文件 A 準(zhǔn)備存檔的文件
S 系統(tǒng)文件 - 表示“否”的前綴
/B 使用空格式(沒(méi)有標(biāo)題信息或摘要)。
/C 在文件大小中顯示千位數(shù)分隔符。這是默認(rèn)值。用 /-C 來(lái)
停用分隔符顯示。
/D 跟寬式相同，但文件是按欄分類(lèi)列出的。
/L 用小寫(xiě)。
/N 新的長(zhǎng)列表格式，其中文件名在最右邊。
/O 用分類(lèi)順序列出文件。
sortorder N 按名稱(chēng)(字母順序) S 按大小(從小到大)
E 按擴(kuò)展名(字母順序) D 按日期/時(shí)間(從先到后)
G 組目錄優(yōu)先 - 顛倒順序的前綴
/P 在每個(gè)信息屏幕后暫停。
/Q 顯示文件所有者。
/S 顯示指定目錄和所有子目錄中的文件。
/T 控制顯示或用來(lái)分類(lèi)的時(shí)間字符域。
timefield C 創(chuàng)建時(shí)間
A 上次訪問(wèn)時(shí)間
W 上次寫(xiě)入的時(shí)間
/W 用寬列表格式。
/X 顯示為非 8dot3 文件名產(chǎn)生的短名稱(chēng)。格式是 /N 的格式，
短名稱(chēng)插在長(zhǎng)名稱(chēng)前面。如果沒(méi)有短名稱(chēng)，在其位置則
顯示空白。
/4 用四位數(shù)字顯示年

墨泉

3樓

Dir命令主要用來(lái)查看隱藏的病毒文件，就例如盤(pán)符下的autorun.inf文件等.
假如想顯示e:\zhouzhou\ 下的所有文件則輸入命令dir e:\zhouzhou\ ，讓文件夾按時(shí)間順序排列就在后面加 /od ,按大小排就加 /os .........
如圖：

【圖6】

2.Netstat

QUOTE:
netstat命令的功能是顯示網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息，可以讓用戶(hù)得知目前都有哪些網(wǎng)絡(luò)連接正在運(yùn)作.

netstat [選項(xiàng)]

命令中各選項(xiàng)的含義如下：

-a 顯示所有鏈接和監(jiān)聽(tīng)窗口。

-b 顯示包含于創(chuàng)建每個(gè)鏈接或監(jiān)聽(tīng)端口的可執(zhí)行文件。

-c 每隔1秒就重新顯示一遍，直到用戶(hù)中斷它。

-i 顯示所有網(wǎng)絡(luò)接口的信息.

-n 以網(wǎng)絡(luò)IP地址代替名稱(chēng)，顯示出網(wǎng)絡(luò)連接情形。

-r 顯示核心路由表。

-t 顯示TCP協(xié)議的連接情況。

-u 顯示UDP協(xié)議的連接情況。

-v 顯示正在進(jìn)行的工作。

一般建議使用 netstat -nba ，它顯示的內(nèi)容比較全面，連帶進(jìn)程所調(diào)用的dll文件都可以顯示出來(lái)：

【圖7】

用 netstat -an 所獲得的信息相對(duì)少一點(diǎn)：

【圖8】

netstat 命令主要用于查找木馬，通過(guò)查看連接端口以及連接狀態(tài)，可以較為準(zhǔn)確的判斷出木馬進(jìn)程。如下圖：

【圖9】

除了一個(gè)IE和QQ鏈接外，其他的正常鏈接我都斷掉了，此時(shí)可以發(fā)覺(jué)還有另一個(gè)IE鏈接正處于Established狀態(tài)，我只開(kāi)了一個(gè)IE，為什么會(huì)有兩個(gè)鏈接呢？顯然，它是個(gè)木馬。

【圖10】

墨泉

4樓

注釋?zhuān)?

