论文部分内容阅读
我认识CFan已经很多年了,她一直是我的最爱,里面的软件杀毒我很喜欢,让我从中学到了不少杀毒知识。
在今年第8期53页《史上最干净的“安全模式”》一文中讲了打造安全的GMER安全环境,但是由于现在的病毒木马一个比一个厉害,只要一运行成功,就会把一个个杀毒软件屏蔽掉,对于一些与杀毒有关的工具(如360安全卫士、Icesword)、环境(Windows安全模式)等包括GMER(使用GMER安全环境后会死机)也不放过。这时首先要解决的当然是如何恢复杀毒软件的安装和运行。而Wsyscheck作为一款功能强大的辅助杀毒软件,目前还没有受到病毒的特殊照顾,其提供的“构建安全环境”功能可以有效地解决杀毒被杀的尴尬。我们可以用它来建立安全环境,然后排除无用进程,最后去除劫持让杀毒软件运行起来,这样杀毒软件就能杀毒了:)我们以中了“TrojanSpy.Win32.Lydra.a”病毒为例,此时MDM.exe文件无法删除,并且杀毒软件被关闭,这时我们应该如何恢复到正常的系统呢?!
图1
下载并运行Wsyscheck(见图1),在“进程”选项卡中红色表示非微软进程,紫(粉)红色表示虽然进程是微软进程,但其模块中有非微软的文件,黑色的表示系统的核心进程。在“服务”选项卡中,红色表示该服务不是微软服务,且该服务非SYS驱动(最常见的是EXE与DLL的服务,木马大多使用这种方式)。使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序,它们有可能是杀软的自我保护,也有可能是木马的键值保护。在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条“文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。通过这两项可以对系统存在的病毒、木马有一个大概的了解,并结束相关可疑进程(所有红色进程),这样即可结束部分木马程序。但重新启动计算机后发现那两个病毒进程仍在(internat.exe和MDM.exe),如何删除“TrojanSpy.Win32.Lydra.a”这个顽固病毒呢?
第一步:构建安全环境。重新启动Wsyscheck,单击“工具→构建安全环境”,这时发现系统中已被打开的进程都被结束(见图2),重新将注册表中屏蔽的项目删除,并选择“禁止进程与文件创建”项。
图2
第二步:删除病毒键值。在主界面中选中“注册表管理”选项卡,并打开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],发现被劫持有瑞星、卡巴、金山等市面流行的杀毒软件。将Image File Execution Options下的所有项都删除,再重新安装杀毒软件杀毒。
推荐度:★★☆文章类型:原文扩展 额外奖: 20元
小编手记:Wsyscheck的“构建安全环境”是一个相当封闭的虚拟安全环境,这个环境要比Windows的安全模式还纯净,在该环境中,只加载了Windows启动必须的几个进程和服务。第一次在测试时将第2步和第3步颠倒了,所以没成功,故发现去掉镜像劫持必须在Wsyscheck的安全环境中。
在今年第8期53页《史上最干净的“安全模式”》一文中讲了打造安全的GMER安全环境,但是由于现在的病毒木马一个比一个厉害,只要一运行成功,就会把一个个杀毒软件屏蔽掉,对于一些与杀毒有关的工具(如360安全卫士、Icesword)、环境(Windows安全模式)等包括GMER(使用GMER安全环境后会死机)也不放过。这时首先要解决的当然是如何恢复杀毒软件的安装和运行。而Wsyscheck作为一款功能强大的辅助杀毒软件,目前还没有受到病毒的特殊照顾,其提供的“构建安全环境”功能可以有效地解决杀毒被杀的尴尬。我们可以用它来建立安全环境,然后排除无用进程,最后去除劫持让杀毒软件运行起来,这样杀毒软件就能杀毒了:)我们以中了“TrojanSpy.Win32.Lydra.a”病毒为例,此时MDM.exe文件无法删除,并且杀毒软件被关闭,这时我们应该如何恢复到正常的系统呢?!
图1
下载并运行Wsyscheck(见图1),在“进程”选项卡中红色表示非微软进程,紫(粉)红色表示虽然进程是微软进程,但其模块中有非微软的文件,黑色的表示系统的核心进程。在“服务”选项卡中,红色表示该服务不是微软服务,且该服务非SYS驱动(最常见的是EXE与DLL的服务,木马大多使用这种方式)。使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序,它们有可能是杀软的自我保护,也有可能是木马的键值保护。在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条“文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。通过这两项可以对系统存在的病毒、木马有一个大概的了解,并结束相关可疑进程(所有红色进程),这样即可结束部分木马程序。但重新启动计算机后发现那两个病毒进程仍在(internat.exe和MDM.exe),如何删除“TrojanSpy.Win32.Lydra.a”这个顽固病毒呢?
第一步:构建安全环境。重新启动Wsyscheck,单击“工具→构建安全环境”,这时发现系统中已被打开的进程都被结束(见图2),重新将注册表中屏蔽的项目删除,并选择“禁止进程与文件创建”项。
图2
第二步:删除病毒键值。在主界面中选中“注册表管理”选项卡,并打开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],发现被劫持有瑞星、卡巴、金山等市面流行的杀毒软件。将Image File Execution Options下的所有项都删除,再重新安装杀毒软件杀毒。
推荐度:★★☆文章类型:原文扩展 额外奖: 20元
小编手记:Wsyscheck的“构建安全环境”是一个相当封闭的虚拟安全环境,这个环境要比Windows的安全模式还纯净,在该环境中,只加载了Windows启动必须的几个进程和服务。第一次在测试时将第2步和第3步颠倒了,所以没成功,故发现去掉镜像劫持必须在Wsyscheck的安全环境中。