木马病毒猖獗年代,我的本本是如何裸奔的
裸奔,裸流,万里滔滔江水永不休。淘尽了世间事,混作滔滔一片潮流。是喜是愁,浪里分不清欢笑悲忧。成功失败,浪里看不出有没有。 ——改版自《上海滩》
我的反病毒经历:
很久很久以前,我第一次听说啥啥啥 CIH病毒 的时候,记得是1998年,但是没有意识,也没有想到要预防
知道2001年,我的机器带着CIH病毒运行了2个月,并且把带毒文件写入了光盘纪念起来,知情的那天起我用起了诺顿个人版
2002年,得知诺顿个人版免费用一年就会过期,我换成了不过期的诺顿企业版8.1,此软件如同玄铁重剑——无锋
2003年,爱之门猖獗,手动杀不干净,下载了诺顿专杀工具,从此知道专杀工具的好用,
冲击波猖獗,知道了系统不打补丁也会中毒,原来连接网线也能中毒
2005年,目睹了3年没报警的诺顿在公司网络病毒泛滥的环境下如何无助,于是放弃不用,改用卖咖啡
2006年,短时试用有西毒称号的卡巴斯基 6.0 5.0,历时半个月,经历卡基,死机等等心魔外相,认为这个软件无异于七伤拳,杀敌壹千,自损八百,遂卸载。
2006年,惊闻无数病毒针对杀毒软件攻击,更有某官方组织自造病毒,放弃一切杀毒软件,改由裸奔,终于迈入无剑胜有剑的先天境界
在有据可查的5年时间里面,中毒2次,分别是CIH和灰鸽子,恶意/流氓软件多次:如网络猪,3721,CNNIC,zcom
但是均手动杀掉,CIH就由杀毒软件代劳了。
2006年全年,没有中毒情况发生,
我自己虽然几年时间没怎么中毒,可是同事朋友的机器可是中毒无数,
我多次帮助手动杀毒,看着他们机器里面一个个被病毒攻击瘫痪的诺顿,卡巴,卖咖啡
我觉得没有良好的使用习惯配合,再强的杀毒软件也是白搭
我写这个文字的目的只是为了告诉大家如何的使用习惯才能比较好的防御病毒木马的侵袭,
甚至可以不用躲在防火墙后面瑟瑟发抖
现付秘籍如下:
预防:
系统必须及时打上所有安全补丁。
如果局域网里面病毒极其猖獗,因为染毒而重灌系统的时候,应该拔下局域网线,因为刚刚重装完毕的系统跟新生儿一样脆弱,拥有一切已知的系统漏洞,在病毒泛滥的局域网系统里如果接着网线重装会出现没装完渠道就被染毒机器通过系统RPC漏洞重新感染的情况。最好下载好XP补丁集(天空,霏凡软件有下载),安装完毕比较新的补丁包,对系统管理员用户密码和默认共享做了修改以后再连上互联网,运行Windows UPDAte升级系统 典型预防:冲击波,震荡波,魔波
默认硬盘管理共享必须关闭,安装好系统以后,修改注册表关闭默认共享
对于c$、d$等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项。在该项的右边空白处,单击右键选择新建DWORD值。
添加键值“AutoShareServer”(类型为“REG_DWORD”,值为“0”)。
注:如果系统为Windows 2000 Server或Windows 2003,则要在该项中添加键值“AutoShareServer”(类型为“REG_DWORD”,值为“0”)。如果系统为XP/Windows 2000 PRO,则应在该项中添加键值“AutoShareWks”(类型为“REG_DWORD”,值为“0”)。
这样可以避免局域网内管理员密码与你相同的染毒计算机通过默认共享漏洞直接把蠕虫木马的可执行文件直接写入你的硬盘目录。典型预防:爱之门,威(维)金
Administrator帐号禁用或者不能使空白密码,这样避免了管理员帐号空白密码造成系统漏洞典型预防:爱之门,威(维)金
不使用XP Home版系统,C盘必须使用NTFS文件系统,禁用简单的文件共享模式,这样可以定制文件系统NTFS权限,在一旦感染流氓软件,病毒木马的情况下,还有机会手动删除。配合NTFS删除顽固病毒文件的操作方式下文 典型预防:一切不明传染途径反复感染的蠕虫病毒。如ftplta.exe, Logo1_.exe,sy1.exe。
做法很简单,找到那些屡删屡出现的病毒可执行或者DLL文件,打开属性对话框,选择“安全"页面,然后添加Everyone,选择 读取拒绝,但是不要删除文件,这样这个病毒可执行文件就会变成僵尸,无法执行,无法启动,而且占着地方,阻止了病毒无法再次写入感染。如果看不到安全页面,检查系统是否Home版,或者启用了简单文件共享,更换系统到Pro版或者禁用“简单文件共享”即可
禁用IE浏览器的第三方扩展,对IE的插件目录plug-in设置权限只读不写。
定制host文件,屏蔽绝大部分流氓网站
安装共享软件的时候睁大眼睛,有的流氓软件捆绑的在安装过程中是有提示可以选择不安装的
图:
被捆绑过一次流氓软件就不要再自己傻乎乎的往系统里面安装了
关闭自动播放功能,关闭文件夹的Web视图,非常多的木马病毒软件是通过自动播放传染的 图:
关闭Web视图
37d136e5f.jpg]
关闭自动播放:VISTA
XP/2000/2003可以用兔子。Tweaks UI之类的工具