QUOTE:
1、LISTENING:
LISTENING表示處于偵聽(tīng)狀態(tài)，就是說(shuō)該端口是開(kāi)放的，等待連接，但還沒(méi)有被連接。
　　
2、ESTABLISHED：
ESTABLISHED的意思是建立連接。表示兩臺(tái)機(jī)器正在通信。

3、CLOSE_WAIT：
CLOSE_WAIT對(duì)方主動(dòng)關(guān)閉連接或者網(wǎng)絡(luò)異常導(dǎo)致連接中斷，這時(shí)我方的狀態(tài)會(huì)變成CLOSE_WAIT 。

4、TIME_WAIT：
TIME_WAIT的意思是己方結(jié)束了這次連接。說(shuō)明某端口曾經(jīng)有過(guò)訪問(wèn)，但訪問(wèn)結(jié)束了。

3.Tasklist

QUOTE:
TASKLIST [/S system [/U username [/P [password]]]]
[/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]

　　參數(shù)含義

　　/S system　指定連接到的遠(yuǎn)程系統(tǒng)。
　　/U [domain\]user　指定使用哪個(gè)用戶(hù)執(zhí)行這個(gè)命令。
　　/P [password]　為指定的用戶(hù)指定密碼。
　　/M [module]　列出調(diào)用指定的DLL模塊的所有進(jìn)程。如果沒(méi)有指定模塊名，顯示每個(gè)進(jìn)程加載的所有模塊。
　　/SVC　顯示每個(gè)進(jìn)程中的服務(wù)。
　　/V　顯示詳細(xì)信息。
　　/FI filter　顯示一系列符合篩選器指定的進(jìn)程。
　　/FO format　指定輸出格式，有效值：TABLE、LIST、CSV。
　　/NH　指定輸出中不顯示欄目標(biāo)題。只對(duì)TABLE和CSV格式有效。

查到木馬進(jìn)程，我們可以通過(guò)Tasklist /svc 來(lái)查看所有進(jìn)程以及木馬的服務(wù)項(xiàng)，進(jìn)而抑制木馬啟動(dòng)。

4.Taskkill

QUOTE:
　　TASKKILL [/S system ]]]
　　{ [/FI filter] [/PID processid | /IM imagename] } [/F] [/T]
　　描述:
　　這個(gè)命令行工具可用來(lái)結(jié)束至少一個(gè)進(jìn)程。
　　可以根據(jù)進(jìn)程 id 或圖像名來(lái)結(jié)束進(jìn)程。
　　參數(shù)列表:
　　/S system 指定要連接到的遠(yuǎn)程系統(tǒng)。
　　/U [domain\]user 指定應(yīng)該在哪個(gè)用戶(hù)上下文執(zhí)行這個(gè)命令。
　　/P [password] 為提供的用戶(hù)上下文指定密碼。如果忽略，提示輸入。
　　/F 指定要強(qiáng)行終止進(jìn)程。
　　/FI filter 指定篩選進(jìn)或篩選出查詢(xún)的的任務(wù)。
　　/PID process id 指定要終止的進(jìn)程的PID。
　　/IM image name 指定要終止的進(jìn)程的圖像名。通配符 '*'可用來(lái)指定所有圖像名。
　　/T Tree kill: 終止指定的進(jìn)程和任何由此啟動(dòng)的子進(jìn)程。
　　/? 顯示幫助/用法。

遇到雙進(jìn)程或多進(jìn)程保護(hù)的病毒，我們可以使用taskkill /f /pid 來(lái)結(jié)束“狼狽為奸”的病毒進(jìn)程，因?yàn)槿蝿?wù)管理器一次只能結(jié)束其中的一個(gè)，一個(gè)病毒進(jìn)程被結(jié)束，另一個(gè)進(jìn)程又會(huì)將它啟動(dòng)，使得你無(wú)法用任務(wù)管理器切底關(guān)閉病毒程序。此時(shí)我們可以用taskkill /f /pid來(lái)達(dá)到結(jié)束它的目的，格式如下圖：

【圖11】

5.Ntsd

QUOTE:
同taskkill命令一樣，可以用來(lái)結(jié)束命令：

　　方法一：利用進(jìn)程的PID結(jié)束進(jìn)程
　　命令格式：ntsd -c q -p pid
　　命令范例： ntsd -c q -p 4440

　　方法二：利用進(jìn)程名結(jié)束進(jìn)程
　　命令格式：ntsd -c q -pn ***.exe （后綴.exe不能?。?
　　命令范例：ntsd -c q -pn QQ.exe

