下载文档原格式
计算机病毒查杀工作总结
随着计算机技术的不断发展,计算机病毒的威胁也越来越严重。
为了保护计算
机系统的安全,计算机病毒查杀工作显得尤为重要。
在进行了一段时间的病毒查杀工作后,我对这一工作进行了总结,希望能够为大家提供一些参考。
首先,病毒查杀工作需要及时更新病毒库。
随着病毒不断变异和更新,我们需
要保持病毒库的及时更新,以便及时发现和清除新型病毒。
只有保持病毒库的更新,我们才能更好地应对各种病毒威胁。
其次,需要定期进行全盘扫描。
全盘扫描是查杀计算机病毒的一种有效方法,
可以全面检查计算机系统中的所有文件和程序,以确保没有病毒的存在。
在进行全盘扫描时,我们需要确保计算机系统处于安全模式下,以避免病毒的潜伏和隐藏。
另外,病毒查杀工作还需要进行定期的系统漏洞修补。
计算机系统中的漏洞是
病毒攻击的一个重要入口,因此我们需要定期对系统漏洞进行修补,以提高系统的安全性。
只有保持系统的漏洞修补工作,我们才能更好地预防和清除计算机病毒。
最后,我们还需要加强员工的安全意识培训。
在进行病毒查杀工作时,员工的
安全意识是至关重要的。
只有提高员工的安全意识,他们才能更好地遵守安全规定和使用安全软件,从而有效防范和清除计算机病毒。
总的来说,计算机病毒查杀工作是一项重要的工作,需要我们不断加强和改进。
只有不断地更新病毒库、定期进行全盘扫描、修补系统漏洞和加强员工安全意识培训,我们才能更好地保护计算机系统的安全。
希望我们的总结能够为大家在进行计算机病毒查杀工作时提供一些帮助和参考。
电脑木马病毒查杀方法技巧一阶:菜鸟看,中鸟老鸟也可以看1、请升级你的杀毒软件到最新版本,保证病毒库是最新的。
2、对于局域网内部用户,在杀毒之前请断掉网络。
3、杀毒之前确认你的扫描选项中的“杀毒前备份染毒文件”、“在杀毒前先扫描内存中的病毒”被选中,不要选中“染毒文件清除失败后删除此文件”选项。
因为经验证明,很多病毒都是内存驻留型,备份染毒文件是因为没有哪个杀毒软件能保证杀过毒之后的文件100%能够正常使用。
(对于国内的杀毒软件)4、对于Xp系统来说SystemVolumeInformation中的文件是不允许修改的,因为此文件夹是系统还原文件夹不允许外部进程对它进行访问修改。
因此,如果碰到杀软在此文件夹中查到病毒,请在系统属性中的系统还原中取消对磁盘的监视,删除还原点即可。
(以前我老是强调关闭系统还原的原因,还有就是有的网友问有时杀毒软件走到百分之多少时走不动了,原因也在此。
)5、对于一些正在使用中的文件,系统是不允许删除的,碰到这种情况,请在任务管理器中结束该进程,然后按杀软提示的病毒文件路径进行手动删除,或重新杀毒。
(删除文件时删不了有时也因为此)6、碰到病毒已经清除,但系统重新启动又出现中毒情况的,请确认你所在网络无毒,然后制作dos杀毒盘在dos下查杀。
如果网络中毒,请联系网络管理员,断网杀毒。
(补充此点:有时系统重新启动又出现中毒是因为你的系统还原是在监视状态,或者是杀毒没有把文件和注册表删除了(朋友用江民是遇到过这样的)7、在dos下使用dos杀毒伴侣,硬盘修复王时,请备份你的敏感数据和个人文件,并在有经验的人的指导下进行。
使用不当,可能造成硬盘数据全部丢失。
(此方法用的较少)中阶:中鸟看——杀毒技巧集锦有人认为杀毒是一件简单的事情,不就是点击杀毒软件的“杀毒”按钮就行了吗?不错,杀毒的确要借助杀毒软件,但是不是说一点击杀毒就万事大吉的。
这就是为什么有的人一次性就将病毒杀尽,有的人机子内的病毒永远也杀不完的原因了。