染毒的SD卡/U盘,移动硬盘
Windows 2003/VISTA下面尽量启用IE增强安全浏览和UAC功能,这个好处就不说了,只是比较烦就是了,但是安全第一。
小心上网,不随便浏览QQ不明链接或者XX邮件,直接删除。尽量在有限的几个网站寻找软件下载,比如霏凡软件,绿色软件园
急救
启动到安全模式杀毒,
急救工具
Process Explorer ,这个工具极其实用,可以观察进程原始文件和嵌套线程,
急救措施 一般手动杀毒的步骤是:
启动到安全模式,利用进程管理工具如系统自带的进程管理器 和 Process Explorer 检查可疑进程,
检查可疑进程和根据注册表的加载项目反向搜索启动盘上的可疑病毒文件
结束可疑进程,去掉注册表中的可疑加载项目,恢复可能被替换的系统文件如Regedit或者Notepad.exe,taskmgr.exe,恢复被修改的文件关联
删除可疑文件,如果提示无法删除,参考后面的NTFS权限法删除文件,或者使用IceSword工具删除。
扩展搜索,(关闭文件搜索向导,改用高级文件搜索)检测文件名跟刚才删除文件日期类似的(前后一个月的时间范围),
存在于启动盘的EXE和DLL文件,检查文件目录和文件版本属性,看看是正常的安装软件,系统文件还是可疑病毒文件
反复重启系统观察是否还有病毒残留,对于初步判定已经清除内存驻留病毒的系统,安装一个主流杀毒软件,进行全盘扫描查毒。
如果存在知道病毒进程,文件名,但是无法搜索到病毒文件的异常情况或者无法删除顽固文件,可以根据文件名在搜索引擎寻找解决办法或者专杀工具。
那是因为病毒采用了比较强悍的虚拟驱动或者系统Rootkit技术,可以考虑多装一个系统来对此系统进行杀毒,或者使用Windows PE光盘启动杀毒。
一、经典的启动——“启动”文件夹
单击“开始→程序”,你会发现一个“启动”菜单,这就是最经典的Windows启动位置,右击“启动”菜单选择“打开”即可将其打开,其中的程序和快捷方式都会在系统启动时自动运行。
二、有名的启动——注册表启动项
注册表是启动程序藏身之处最多的地方,主要有以下几项:
1.Run键
Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]和[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run],其下的所有程序在每次启动登录时都会按顺序自动执行。
还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run],也要仔细查看。
2.RunOnce键
RunOnce位于[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce]和[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce]键,与Run不同的是,RunOnce下的程序仅会被自动执行一次。
3.RunServicesOnce键
RunServicesOnce键位于[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]和[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]下,其中的程序会在系统加载时自动启动执行一次
4.RunServices键
RunServices继RunServicesOnce之后启动的程序,位于注册表[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices]键。
5.RunOnceEx键
该键是Windows XP/2003特有的自启动注册表项,位于[HKEY_CURRENT_USER//SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx]。
6.load键
[HKEY_CURRENT_USER/Software/Microsoft/WindowsNT/CurrentVersion/Windows]下的load键值的程序也可以自启动。
7.Winlogon键
该键位于位于注册表[HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon],注意下面的Notify、Userinit、Shell键值也会有自启动的程序,而且其键值可以用逗号分隔,从而实现登录的时候启动多个程序。
8.其他注册表位置