6.Attrib

QUOTE:
　　attrib指令的格式和常用參數(shù)為
　　ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[drive:] [path] filename] [/S [/D]]
　　+ 設(shè)置屬性。
　　- 清除屬性。
　　R 只讀文件屬性。
　　A 存檔文件屬性。
　　S 系統(tǒng)文件屬性。
　　H 隱藏文件屬性。
　　[drive:][path][filename]
　　指定要處理的文件屬性。
　　/S 處理當(dāng)前文件夾及其子文件夾中的匹配文件。
　　/D 也處理文件夾。

本命令可以用來(lái)顯示出隱藏的病毒文件，例如autorun.inf之類(lèi)的文件。假如要查看D盤(pán)根目錄下有沒(méi)有autorun.inf，則可輸入attrib d:\autorun.inf -s -h把隱藏著的autorun.inf給顯示出來(lái)，并且去掉它的系統(tǒng)屬性。

7.Del

QUOTE:
Del命令用于刪除一個(gè)或數(shù)個(gè)文件。

DEL [/P] [/F] [/S] [/Q] [/A[[:]attributes]] names
　　names 指定一個(gè)或數(shù)個(gè)文件或目錄列表。通配符可被用來(lái)
　　刪除多個(gè)文件。如果指定了一個(gè)目錄，目錄中的所
　　有文件都會(huì)被刪除。
　　/P 刪除每一個(gè)文件之前提示確認(rèn)。
　　/F 強(qiáng)制刪除只讀文件。
　　/S 從所有子目錄刪除指定文件。
　　/Q 安靜模式。刪除全局通配符時(shí)，不要求確認(rèn)。
　　/A 根據(jù)屬性選擇要?jiǎng)h除的文件。

要?jiǎng)h除C盤(pán)根目錄下的123.exe文件，則在cmd輸入del /f c:\123.exe命令即可，借此命令刪除一些病毒文件。3.IceSword（冰刃）
網(wǎng)上比較詳細(xì)的冰刃實(shí)用教程是在是太多了，在此我就不班門(mén)弄斧了，只稍微簡(jiǎn)單的介紹一下它的部分功能.

IceSword在進(jìn)程查殺強(qiáng)大且方便，在IceSword前，所有的隱藏端口、隱藏進(jìn)程、隱藏文件一覽無(wú)遺，可同時(shí)選中的多個(gè)任意進(jìn)程一并殺除（System Idle Process、System、csrss.exe進(jìn)程除外），不過(guò)，若錯(cuò)誤關(guān)閉了其他主要的系統(tǒng)進(jìn)程就有可能會(huì)引起系統(tǒng)崩潰，所以在結(jié)束進(jìn)程前請(qǐng)確認(rèn)是否是重要的系統(tǒng)進(jìn)程，避免差錯(cuò)。

冰刃查殺病毒的一般步驟是：
1、查找病毒進(jìn)程 2、結(jié)束進(jìn)程 3、刪除病毒文件 4、清理注冊(cè)表

冰刃的主界面：

【圖12】

進(jìn)程項(xiàng)：
冰刃可以查看所有的隱藏和非隱藏進(jìn)程，其中隱藏進(jìn)程以紅色顯示出來(lái)（這里沒(méi)有），它還顯示了進(jìn)程的PID以及路徑，在其右鍵菜單中有結(jié)束進(jìn)程等幾個(gè)選項(xiàng)，支持一次結(jié)束多個(gè)進(jìn)程，只要同時(shí)選中多個(gè)進(jìn)程右鍵結(jié)束即可。

【圖13】

端口項(xiàng)：
冰刃可以顯示所有正在連接中的端口，及其所對(duì)應(yīng)的本地、遠(yuǎn)程地址，狀態(tài)，進(jìn)程PID以及進(jìn)程路徑，當(dāng)你把所有的正常連接都關(guān)閉之后，刷新，理論上就剩下非正常的連接，對(duì)比一下即可輕易找出處于連接中的木馬進(jìn)程及其他信息，進(jìn)而準(zhǔn)備木馬的刪除工作。

【圖14】

啟動(dòng)組：
用于查看是兩個(gè)RUN子鍵的內(nèi)容，包括項(xiàng)目所對(duì)應(yīng)的注冊(cè)表路徑以及文件路徑，在這里常?？梢哉业讲环ㄟM(jìn)程的啟動(dòng)項(xiàng)目，根據(jù)相應(yīng)的注冊(cè)表路徑，找到其注冊(cè)表，刪掉即可抑制某些不法程序的啟動(dòng)。