开展防范木马和僵尸网络感染工作总结下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!随着互联网的高速发展,木马和僵尸网络感染成为网络安全的重要挑战,给社会和个人带来了巨大的损失,为了有效防范木马和僵尸网络感染,我公司开展了一系列工作,并取得了一定成效,现总结如下:一、加强网络安全意识教育。
防范木马工作总结1. 引言木马是指一种隐藏在正常程序中的恶意软件,它可以在用户完全不知情的情况下获取和控制用户计算机的权限,从而进行非法活动。
在网络安全工作中,防范木马是一项非常重要的任务。
本文将总结防范木马的工作措施和经验,以便今后在类似工作中能够更加高效和有效地做好防范工作。
2. 防范木马的基本原理防范木马的基本原理是通过采取合适的技术手段,及时发现和清除已经感染的木马,并且在计算机系统中建立起一套完整的防范机制。
以下是防范木马的基本原则: - 安装可靠的杀毒软件,并及时更新病毒库; - 及时进行系统补丁更新,修补操作系统的漏洞; - 避免运行未知来源的程序,并且不随意点击不明链接; - 不打开来历不明的邮件和附件; - 定期对计算机进行全盘扫描,检查是否存在木马和病毒。
3. 防范木马的具体措施3.1 安装可靠的杀毒软件杀毒软件是防范木马的第一道防线,它能够实时监测计算机并及时清除病毒和木马。
选择一款可靠的杀毒软件,例如常见的360安全卫士、腾讯电脑管家等,并且及时更新病毒库,以确保杀毒软件的检测能力和清除能力处于最佳状态。
3.2 及时进行系统补丁更新操作系统的漏洞是黑客攻击的重要入口之一,及时更新系统补丁可以修复这些漏洞,提高系统的安全性。
一般来说,操作系统厂商会定期发布补丁,用户应及时下载和安装这些补丁。
同时建议开启操作系统的自动更新功能,以便能够随时获取最新的补丁。
3.3 谨慎对待下载和执行程序不要随意下载和执行来历不明的程序,尤其是一些破解软件和盗版软件。
这些软件往往会携带木马或病毒,一旦被执行,就会导致计算机感染。
此外,也不要随意点击来历不明的链接,以免打开恶意网页导致木马感染。
3.4 尽量避免使用弱口令弱口令是木马攻击的另一个重要入口。
使用强密码,包括数字、字母、符号的组合,并且定期更换密码。
同时禁止使用默认密码,并且不要在多个平台或应用中共用同一个密码。
3.5 定期对计算机进行全盘扫描定期对计算机进行全盘扫描,是发现和清除木马的必要手段。
防范木马工作总结汇报尊敬的领导:我是XXX公司的网络安全负责人,现就我们公司在防范木马方面所做的工作进行总结汇报,以供参考。
一、背景和意义随着互联网的迅猛发展,网络犯罪也呈现出日益严重的趋势。
木马病毒是网络犯罪的常见手段之一,它具有隐蔽性强、攻击面广、危害程度大等特点,对企业的财产、用户的隐私等造成了极大的威胁。
因此,加强防范木马的工作对于确保企业信息安全、维护客户利益具有重要意义。
二、防范木马的措施和方法在防范木马方面,我们采取了以下措施和方法:1.建立完善的安全管理体系:我们建立了安全管理团队,负责网络安全的日常监控、漏洞扫描、风险评估等工作。
并制定了相应的管理制度,确保安全管理工作的规范性和有效性。
2.加强网络安全意识教育:我们组织了网络安全培训,向员工普及常见木马病毒的危害和防范方法,提高员工的安全意识和自我防范能力。
3.进行系统和应用软件的安全更新:我们定期对系统和应用软件进行安全更新,及时修补漏洞,减少木马病毒的攻击面。
4.实施严格的访问控制:我们采用了访问控制的技术手段,对网络上的敏感信息进行限制和保护。