还有一些其他键值,经常会有一些程序在这里自动运行,如:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/Shell][HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad][HKEY_CURRENT_USER/Software/Policies/Microsoft/Windows/System/Scripts][HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/Windows/System/Scripts]
小提示:
注册表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]键的区别:前者对所有用户有效,后者只对当前用户有效。
三、古老的启动——自动批处理文件
从DOS时代过来的朋友肯定知道autoexec.bat(位于系统盘根目录)这个自动批处理文件,它会在电脑启动时自动运行,早期许多病毒就看中了它,使用deltree、format等危险命令来破坏硬盘数据。如“C盘杀手”就是用一句“deltree /y c:/*.*”命令,让电脑一启动就自动删除C盘所有文件,害人无数。
小提示
★在Windows 98中,Autoexec.bat还有一个哥们——Winstart.bat文件,winstart.bat位于Windows文件夹,也会在启动时自动执行。
★在Windows Me/2000/XP中,上述两个批处理文件默认都不会被执行。
修改文件关联:
介绍一下Ftype的用法
在Windows中,Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表编辑器中修改“HKEY_CLASSES_ROOT”项下的部分内容一样。
Ftype的基本使用格式为:Ftype [文件类型[=[打开方式/程序]]]
比如:像上例中的ftype exefile=notepad.exe %1,表示将所有文件类型为EXE(exefile表示为EXE类型文件)的文件都通过“记事本”程序打开,后面的%1表示要打开的程序本身(就是双击时的那个程序)。
ftype exefile="%1" %*则表示所有EXE文件本身直接运行(EXE 可以直接运行,所以用表示程序本身的%1即可),后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。
删除顽固文件
什么是可疑文件:出现在异常的加项目里面,出现在进程管理器里面,检查文件属性,文件日期异常(新染毒的机器多半是最近几天日期),文件没有版本信息,或者不属于常规的微软式版本信息。
图为典型的系统文件信息:
观察进程管理器,你必须熟悉你安装了哪些软件,来源是已安装软件目录的基本不用管,不明进程要是来自IE目录,Common Files目录,用户目录,Temp目录的话,就要严重警惕了
这个是从本友会里面借来的图,这个系统是典型的带毒系统
这个是比较优化的系统
设置我的电脑文件列表属性保证病毒文件无处藏身
搜索出可疑的EXE,DLL文件,修改文件NTFS属性到Everyone拒绝读取。重启计算机,这时候往往会提示某某文件加载失败,别理它。我的电脑打开,直接删除病毒文件,在注册表里面以文件名搜索以下,然后删掉全部相关的键值。
安全模式下,删除系统驱动级别病毒文件的两个步骤,搜索出可疑的EXE,DLL,SYS文件,修改文件NTFS属性到Everyone拒绝读取。如上图所示,重启计算机,这时候会提示某某文件加载失败,别理它。进入设备管理器,打开隐藏设备显示,找到合适病毒的虚拟设备驱动,选择卸载。
图:
最容易被修改的文件关联:
EXE文件,TXT文件,REG文件,解决办法:
1.备份注册表项目 HKEY_CLASSES_ROOT/.exe
HKEY_CLASSES_ROOT/.txt
HKEY_CLASSES_ROOT/.reg
2.在控制台安全模式使用 ftype命令恢复关联
最容易被替换的可执行文件
%windir%\system32\TASKMGR.EXE 任务管理器,容易被替换为病毒文件
%windir%\notepad.EXE 记事本,容易被替换为病毒文件
%windir%\regedit.EXE 注册表编辑器,容易被替换为病毒文件
容易被病毒寄生的目录
%userprofile%目录,一般为C:\Document And Settings\Administrator目录
IE插件目录 一般为C:\Program Files\Internet Expoloer\plugins目录
Windows目录,Windows\System32目录 Windows\inf目录 Windows\Driver Cache 目录
Program Files\Common Files目录
根目录
最可疑的进程:
scvhost.exe rundl132.exe logo_.exe 大写 EXPLORER.EXE
……无法一一列举
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
