手工病毒查殺技術(shù):
? ??通過(guò)對(duì)目標(biāo)系統(tǒng)的系統(tǒng)進(jìn)程绰沥、網(wǎng)絡(luò)連接狀態(tài)棺妓、隨機(jī)啟動(dòng)項(xiàng)等信息進(jìn)行綜合分析與判斷限嫌,結(jié)合使用各種系統(tǒng)命令與工具莹菱,手動(dòng)確認(rèn)與清除病毒(木馬)的技術(shù)
手工病毒查殺的意義:
? ? 對(duì)于較新的或者做過(guò)免殺處理的病毒吓蘑,殺毒軟件無(wú)法查殺雁比。殺毒軟件事根據(jù)病毒的特征碼進(jìn)行查殺的盈魁,其病毒庫(kù)更新較慢愿汰,對(duì)于新的病毒無(wú)法識(shí)別。另外黑客們會(huì)長(zhǎng)期對(duì)自己的后門枕屉、病毒進(jìn)行免殺處理常柄。
必備技能:
? ??熟悉windows操作系統(tǒng)的進(jìn)程管理
? ??熟悉常見端口與進(jìn)程對(duì)應(yīng)關(guān)系
? ??熟悉windows操作系統(tǒng)的啟動(dòng)項(xiàng)以及自帶系統(tǒng)服務(wù)
? ??熟悉注冊(cè)表啟動(dòng)項(xiàng)位置
病毒定義:
? ??破壞計(jì)算機(jī)功能或者數(shù)據(jù),影響計(jì)算機(jī)使用,并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼被稱為計(jì)算機(jī)病毒西潘。
? ? 病毒具有破壞性卷玉,復(fù)制性和傳染性。木馬基本功能是為黑客留后門喷市,一般不具有破壞性相种,復(fù)制性和傳染性。
常用的病毒查殺工具:
? ? 病毒一般具有品姓,隱藏進(jìn)程寝并,隱藏文件,阻止系統(tǒng)工具或者殺毒軟件啟動(dòng)等特性腹备,因此要查殺病毒需要反內(nèi)核工具衬潦,常見的反內(nèi)核病毒查殺工具有:XueTr,火絨劍植酥,冰刃(Ice Sword)和 Wsyscheck(Windows System Check)等镀岛。
病毒查殺的核心思路:
? ? 首先識(shí)別并結(jié)束病毒進(jìn)程,然后刪除病毒啟動(dòng)項(xiàng)友驮,然后刪除病毒文件哎媚。
? ? 有的病毒有多個(gè)進(jìn)程且具有互相保護(hù)機(jī)制,需要同時(shí)暫秃袄埽或者殺掉進(jìn)程。DLL動(dòng)態(tài)鏈接庫(kù)不可以直接執(zhí)行稻据,只有通過(guò)一個(gè)宿主程序調(diào)用它進(jìn)行執(zhí)行艾猜,svchost.exe進(jìn)程是個(gè)核心宿主進(jìn)程。
????windows操作系統(tǒng)的常用啟動(dòng)位置:“啟動(dòng)”文件夾捻悯,“Load”鍵值匆赃,“Userinit”鍵值等。
????病毒文件通常分布在多個(gè)位置且具有隱藏特性今缚,需要同時(shí)刪除算柳。
? ? 手動(dòng)查殺過(guò)威金病毒,qq盜號(hào)木馬姓言,熊貓燒香病毒等瞬项。
知識(shí)點(diǎn):
? ? 注冊(cè)表:整個(gè)操作系統(tǒng)的應(yīng)用層控制信息所在文檔
? ??msconfig:服務(wù)配置管理程序
? ??sc:系統(tǒng)服務(wù)管理機(jī)構(gòu),能夠創(chuàng)建何荚,刪除囱淋,停止,查詢系統(tǒng)服務(wù)和驅(qū)動(dòng)服務(wù)餐塘。
? ??services.msc:服務(wù)管理器妥衣。
? ??