通过设置合理的防火墙策略、权限控制等,减少木马病毒入侵的可能性。
5.加强网络流量监控:我们使用了网络流量监控工具,实时监测和识别异常流量。
一旦发现异常流量或可疑活动,立即采取相应的应对措施,隔离风险源。
6.加强移动设备管理:鉴于移动设备的普及,我们建立了移动设备管理制度,要求员工定期更新操作系统和应用程序,并加强密码和锁屏的设置,减少木马病毒通过移动设备传播的风险。
7.定期进行安全演练和渗透测试:我们定期组织安全演练和渗透测试,模拟实际木马攻击场景,检验系统的安全性和响应能力,及时修复漏洞和弱点。
三、防范木马工作的成果通过我们的努力和措施,取得了一定的成果:1.木马攻击次数显著减少:通过加强安全意识教育和访问控制,我们公司的木马攻击率明显下降,客户的信息得到了更好的保护。
2.木马检测准确率提高:通过引入先进的木马检测工具和技术,我们成功提高了木马检测的准确率,使得木马病毒很难逃脱我们的监控。
一、前言《病毒木马查杀》系列以真实的病毒木马(或统称为恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法(如编写专杀工具),对其彻底查杀。
当然,本系列更多地是讨论如何应对某一个特定的病毒,而不涉及广义的杀毒软件的编写。
因为如今杀软的原理非常复杂,并不是一个人就能够完成的,加之我个人水平有限,因此不会涉及杀软编写的问题。
不过,我会在以后的文章中在理论层面对此进行分析。
在本系列的文章中,对于某一个病毒或木马,我可能会从以下三个方面进行查杀:手动查杀、监测恶意行为编写专杀工具或通过逆向分析其反汇编代码进行彻底查杀。
这几种方式通过对病毒的不断深入分析,从而更有效地对抗恶意程序。
需要说明的是,手动查杀病毒是比较粗浅的,难以彻底清除病毒,但是有些时候却是快速而有效的。
而通过行为对恶意程序进行监测,虽说比手动查杀的效果要好很多,但是有些时候往往也会有些遗漏。
所以其实最好的还是通过逆向分析来了解恶意程序,只是这样往往耗时较多。
希望本系列的文章能够起到科普作用,让大家打消对病毒木马的恐惧感,使得每一位读者都能成为反病毒的专家。
二、病毒分析方法一般来说,除非是感染型病毒,否则是不需要对病毒进行逆向分析的,只需要对病毒进行行为分析就可以编写专杀工具。
而如果是感染型病毒,由于需要修复被病毒感染的文件,那么就不能仅仅简单地分析病毒的行为,而必须对病毒进行逆向分析,从而修复被病毒所感染的文件。
因此,实际中的分析方法有以下两种:1、行为分析。
恶意程序为了达到目的,都有自己的一些特殊的行为,这些特殊的行为是正常的应用程序所没有的。
比如把自己复制到系统目录下,或把自己添加进启动项,或把自己的某个DLL文件注入到其它进程中去……这些行为都不是正常的行为。
我们拿到一个病毒样本后,通常就是将病毒复制到虚拟机中,然后打开监控工具,比如Process Monitor。
将各种准备工作做好以后,在虚拟机中把病毒运行起来,看病毒对注册表、对文件进行了哪些操作,连接了哪个IP地址、创建了哪些进程等。
木马防范工作总结引言木马是一种危险的攻击手段,经常被黑客用来获取非法利益或者窃取重要信息。
为了保护网络安全,预防木马攻击,我们采取了一系列的防范措施。
本文将对我们的木马防范工作进行总结,并介绍我们采取的策略和效果。
木马防范策略为了有效地防范木马攻击,我们采取了以下策略:1. 安全意识培养我们认识到木马攻击往往是通过社交工程手段传播的,因此我们加强了员工的安全意识培养。
通过组织定期的安全培训课程,我们提高员工对木马攻击的认知,教育员工不轻易点击可疑链接或下载附件。