【圖15】

BHO:
BHO 全名Browser Helper Object，瀏覽器輔助對(duì)象,說(shuō)的簡(jiǎn)單點(diǎn)，就是網(wǎng)上常常提到的IE插件。比較下面兩個(gè)圖，就可以發(fā)覺(jué)病人的插件檢測(cè)功能并不比在這方面下了大力氣的360安全衛(wèi)士要弱，在想刪除的插件上右鍵即可看到刪除菜單。

【圖16】

【圖17】

監(jiān)視進(jìn)程創(chuàng)建：
顧名思義，監(jiān)視進(jìn)程創(chuàng)建就是監(jiān)視一個(gè)進(jìn)程創(chuàng)建另一個(gè)進(jìn)程，這功能可以發(fā)現(xiàn)木馬后門(mén)創(chuàng)建了什么進(jìn)程和線程，尤其是遠(yuǎn)線程。紅色顯示的即是進(jìn)程創(chuàng)建(目標(biāo)進(jìn)程TID為0時(shí)為進(jìn)程創(chuàng)建，緊接其后的紅色項(xiàng)是它的主線程的創(chuàng)建)和遠(yuǎn)線程創(chuàng)建(應(yīng)該注意)。另外，病毒程序被結(jié)束后有可能會(huì)再被重新啟動(dòng)，用監(jiān)視進(jìn)程創(chuàng)建功能就可以簡(jiǎn)單追蹤到病毒的“朋黨”，然后把它們的同伙一起消滅。

【圖18】

監(jiān)視進(jìn)程終止：
與監(jiān)視進(jìn)程創(chuàng)建進(jìn)程相對(duì)應(yīng)，監(jiān)視一個(gè)進(jìn)程結(jié)束另一個(gè)進(jìn)程。

【圖19】

注冊(cè)表：
與系統(tǒng)注冊(cè)表用法類(lèi)似，它有權(quán)限打開(kāi)或修改任何子鍵，使用時(shí)務(wù)必謹(jǐn)慎，不要一不小心激動(dòng)起來(lái)把系統(tǒng)文件的注冊(cè)表也刪掉了，那樣就有麻煩了，要知道，刪掉了不可恢復(fù)的。

【圖20】

4.360安全衛(wèi)士（輔助學(xué)習(xí)的好工具）
眾所周知，360不失為一款優(yōu)秀的木馬、插件查殺工具。但在這里，我所介紹的并不是它的木馬、插件查殺功能，而是通過(guò)360與上述的軟件作對(duì)比以達(dá)到更好的掌握基礎(chǔ)知識(shí)的目的。

進(jìn)程項(xiàng)：
可以查看到所有正在運(yùn)行的進(jìn)程的有關(guān)描述以及其他詳細(xì)信息。

【圖21】

啟動(dòng)項(xiàng)：
在下拉菜單中很輕易就可以找到以下各項(xiàng)，它與msconfig以及regedit那幾個(gè)run子鍵中的啟動(dòng)項(xiàng)是對(duì)應(yīng)的，但360提供了更為詳細(xì)的信息，選中某進(jìn)程，即可在右邊文件大小、路徑等信息。

【圖22】

BHO：
瀏覽器輔助插件查看功能，可在右邊獲取更為詳細(xì)的信息。

【圖23】

系統(tǒng)服務(wù)：

【圖24】

啟動(dòng)項(xiàng)狀態(tài)：

【圖25】

系統(tǒng)服務(wù)狀態(tài)：

【圖26】

系統(tǒng)進(jìn)程狀態(tài)：

【圖27】

網(wǎng)絡(luò)連接狀態(tài)：

【圖28】

墨泉

5樓

5.簡(jiǎn)單應(yīng)用，免殺灰鴿子手工查殺實(shí)例

一.用系統(tǒng)工具查殺

1.斷掉正常鏈接（這里例外，必須留下H3C上網(wǎng)認(rèn)證程序和QQ程序），打開(kāi)任務(wù)管理器，檢查可疑進(jìn)程，就表面來(lái)說(shuō)，發(fā)覺(jué)除了幾個(gè)正常軟件進(jìn)程外就找不到別的非系統(tǒng)進(jìn)程了，如圖：

