论文部分内容阅读
不久前看到一款自称山寨“Windows任务管理器”的软件——家鸽小助手(http://www.onlinedown.net/soft/4524.htm)。笔者顺手找了一个不久前下载到的伪装杀毒软件病毒进行了测试,从病毒实际清除的角度来了解这个软件的贴心之处。
第一步:看鸽子玩监控
运行家鸽小助手,依次单击“高级→文件监视”,在监视里面填入你需要监控的目录路径(最多支持5个位置同时监控,支持子目录的监控),比如我这里填入“c:\windows\|C:\Program Files|C:\Documents and Settings\Administrator”(见图1),点击“监控”并运行病毒样本,接下来会产生很多条记录(见图2),我们看到该病毒会在临时目录生成一个名为del.bat文件来实现自己删除,同时我们发现该病毒会反复对hosts文件进行操作,很容易就猜想了病毒会利用hosts来干一些见不得人的事情。了解了病毒的一些操作以后,接下来我们就要各个击破。
第二步:用鸽子“吃病毒”
切换到“进程”,勾选“只显示非系统核心进程”,进程数目减少了很多,右键选择可疑进程,选择“进程高级操作”。在这里为了对付这个伪杀毒软件,我们可以右键选择lp423b.exe进程,选择终止进程,病毒进程被成功结束。
回到“基本→启动”,选择名为LPCG和live pc Care的启动项目,然后右键单击选择强力删除文件(进行该操作以后病毒启动项目被删除,病毒文件也会被删除并且会生成一个同名的文件夹来进行免疫防止病毒重写)。切换到“文件管理”下,针对这个病毒我们可以直接选择423ba8,右键强制删除即可将病毒的尸体清理掉。
小提示
软件还提供了修复功能,不过目前功能较弱,对付国外的一些病毒的破坏操作无法恢复。
第一步:看鸽子玩监控
运行家鸽小助手,依次单击“高级→文件监视”,在监视里面填入你需要监控的目录路径(最多支持5个位置同时监控,支持子目录的监控),比如我这里填入“c:\windows\|C:\Program Files|C:\Documents and Settings\Administrator”(见图1),点击“监控”并运行病毒样本,接下来会产生很多条记录(见图2),我们看到该病毒会在临时目录生成一个名为del.bat文件来实现自己删除,同时我们发现该病毒会反复对hosts文件进行操作,很容易就猜想了病毒会利用hosts来干一些见不得人的事情。了解了病毒的一些操作以后,接下来我们就要各个击破。
第二步:用鸽子“吃病毒”
切换到“进程”,勾选“只显示非系统核心进程”,进程数目减少了很多,右键选择可疑进程,选择“进程高级操作”。在这里为了对付这个伪杀毒软件,我们可以右键选择lp423b.exe进程,选择终止进程,病毒进程被成功结束。
回到“基本→启动”,选择名为LPCG和live pc Care的启动项目,然后右键单击选择强力删除文件(进行该操作以后病毒启动项目被删除,病毒文件也会被删除并且会生成一个同名的文件夹来进行免疫防止病毒重写)。切换到“文件管理”下,针对这个病毒我们可以直接选择423ba8,右键强制删除即可将病毒的尸体清理掉。
小提示
软件还提供了修复功能,不过目前功能较弱,对付国外的一些病毒的破坏操作无法恢复。