2. 防火墙设置我们在网络入口处设置了强大的防火墙。
通过防火墙策略的配置,我们限制了外部网络对内部网络的访问,阻断了木马攻击者的入侵尝试。
3. 杀毒软件升级我们定期更新我们的杀毒软件,并确保每台机器都安装了有效的杀毒软件。
这样可以及时发现并拦截木马程序的传播。
4. 系统漏洞修补我们定期监测并修补系统中的漏洞,防止黑客利用这些漏洞进行木马攻击。
同时,我们也加强了系统安全监控,及时发现异常活动并采取相应的措施。
5. 限制权限为了防止木马程序获取管理权限并对系统进行恶意操作,我们对员工的权限进行了合理的划分和限制。
只有授权的员工才能访问敏感数据和系统配置,从而降低了木马攻击的风险。
木马防范效果通过以上的木马防范策略的实施,我们取得了一定的防范效果:1. 木马攻击事件减少实施安全意识培养和加强员工教育后,我们的员工更加谨慎地使用互联网,点击风险链接的概率大大降低了。
因此,发生木马攻击的事件明显减少了。
2. 拦截木马病毒由于我们定期升级杀毒软件,并确保每台机器都安装了有效的杀毒软件,木马病毒的传播被及时拦截,对系统的威胁得到了有效控制。
3. 安全漏洞减少我们定期修补系统漏洞,防止黑客利用这些漏洞进行木马攻击。
通过我们的努力,系统中的安全漏洞大大减少,提高了系统的整体安全性。
结论木马攻击是互联网安全中的一个重要问题,对企业的稳定运行和信息安全造成了威胁。
木马总结报告木马总结报告随着计算机技术的快速发展,网络攻击手段也不断进化,其中一种最为常见且危害性较大的攻击就是木马病毒。
木马病毒是指以伪装成合法程序的方式,通过植入恶意代码,对计算机进行攻击和控制的一种恶意软件。
本次木马总结报告旨在总结和分析近期发生的木马攻击事件,以提供有效的防范措施和保护网络安全。
以下是报告的主要内容:1.攻击形式和目标:根据近期的木马攻击事件可看出,攻击形式多样化,包括通过电子邮件附件传播、植入恶意网页以及利用网络漏洞进行攻击等。
攻击目标主要集中在财务部门、企业及个人的敏感信息和关键数据。
2.攻击手段和特征:木马病毒通常具备隐蔽性和变异性,常使用加密技术和反调试等手段进行隐藏,使得其难以检测和防御。
同时,木马还会利用系统漏洞和弱密码等来入侵目标系统,以获取敏感信息或者进行远程控制。
3.攻击后果和风险:木马病毒的后果严重,一旦感染,木马将会执行各种恶意活动,如窃取个人账户信息、传播恶意软件、控制计算机进行攻击等。
这些活动对个人隐私和敏感信息的安全造成了极大威胁。
4.木马防御措施:为了有效防范木马病毒的攻击,我们应采取以下措施:- 安装并定期更新杀毒软件和防火墙,及时检测和拦截木马病毒的入侵。
- 注意电子邮件的来源和附件,避免点击未知链接或打开未知附件。
- 及时更新操作系统和软件补丁,以修补可能存在的系统漏洞。
- 加强账号和密码管理,使用复杂且安全的密码,并定期更换密码。
- 建立网络安全宣传教育机制,提高员工对网络安全的意识和警惕性。
5.应急响应和处置措施:一旦发生木马攻击,我们需要迅速采取应急响应和处置措施,包括:- 断开与外界的网络连接,将被感染的计算机隔离。
- 尽快启用预先设定的应急响应计划,采取适当的措施进行恢复和修复。
- 对被感染计算机进行全面扫描和清除木马病毒,并修复和加固系统漏洞。
- 监控网络活动和日志,寻找攻击来源和方法,以便后续追查。
总结:木马病毒是一种具有隐蔽性和变异性的恶意软件,给我们的计算机和网络安全造成了严重威胁。