【圖29】

2.打開(kāi)命令提示符，輸入netstat -an，發(fā)覺(jué)還有程序正處于連接狀態(tài)，如圖：

【圖30】

3.輸入netstat -nba查找端口為8000的進(jìn)程項(xiàng)和服務(wù)項(xiàng)，可以看到，進(jìn)程PID為7852的路徑下，有個(gè)路徑為c:\windows\system\svchost.exe ,很明顯，這是個(gè)偽裝的系統(tǒng)進(jìn)程，因?yàn)檎嬲膕vchost.exe應(yīng)該在system32文件夾下的，如下圖：

【圖31】

4.輸入tasklist /svc，查找PID為7852的進(jìn)程的服務(wù)項(xiàng)，可以看到，所要查找的服務(wù)項(xiàng)名稱(chēng)為svchost，如下圖：

【圖32】

5.在運(yùn)行處輸入services.msc，啟動(dòng)服務(wù)，找到名稱(chēng)為svchost的服務(wù)項(xiàng)，右鍵將其禁用，如下圖：

【圖33】

6.在任務(wù)管理器中結(jié)束PID為7852的進(jìn)程，再進(jìn)入c:\windows\system\ ，找到 svchost.exe 文件，備份，刪除。殘留的注冊(cè)表用超級(jí)兔子清理即可。由于灰鴿子木馬的生存能力不像惡意病毒那么強(qiáng)盛，至此即可收工了，灰鴿子不會(huì)再啟動(dòng)。

二.用非系統(tǒng)工具查殺（這里用冰刃）

1.斷掉正常鏈接（這里例外，必須留下H3C上網(wǎng)認(rèn)證程序和QQ程序），打開(kāi)冰刃，在端口項(xiàng)里查看
正在鏈接狀態(tài)的端口，一下就可以發(fā)覺(jué)PID為7852的可疑進(jìn)程了，為了確認(rèn)，再看右邊的路徑，立刻可以完全確認(rèn)該進(jìn)程就是木馬進(jìn)程，因?yàn)檎嬲膕vchost.exe應(yīng)該在system32文件夾下的，如下圖：

【圖34】

2.打開(kāi) 服務(wù) 項(xiàng)，查找名稱(chēng)為svchost服務(wù)項(xiàng)，右鍵把它禁用，如下圖：

【圖35】

3.打開(kāi) 進(jìn)程項(xiàng)，把病毒進(jìn)程關(guān)閉，如下圖：

【圖36】

4.在冰刃文件里打開(kāi)c:\windows\system\ ，找到 svchost.exe 文件，備份，刪除。至此，灰鴿子木馬完全失效。殘留的注冊(cè)表用超級(jí)兔子清理即可。（留意該文件的創(chuàng)建時(shí)間，20081119，說(shuō)明該木馬進(jìn)程是不久前安裝進(jìn)去的）

【圖37】

墨泉

6樓

6. 常用啟動(dòng)項(xiàng)

   而對(duì)于一些惡意病毒，我們應(yīng)該先斷網(wǎng)，記錄可疑文件路徑，再查看啟動(dòng)項(xiàng)：

1.msconfig中設(shè)置開(kāi)機(jī)啟動(dòng)項(xiàng)，留下ctfmon.exe，其他的都去掉（當(dāng)然，如果你對(duì)某些進(jìn)程比較熟悉的話(huà)也可以考慮留著）。

2.去掉開(kāi)始菜單啟動(dòng)項(xiàng)：

對(duì)應(yīng)文件路徑：
C:\Documents and Settings\All Users\「開(kāi)始」菜單\程序\啟動(dòng)
C:\Documents and Settings\你的用戶(hù)名\「開(kāi)始」菜單\程序\啟動(dòng)

3.regedit中各個(gè)Run子鍵：（可疑的導(dǎo)出再刪除）

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

4.服務(wù)：

      可疑服務(wù)先到網(wǎng)上搜索查找信息，再做禁用的定奪。

   然后重啟。如果病毒不再啟動(dòng)，可直接到它的安裝文件進(jìn)行備份刪除。如果病毒依然啟動(dòng)，可調(diào)出任務(wù)管理器或冰刃，結(jié)束可疑進(jìn)程，再進(jìn)行備份刪除，然后清理注冊(cè)表，重啟。

