SiS001! Board - [第一会所关闭注册]

标题: [交流] 杀毒小工具使用心得 [打印本页]

作者: lovewulv9603 时间: 2007-7-12 01:24 标题: 杀毒小工具使用心得

前言，喜欢一中毒就重装、ghost的朋友不要在这里浪费青春！
很久没有来太平洋混了！最近病毒特别多，也碰到很多比较棘手的（主要是技术太菜了），昨天在太平洋上看到姚荐源的帖子，确实学到很多新的东西，学电脑这东西交流是很重要的！
本帖还是针对刚入门的朋友一起探讨的，帖中有些问题小弟也没有很好的解决，希望大虾不吝赐教！谢谢！
《杀毒几个小工具的应用》
引子，本人向来觉得杀毒软件是有点用处的，但是碰到强点的病毒，杀毒软件就ED了！
以前觉得靠手（del）和眼睛（观察）就可以杀毒了，但是现在的病毒很牛的，有dll内插，有驱动加载，反正是极尽其能事。面对这些病毒还是单纯使用眼睛和手来杀还是相当的困难和繁琐的。正所谓君子善假于物，今天来讲一下。我使用Icesword和Autoruns的使用心得体会！
1、 Icesword
大名鼎鼎的Icesword相信大家都不陌生吧！
看下图，冰刃的功能还是很多的，看下图。
其中可以察看进程（包括任务管理器中隐藏的任务）、端口、服务、启动、bho；并且可以使用冰刃直接打开注册表，察看文件。看图1

（这个很有用的，有些文件正在被病毒的进程使用时，可以直接用这个将其删除的，大家应该碰到过Ntservices32.DLL吧，用冰刃删除是比较简单的，当然有些文件也是删除不掉的）
我使用过程中，发现删除病毒最有用的还是察看进程，然后进程的模块信息了！你打开冰刃察看进程，然后选中要察看的进程右击〉进程模块。看图2

这是你就可以看到和这个进程有关的模块的信息（包括各种文件，以exe和dll文件为主）对付那些dll内插或者进程隐藏的文件是很有用的。你可以结合观察系统文件（主要是windows，system32、ie目录、system目录，其他的病毒喜欢的目录。当然这里也有些小技巧的，一般病毒都是隐藏的，而且现在的病毒也可以做到使系统文件无法取消隐藏的。Ps：传统的取消隐藏的方法是，打开我的电脑）工具〉文件夹选项〉察看〉将隐藏受系统保护的文件前面的钩去掉，显示所有文件！
如果你做了以上的工作还是无法取消系统文件的隐藏的法，看下面的方法：
看这个帖子，http://softbbs.pconline.com.cn/t ... amp;pageNo=1#floor8
然后还是按照上面的方法取消隐藏，看图3明了

写的有点乱了，进城模块察看的好处，就是使你及时发现内插和隐藏的病毒文件或者dll，对于那些内插的dll或者病毒文件，因为加载在正常的进程中，所以你明明知道他们是并无文件，但是删除的时候是删除不掉的，所以下面是关键了，你选中一个内插的文件或者dll，然后点强制解除，再进到病毒所在的目录删除，一般就没有问题了。看图4

Ps：小技巧，你点开一个进程的模块信息会发现，东西还是很多的，有点眼花，那么你如果判断出系统中的病毒文件或者杀毒软件提示的病毒无法删除的，可以的话，你右击这个病毒重命名为123，或者110，当然有些病毒文家是无法重命名的！，然后再打开冰刃，察看就会一目了然了！一般病毒内插喜欢explorer.exe或者ie等，有时候还是需要耐心一点的！处理过程中可能也会有点风险的，至少我处理了很多，都没有出现过系统崩溃的情况的！
好了等有空了再介绍autoruns和其他小工具在杀毒中的运用！
好了补上autoruns的使用方法吧
一般病毒处理，大家会考虑用msconfig查看启动文件，但是单单了解msconfig里的启动项，对于全面查杀病毒是不够的，这个时候大家可以考虑使用autoruns，其功能还是比较强的！
首先到这里下载autoruns：
http://gzcnc.onlinedown.net/soft/21022.htm
解压缩后，运行autoruns.exe，看到如下类似画面1.

这里包括我各种各样的启动文件，有正常启动的文件，也有可能是病毒的启动文件。这样看的话眼睛比较容易会花，所以下面是个小技巧，就是点开〉autoruns上面工具栏中的option〉选中verify code signatures（这个主要看看是否通过微软的数字签名）和hide signed Microsoft entries（隐藏微软的启动文件条目），然后关闭autoruns，再重新运行autoruns，这个时候就会出现比较简洁的画面了，看图.

有些东西就比较一目了然了，，长话短说，看下图.

你可以看到些可疑的启动项目（在msconfig里是没有的项目）然后你先可以试着将这些可疑启动项目前面的钩去掉。当然有些病毒很狡猾的，你取消了还是会出现的，这个时候我建议你到安全模式（使用网络功能），然后配合icesword和注册表，一起杀吧，到目前为止，小弟使用这些工具基本上都能顺利将毒杀完的。还有善意的提醒一句，重装系统是比较简单的对付病毒的方法，不过大家也知道的，现在的病毒利用autorun.inf，完全可以在你重装系统后，双击点开其它盘符（d盘等的时候）死灰复燃，所以会点简单的手工处理的方法，先把主要的病毒杀掉，然后再重装，效果可能更加的好！

作者: xyzhao 时间: 2007-7-12 09:23

图片看不到有反盗链，麻烦搂主重贴一下图片吧。

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://154.84.6.10/bbs/)