一、前言《病毒木马查杀》系列以真实的病毒木马(或统称为恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法(如编写专杀工具),对其彻底查杀。
当然,本系列更多地是讨论如何应对某一个特定的病毒,而不涉及广义的杀毒软件的编写。
因为如今杀软的原理非常复杂,并不是一个人就能够完成的,加之我个人水平有限,因此不会涉及杀软编写的问题。
不过,我会在以后的文章中在理论层面对此进行分析。
在本系列的文章中,对于某一个病毒或木马,我可能会从以下三个方面进行查杀:手动查杀、监测恶意行为编写专杀工具或通过逆向分析其反汇编代码进行彻底查杀。
这几种方式通过对病毒的不断深入分析,从而更有效地对抗恶意程序。
需要说明的是,手动查杀病毒是比较粗浅的,难以彻底清除病毒,但是有些时候却是快速而有效的。
而通过行为对恶意程序进行监测,虽说比手动查杀的效果要好很多,但是有些时候往往也会有些遗漏。
所以其实最好的还是通过逆向分析来了解恶意程序,只是这样往往耗时较多。
希望本系列的文章能够起到科普作用,让大家打消对病毒木马的恐惧感,使得每一位读者都能成为反病毒的专家。
二、病毒分析方法一般来说,除非是感染型病毒,否则是不需要对病毒进行逆向分析的,只需要对病毒进行行为分析就可以编写专杀工具。
而如果是感染型病毒,由于需要修复被病毒感染的文件,那么就不能仅仅简单地分析病毒的行为,而必须对病毒进行逆向分析,从而修复被病毒所感染的文件。
因此,实际中的分析方法有以下两种:1、行为分析。
恶意程序为了达到目的,都有自己的一些特殊的行为,这些特殊的行为是正常的应用程序所没有的。
比如把自己复制到系统目录下,或把自己添加进启动项,或把自己的某个DLL文件注入到其它进程中去……这些行为都不是正常的行为。
我们拿到一个病毒样本后,通常就是将病毒复制到虚拟机中,然后打开监控工具,比如Process Monitor。
将各种准备工作做好以后,在虚拟机中把病毒运行起来,看病毒对注册表、对文件进行了哪些操作,连接了哪个IP地址、创建了哪些进程等。
通过观察这一系列的操作,就可以写一个程序。
只要把它创建的进程结束掉,把它写入注册表的内容删除掉,把新建的文件删除掉,就等于把这个病毒杀掉了。
这也是手动查杀病毒所惯用的方法。
当然,这整个过程不会像说起来那么容易。
2、逆向分析。
当恶意程序感染了可执行文件之后,所感染的内容是无法通过行为监控工具发现的。
而病毒对可执行文件的感染,有可能是通过PE文件结构中的节与节之间的缝隙来存放病毒代码,也可能是添加一个新节来存放病毒代码。
无论是哪种方式,都需要通过逆向的手段进行分析。
常用的逆向分析工具有OllyDbg、IDA Pro以及WinDBG。
三、病毒查杀方法病毒的查杀方法有很多种,在网络安全知识日益普及的今天,在各大杀软公司大力宣传的今天,想必大部分网络安全爱好者对于病毒查杀技术都有一定的了解。
当今常见的主流病毒查杀技术有特征码查杀、启发式查杀、虚拟机查杀和主动防御等。
1、特征码查杀。
特征码查杀是杀软厂商查杀病毒的一种较为原始的方法。
它是通过从病毒体内提取病毒特征码,从而识别病毒。
但是这种方法只能查杀已知病毒,对于未知病毒则无能为力。
2、启发式查杀。
静态地通过一系列“带权规则组合”对文件进行判定,如果计算出的值高于某个界限则被认为是病毒,否则不认为是病毒。
启发式查杀可以相对有效地识别出病毒,但是往往也会出现误报的情况。
3、虚拟机查杀。
在内存中虚拟一个运行环境用于病毒的运行,根据其行为或释放出的已知病毒特征码,来判断其是否为病毒程序。