  7.  映像劫持：

   全名：Image File Execution Options

   位于注冊(cè)表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 下。

映像劫持原理：NT系統(tǒng)在試圖執(zhí)行一個(gè)從命令行調(diào)用的可執(zhí)行文件運(yùn)行請(qǐng)求時(shí)，先會(huì)檢查運(yùn)行程序是不是可執(zhí)行文件，如果是的話(huà)，再檢查格式的，然后就會(huì)檢查是否存在...如果不存在的話(huà)，它會(huì)提示系統(tǒng)找不到文件或者是“指定的路徑不正確"等等....

      IFEO的本意是為一些在默認(rèn)系統(tǒng)環(huán)境中運(yùn)行時(shí)可能引發(fā)錯(cuò)誤的程序執(zhí)行體提供特殊的環(huán)境設(shè)定。它對(duì)一般用戶(hù)意義不大，相反，它容易被病毒利用。

被病毒利用之后的癥狀：防火墻、殺毒軟件和一些出名的殺毒輔助工具沒(méi)法運(yùn)行，當(dāng)你雙擊運(yùn)行它們時(shí)，啟動(dòng)的反而是病毒。

07年的毒王------AV終結(jié)者就會(huì)來(lái)這套，它把大量的殺毒軟件以及工具給屏蔽掉了，以致被感染的機(jī)子幾乎完全失去防御能力。

當(dāng)然，我們也可以適當(dāng)加以利用讓它為自己服務(wù)。假如你不希望cmd.exe在你電腦上運(yùn)行，你只要在注冊(cè)表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options  路徑下添加名為cmd.exe的項(xiàng)，再在右邊新建一個(gè)字符串值，命名為Debugger，再在里面填上一個(gè)空路徑即可。

   拓展思維：有些病毒利用這招來(lái)對(duì)付我們的殺毒軟件，我們也可以以牙還牙，用這招來(lái)對(duì)付病毒，讓病毒無(wú)法啟動(dòng)，但前提是該病毒的名稱(chēng)不能與系統(tǒng)的主要進(jìn)程的名稱(chēng)相同，如果相同的話(huà)用了映像劫持會(huì)使得系統(tǒng)無(wú)法正常工作，甚至崩潰，這點(diǎn)務(wù)必要注意。

8.單挑07年毒王----AV終結(jié)者

剛剛寫(xiě)完上面的入門(mén)基礎(chǔ)課程，現(xiàn)在就把它給放出來(lái)，做個(gè)實(shí)例課程大家看看吧，希望對(duì)大家能有所啟發(fā)。

好了，AV終結(jié)者已經(jīng)安裝到電腦里去了。可以發(fā)覺(jué)殺毒軟件無(wú)法啟動(dòng)了，包括其他一些手殺工具，例如冰刃、UnLocker等,還好，可以打開(kāi)任務(wù)管理器，

【圖38】

首先，斷網(wǎng)！因?yàn)樗鼤?huì)自動(dòng)下載木馬到你的電腦上。打開(kāi)任務(wù)管理器，在任務(wù)管理器我們沒(méi)能發(fā)覺(jué)什么異常，可以看到，系統(tǒng)沒(méi)有創(chuàng)建新的進(jìn)程，也沒(méi)能發(fā)覺(jué)哪個(gè)系統(tǒng)進(jìn)程占用內(nèi)存特別大的，但我們可以判斷，病毒要不就把進(jìn)程給隱藏了，要不就注入到系統(tǒng)進(jìn)程中去了，想確認(rèn)，借用工具（方便點(diǎn)....^_^....）！
上面的課程已經(jīng)簡(jiǎn)單介紹映像劫持了，就直接找到IFEO鍵下吧?？?，大量的殺毒工具的主程序給寫(xiě)進(jìn)來(lái)了，如下圖：

