未知病毒的查杀技术

本文介绍手动查杀未知病毒的方法,包括使用冰刃检测可疑进程、利用HijackThis分析注册表和服务,以及如何安全地删除恶意文件并修复系统。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

真正意义上的病毒主动防御技术特指的是对未知病毒的防范, 在没有获得病毒样本前阻止病毒的运行。

上面的话不知道是哪个专家对于主动防御技术的总结,其实从这句话就可以知道,现在没有真正意义上的主动防御。首先声明一件事,在这里我对杀软的任何评价,均不代表该杀软不好。我只是说它的功能的不足之处,不代表整体性能。

06年年末的时候网上的东方微点炒得很热,当时,该杀软主要以主动防御为卖点。让我错误的以为国内主动防御迈出了一大步,我满怀期待的下载测试了一下。结果令我很是失望,我用了一个大约有500个病毒的病毒库(95%的病毒是已经能被普通杀软查杀的已知病毒),运行里面的病毒,直到卡死机,微点一个病毒也没有报。结果我仅让微点在我系统带了5个小时,永久的删除了它。

未知病毒的查杀的确很难,杀软不容易办到,如果杀软能嵌入系统的内核,我想可能会对未知病毒的查杀效果好的多。但是微软会把操作系统代码公布吗?所以,主动防御短时间内,可能只会有很小的突破。(现在微软自己也在搞杀软,但是现在的效果不好,不知道以后怎么样。)

好了,回归主题。今天讲解一下,普通用户,借助常用的小软件对未知病毒进行查杀。

上次已经介绍了发现未知病毒的方法,其实病毒如果能被发现查杀就不是太难,当然排除某些极其恶性的病毒。

当怀疑自己中了未知病毒,用HijackThis 扫描之后,可以发现注册表,系统服务的可疑项,当然这个你要对HijackThis很熟悉,对于HijackThis的使用网上教程很多,搜索一下自己看看。看不懂也要学着看一下,慢慢你就知道了系统哪些是正常的哪些是不正常的了。

今天还是那灰鸽子为例吧。

首先启动冰刃,在进程里面看到一般情况下,里面的进程应该是黑色的,但是如果有特殊的插入话,会出现红色的。(当然有些就算不是鸽子插入也会显示红色,这个需要具体分析,一般情况下红色的就代表可能中毒,这个我也不敢绝对的说。)

看到红色显示的先用冰刃结束它,然后用HijackThis进行日志扫描,扫描日志如果发现发现O23 - Service: XXXService - Unknown owner - C:/windows/system32/XXX.EXE,这个xxx代表任意的,非系统的,也就是你从来没用过的一个可执行程序。然后到C:/windows/system32 显示隐藏文件,找到这个XXX.EXE看看同目录下有没有同名的 XXX.dll, XXX_Hook.dll。将这些文件删除,杀到这一步的时候鸽子基本已经杀掉了。然后清理一下注册表中和XXX.EXE名字相同的项目。当然如果你中鸽子有一段时间了,杀掉这个母本已经没有任何意义了,需要对系统进行全面排查。

从查杀鸽子可以看出一般未知病毒的查杀步骤1.查杀可以进程2.通过日志分析可疑内容3.删除可疑内容相关文件.4.删除注册表中和可疑文件同名的项目。

其实还有一步就是修复,部分病毒会对系统造成相当大的破坏性,比如,修改程序(熊猫烧香大家还记得吧),这样的病毒查杀完后之后被破坏的文件还是一样无法恢复(当然现在是可以了)。 对于这种病毒,大家可以将被破坏的程序重装,或者先打包压缩,等有恢复功能的查杀工具出来再恢复。至于系统文件可以将系统安装盘放进去,然后在系统菜单》》运行里输入 sfc/ scannow 。(从硬盘恢复需要有安装盘的拷贝,修改注册表相关文件,有需要网上搜索一下。这里不再详述)  被病毒删除的文件可以用一些恢复软件恢复。当然恢复回来的也是带毒的,注意隔离。

写到这里我也有些感触,其实大部分时间手动杀毒的意义不大,因为病毒一般感染的话会感染大量文件,这样造成修复困难。这里的查杀方法等也只是控制住病毒的感染范围。

 
XueTr(简称XT)是一个强大的系统信息查看软件,也是一个强大的手工杀毒软件,用它可以方便揪出电脑中的病毒木马,目前它支持32位的2000、XP、2003、Vista、2008、Win7系统。 XueTr的主要功能 1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.其它一些手工杀毒时需要用到的功能,如修复LSP、修复安全模式等 注意:部分杀毒软件可能会报毒,如有报警请选择放过;请不要新老版本同时使用,否则会导致使用问题,如部分功能不显示(白板)等。 警告:不正当使用此工具极易引起系统崩溃或其它无法预知问题,不推荐无经验者使用。
软件介绍 凌云未知病毒木马实时监控器是绿色软件免安装,cpu占用为0 ,兼容一切杀软,不跟任何软件冲突,防范一切未知病毒、木马,不依赖特征码,永远跑在病毒木马的前面,而传统的杀软总是慢一拍,基本原理:开启本软件,自动监视注册表系统自动启动项共40处和两个启动文件夹,自动监视系统文件夹windows中的文件操作(主要是文件创建、修改,包括子目录),如有文件尤其是exe文件被创建,立刻报警并删除刚刚生成的exe文件,不让病毒木马入侵重要文件夹,打造成铜墙铁壁。大多数病毒木马喜欢藏在windows文件夹下,而且为exe文件,并设置开机启动,本软件正是死死地扼住了病毒木马的七寸咽喉,什么未知的新型的病毒木马也过不了这一关!经实战考验,的确有效地弥补了杀软仅依靠特征码的不足,堪称杀软最佳伴侣。 凌云未知病毒木马实时监控器其它功能: 新增自动监视系统重要配置文件, 新增最强监视(全盘监视), 新增自动检查常见而危险的autorun.inf病毒文件(需切换到全盘监视), 新增自动监视U盘, 监视 c盘系统还原保存文件夹 System Volume Information,如系统还原文件被删除,软件将报警, 可以自定义同时监视其他目录,最多128个, 新增监视登录账户,如有黑客非法创建登录账户软件将报警, 新增撤销删除功能, 新增网络连接断开功能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值