这个技术用来应对加壳和加密的病毒比较有效,因为这两类病毒在执行时最终还是要自身脱壳和解密的,这样,杀软可以在其现出原形之后进行查杀。
4、主动防御。
基于程序行为自主分析判断的实时防护技术,不以病毒的特征码作为判断病毒的依据,而是从最原始的病毒定义出发,直接将程序的行为作为判断病毒的依据。
主动防御是用软件自动实现了反病毒工程师分析判断病毒的过程,解决了传统安全软件无法防御未知恶意软件的弊端,从技术上实现了对木马和病毒的主动防御。
四、环境的配置我们所有的病毒分析工作都会在虚拟机中进行,因此安装虚拟机是一个必须的步骤。
虚拟机也是一个软件,用于模拟计算机的硬件系统,在虚拟机中可以安装操作系统,之后可以安装各种各样的应用程序,这与真实的计算机是没有区别的。
在虚拟机中的操作完全不会对我们真实的系统产生影响。
但是这里要特别说明的是,某些特别强的病毒能够绕出虚拟机,进而感染我们真实的系统。
这种情况可能是因为我们的虚拟机中存在漏洞,而病毒正好利用了这个漏洞。
因此一定要选择最新版本的虚拟机软件。
除了对病毒进行分析需要使用虚拟机外,在进行双机调试系统内核时(比如使用WinDBG),往往也是要借助于虚拟机的。
常用的虚拟机有VMware和Oracle公司的VM VirtualBox。
我个人最喜欢使用VMware,因为它的功能非常强大,而且基本上所有的教程都会以这款软件作为讲解对象。
但是Vmware在我的系统中总是会出现莫名的问题,所以在我的实验环境中,我选择使用开源且免费的VirtualBox。
我的VirtualBox采用的是4.3.12版,虚拟机中安装的操作系统为Windows XP Professional SP3,为其虚拟1个处理器,1GB内存、10GB硬盘空间与128M显存。
而我的真实系统采用的是Windows 8.1(64位),使用Intel Core i5-3230M 2.60GHz的CPU,4GB内存。
如无特别说明,本系列所有的实验都会在这个配置中完成。
这里还需要说一下系统的备份,因为在分析病毒程序时,我们的虚拟系统或多或少地会被病毒所破坏,而备份功能则可以将系统很好地恢复到被破坏前的状态。
在VirtualBox中,可以在“控制”菜单下选择“生成备份”,输入备份名称后保存。
这样,以后如果想还原系统,可以选择“恢复备份”,至此,我们的实验环境基本配置完毕。
一、前言作为本系列研究的开始,我选择“熊猫烧香”这个病毒为研究对象。
之所以选择这一款病毒,主要是因为它具有一定的代表性。
一方面它当时造成了极大的影响,使得无论是不是计算机从业人员,都对其有所耳闻;另一方面是因为这款病毒并没有多高深的技术,即便是在当时来讲,其所采用的技术手段也是很一般的,利用我们目前掌握的知识,足够将其剖析。
因此,我相信从这个病毒入手,会让从前没有接触过病毒研究的读者打消对病毒的恐惧心理,在整个学习的过程中开个好头。
本篇文章先研究如何对“熊猫烧香”进行手动查杀。
这里所说的手动查杀,主要是指不通过编写代码的方式对病毒进行查杀。
说白了,基本上就是通过鼠标的指指点点,有时再利用几条DOS命令就能够实现杀毒的工作。
但是不可否认的是,采用这种方法是非常粗浅的,往往不能够将病毒彻底查杀干净,但是从学习手动查杀病毒起步,有助于我们更好地理解反病毒的工作,从而为以后更加深入的讨论打下基础。
需要说明的是,手动查杀病毒并不代表在什么软件都不使用的前提下对病毒进行查杀,其实利用一些专业的分析软件对于我们的查杀病毒的还是很有帮助的,这些工具我会在对不同的病毒的研究中进行讲解。