【圖39】

【圖40】

【圖41】

【圖42】

【圖43】

【圖44】

AV終結(jié)者的編寫(xiě)者可謂用心良苦，齊集了幾乎所有的出名殺毒軟件以及手殺工具，沒(méi)幾款能幸免于難的。不過(guò)，想使用，也很簡(jiǎn)單，直接把image file execution options子鍵刪掉就行，至此殺毒軟件和手工殺毒工具都可以正常啟動(dòng)了，注意，別重啟，一旦重啟，它們將會(huì)被重新劫持！

在查看被映像劫持的多個(gè)項(xiàng)里，發(fā)覺(jué)一個(gè)共同點(diǎn)，就是Debugger下的數(shù)據(jù)保持一致，根據(jù)映像劫持里所提及的只是，可判斷這就是病毒文件的路徑所在。如下圖：

【圖45】

打開(kāi)冰刃，在進(jìn)程里查看是否有紅色的進(jìn)程，

【圖46】

墨泉

7樓

這里沒(méi)發(fā)現(xiàn)紅色進(jìn)程，這是可以判斷，病毒進(jìn)程插入到系統(tǒng)進(jìn)程里去了，插入在哪個(gè)進(jìn)程呢？不知道！...o(∩_∩)o...從以前獲得的信息知道，AV終結(jié)者病毒進(jìn)程會(huì)注入到explorer.exe里面，所以，我們必須在explorer.exe關(guān)閉的情況下殺毒，這樣病毒進(jìn)程也會(huì)暫時(shí)處于關(guān)閉狀態(tài)，就不會(huì)出現(xiàn)沒(méi)法刪掉病毒文件的情

況....

先打開(kāi)注冊(cè)表（用冰刃的也可以），再在冰刃文件里的設(shè)置選上禁止進(jìn)程創(chuàng)建和禁止協(xié)件功能，再關(guān)閉explorer.exe，防止它被非法啟動(dòng)：

【圖47】

由以上的圖可見(jiàn)，病毒生成的隨機(jī)名字為4020DE24，為此我們就可以通過(guò)搜索功能找到它的相關(guān)注冊(cè)表和病毒文件。
這里先從注冊(cè)表入手，搜索相關(guān)注冊(cè)表，刪除！如下圖：

【圖48】

【圖49】

【圖50】

【圖51】

搜啊~~~刪啊~~~~~再搜啊~~~~~~~再刪啊~~~~~~~~~直到搜完為止，如下圖：

【圖52】

好，注冊(cè)表清理完了，就接著清理文件吧，先按照?qǐng)D片上的路徑把病毒相關(guān)文件刪掉，如下圖：

【圖53】

再查看各根目錄，發(fā)覺(jué)D盤(pán)下有4020DE24.exe和AutoRun.inf，直接刪除！

【圖54】

【圖55】

搜索病毒殘留文件，不用客氣，刪！

【圖56】

【圖57】

【圖58】

檢查啟動(dòng)組，有異常，把那兩個(gè)desktop.ini刪除：

【圖59】

【圖60】

刷新一下，查看原病毒路徑，發(fā)覺(jué)不再生成 4020DE24.exe和AutoRun.inf 之類(lèi)的文件，重啟電腦，映像劫持已經(jīng)解除，再檢查根目錄，已經(jīng)不再生成病毒文件了，至此，病毒查殺完畢。

【圖61】

墨泉

8樓

一不小心就把它殺掉了.....(*^__^*).....

在此再處理一下其它小問(wèn)題吧，可以發(fā)覺(jué)，你不用工具的話(huà)就沒(méi)辦法查看隱藏文件了，你選“顯示所有文件和文件夾”確定后還是查看不了，再回到文件夾選項(xiàng) 看，可以發(fā)覺(jué)，它又自動(dòng)的選上了“不顯示隱藏的文件和文件夾”選項(xiàng)：

【圖62】

這個(gè)很容易解決，在注冊(cè)表里搜索showall項(xiàng)，把右邊的CheckedValue鍵值改為1即可。

【圖63】

此外，還多了個(gè)插件，不知道是不是它送的見(jiàn)面禮，一起送它們上路吧..

【圖64】

至此，收工！

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶(hù)發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。

中文字幕理论片,69视频免费在线观看,亚洲成人app,国产1级毛片,刘涛最大尺度戏视频,欧美亚洲美女视频,2021韩国美女仙女屋vip视频