另外,出于安全考虑,我的所有研究文章,都不会给大家提供病毒样本,请大家自行上网寻找,我只会给出我所使用的病毒样本的基本信息。
二、手动查杀病毒流程手动查杀病毒木马有一套“固定”的流程,总结如下:1、排查可疑进程。
因为病毒往往会创建出来一个或者多个进程,因此我们需要分辨出哪些进程是由病毒所创建,然后删除可疑进程。
2、检查启动项。
病毒为了实现自启动,会采用一些方法将自己添加到启动项中,从而实现自启动,所以我们需要把启动项中的病毒清除。
3、删除病毒。
在*步的检查启动项中,我们就能够确定病毒主体的位置,这样就可以顺藤摸瓜,从根本上删除病毒文件。
4、修复被病毒破坏的文件。
这一步一般来说无法直接通过纯手工完成,需利用相应的软件,不是我们讨论的重点。
三、查杀病毒我这里研究的“熊猫烧香”病毒样本的基本信息如下:MD5码:87551e33d517442424e586d25a9f8522,Sha-1码:cbbab396803685d5de593259c9b2fe4b0d967bc7文件大小:59KB大家在网上搜索到的病毒样本可能与我的不同,但是基本上都是大同小异的,查杀的核心思想还是一样的。
这里我将病毒样本拷贝到之前配置好的虚拟机中(注意要备份),首先打开“任务管理器”查看一下当前进程:因为我的虚拟机系统中没有安装任何软件,是很纯净的,所以一共有18个进程(包含任务管理器进程),可以认为这18个进程是系统所必须的。
有时我们就需要这样的一个纯净系统,来与疑似中毒的系统进行进程的对比操作。
然后我们运行病毒,再次尝试打开“任务管理器”,发现它刚打开就立刻被关闭了,说明病毒已经对我们的系统产生了影响,而这第一个影响就是使得“任务管理器”无法打开。
不过没关系,我们可以在cmd中利用“tasklist”命令进行查看:通过对比可见这里多出了一个名为spoclsv.exe的进程,那么我们可以通过命令“taskkill /f /im 1820”(强制删除PID值为1820的文件映像),从而将这个进程结束掉:这时就可以发现“任务管理器”可以被打开了,说明我们工作的第一步是成功的。
然后需要对启动项进行排查,可以在“运行”中输入“msconfig”:这里很快就能够锁定“spoclsv.exe”这一项,我们首先需要记下其文件位置:C:\WINDOWS\system32\drivers\spoclsv.exe然后是注册表位置:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run然后将这个启动项前面的对勾取消,来到注册表相应的位置,将Run中的“spoclsv.exe”删除,并且删除病毒文件本体:以上工作完毕后,重启系统,再次打开“任务管理器”,可以被正常打开,说明我们的工作是成功的。
然后打开“我的电脑”,用鼠标右键点击一下各个盘符(我的系统只有C盘):我们在手动查杀病毒的时候,就应该养成一个习惯,那就是使用右键来打开盘符,而不是通过双击左键的方式。
在这里我们可以看到,鼠标右键菜单中多出来了一个“Auto”项,那么很明显C盘中存在autorun.inf的文件。
可以在cmd中查看一下:因为我已经确定C盘中存在autorun.inf文件,而使用dir命令却没有看到,说明它应该是被隐藏了,所以这里要使用“dir/ah”(查看属性为隐藏的文件和文件夹)命令。
而我们也确实发现了autorun.inf与setup.exe 这两个可疑文件(因为正常文件是不需要隐藏的,特别是EXE文件更加不需要隐藏自己,所以这个setup.exe属于可疑文件)。
