不使用任何外界工具簡單防御和解決一般的木馬病毒 關於病毒木馬網上的資料實在是太多,怎麼說都很難說是自己原創的文章,所以金州在此說明,凡是網上已經很詳細的資料就不再多寫了,主要是說明一個思路。這個文章本來是寫給我的一位上海的朋友的,是很簡單的東西。說明:1.因為我的朋友不大會用工具,所以這篇文章說的是不用任何工具的簡單的對病毒木馬的防御和解決.2.解決的也是簡單的木馬病毒,我的朋友是一般使用電腦的用戶。中了復雜的病毒木馬我干脆勸他重裝。3.針對的是我朋友的xp專業版本系統。4.關於網上已經很詳細的一些方法,不再做過多闡述。可自己搜索。一.基本防御思想:備份勝於補救。1.備份,裝好機器之後,金州首先備份c盤(系統盤)windows裡面,和C:/WINDOWS/system32下的文件目錄。運行,cmd命令如下; dir/a C:/WINDOWS/system32 >c:/1.txtdir/a c:/windows >c:/2.txt這樣就備份了windows和system32下面的文件列表,如果有一天覺得電腦有問題,同樣命令列出文件,然後cmd下面,fc命令比較一下,格式為,假如你出問題那一天system32列表為3.txt,那麼fc 1.txt 3.txt >c:/4.txt(金州說明: dir/a是為了察看隱藏文件,備份位置放在c根目錄是為了好找) 因為木馬病毒大多要調用動態連接庫,可以對system32進行更詳細的列表備份,如下cd C:/WINDOWS/system32dir/a >c:/1.txtdir/a *.dll >c:/>2.txtdir/a *.exe >c:/>3.txt然後把這些備份保存在一個地方,除了問題對比一下列表便於察看多出了哪些dll或者exe.文件,雖然有一些是安裝軟件的時候產生的,並不是病毒木馬,但是還是可以提共很好的參考的。2.備份進程中的dll, cmd下面命令tasklist/m >c:/dll.txt這樣正在運行的進程的dll列表就會出現在c根目錄下面。以後可以對照一下,比較方法如上不多說,對於dll木馬,一個一個檢查dll太麻煩了。直接比較方便一些。3.備份注冊表,運行regedit,文件――導出――全部,然後隨便找一個地方保存。4.備份c盤,(硬盤大的朋友使用,金州注釋)開始菜單,所有程序,附件,系統工具,備份,然後按這說明下一步,選擇我自己選擇備份的內容,然後把系統備份在一個你選定的位置。出了問題,同樣打開,選擇還原,然後找到你的備份,還原過去就是了。(金州說明,這個方法比系統還原好用,而且剩心,只備份才安裝時候的系統就好,是最終解決方案。)二,基本防御思想,防病勝於治病。1. 關閉共享,這個網上說得很多,可以自己搜索,金州不再詳細說明。關閉139.445端口,終止xp默認共享。2. 關閉服務server,telnet, Task Scheduler, Remote Registry這四個。防止一般小黑客常用的at命令等等。其他的服務可以搜索相關資料自己看著辦。(注意關閉以後定時殺毒定時升級之類的計劃任務就不能執行了。)3. 控制面板,管理工具,本地安全策略,安全策略,本地策略,安全選項給管理員和guest用戶從新命名,最好是起一個中文名字的,如果修改了管理員的默認空命令更好。不過一般改一個名字對於一般游戲心態的黑客就足夠了對付了。高手一般不對個人電腦感興趣。4. 網絡連接屬性裡面除了tcp/ip協議全部其他的全部停用,或者干脆卸載。5,關閉遠程連接,桌面,我的電腦,屬性,遠程,裡面取消就是了。也可以關閉Terminal Services服務,不過關閉了以後,任務管理器中就看不到用戶名字了。(金州注釋,注意如果你是一個喜歡黑客技術的人並且准備學習研究黑客技術,以上設置不適合你,呵呵,另外相關安全細節網上資料很多,不再?嗦。自己可以搜索看看。)三.基本解決方法,進程服務注冊表。1. 首先應該對進程服務注冊表有一個簡單的了解,大約需要3個小時看看網上的相關知識應該就會懂得了。2.檢查啟動項目,不建議使用運行msconfig命令,而要好好察看注冊表的run項目,和文件關聯,還有userinit,還有shell後面的explorer.exe是不是被改動。相關的不在多說,網上資料很多,有詳盡的啟動項目相關的文章。我只是說出思路。以下列出簡單的35個常見的啟動關聯項目,(金州聲明,不是我自己找出來的,只是覺得這個最全面一點。)1. HKEY_LOCAL_MACHINE/Software/Microsoft /Windows/Curr entVersion/Run/
2. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce/ 3. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/. 4. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce/5. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/6. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/7. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/Setup/8. HKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion/Run/9. HKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion/RunOnce/10. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon11. HKEY_LOCAL_MACHINE/Software/Microsoft/Active Setup/Installed Components/12. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Servic es/VxD/13. HKEY_CURRENT_USER/Control Panel/Desktop14. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Contro l/Session Manager15. HKEY_CLASSES_ROOT/vbsfile/shell/open/command/16. HKEY_CLASSES_ROOT/vbefile/shell/open/command/17. HKEY_CLASSES_ROOT/jsfile/shell/open/command/18. HKEY_CLASSES_ROOT/jsefile/shell/open/command/19. HKEY_CLASSES_ROOT/wshfile/shell/open/command/20. HKEY_CLASSES_ROOT/wsffile/shell/open/command/21. HKEY_CLASSES_ROOT/exefile/shell/open/command/22. HKEY_CLASSES_ROOT/comfile/shell/open/command/23. HKEY_CLASSES_ROOT/batfile/shell/open/command/
24. HKEY_CLASSES_ROOT/scrfile/shell/open/command/25. HKEY_CLASSES_ROOT/piffile/shell/open/command/26. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/27. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock2/Parameters/Protocol_Catalog/Catalog_En tries/28. HKEY_LOCAL_MACHINE/System/Control/WOW/cmdline29. HKEY_LOCAL_MACHINE/System/Control/WOW/wowcmdline30. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit31. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Curr entVersion/ShellServiceObjectDelayLoad/32. HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/run33. HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/load34. HKEY_CURRENT_USER/Software/Microsoft/Windows/Curre ntVersion/Policies/Explorer/run/35. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Curr entVersion/Policies/Explorer/run/ 金州注釋,凡是木馬,必須要啟動,所以這些簡單的啟動項目還是應該好好看一下的。3.檢查服務,最簡單的吧,服務列表太長,我估計你也不一定能全部記住。說一個簡單的,運行msconfig,服務,把“隱藏所有的microsoft服務”選中,然後就看到了不是系統自帶的服務,要看清楚啊,最後在服務裡面找找看看屬性,看看關聯的文件。現在一般殺毒都要添加服務,我其實討厭殺毒添加服務,不過好像是為了反病毒。4,進程,5自學網,這個網上資料更多,只說明兩點,1.打開任務管理器,在“查看”,“選項列”中把“pid”選中,這樣可以看到pid,所謂pid金州簡單理解為就是進程的身份證,這樣便於很多相關的處理。2.。點一個進程的時候右鍵有一個選項,“打開所在目錄”,這個很明顯的,但是很多哥們都忽略了,這個可以看到進程文件所在的文件夾,便於診斷。5.cmd下會使用,netstat ?ano命令,覺得這一個命令對於簡單的使用就可以了,可以查看協議端口連接和遠程ip.6.刪除注冊表{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}{0D43FE01-F093-11CF-8940-00A0C9054228}兩個項目,搜索到以後你會看到是兩個和腳本相關的,備份以後刪除,主要是防止一下網上的惡意代碼(金州注釋:如果對腳本感興趣,自己准備學習相關知識並且測試的朋友不要刪除)四,舉一個簡單的清除例子。1.對象是包含在一個流行bt綠色軟件裡面的木馬,殺毒可以殺出,但是錯誤判斷為灰鴿子。有的殺毒殺不出來。以下說的是不用任何工具的判斷和清除,當然任何工具中包括殺毒。2.中毒判斷:使用時候,忽然硬盤燈無故猛烈閃爍。系統有短暫速度變慢。有程序不正常的反映,懷疑有問題。3.檢查,服務發現多了一個不明服務,文件指向C:/Program Files/Internet Explorer下面的server.exe文件,明顯的這不是系統自帶的文件,命令行下察看端口,有一個平常沒有得端口連接。進程發現不明進程。啟動項目添加server.exe.確定是木馬。4.清除:打開注冊表,關閉進程,刪除啟動項目,注冊表搜索相關服務名字,刪除,刪除源文件。同時檢查temp文件夾,發現有一個新的文件夾,裡面有一個“免殺.exe”文件,刪除,清理緩存。當然最好是安全模式下進行。5.對照原來備份的system32下面的dll列表,發現可疑dll文件,5自學網,刪除,也可以在查看選擇“選擇詳細信息”選擇上“創建日期”(這個系統默認是沒有添加的),然後查看詳細信息,按創建日期顯示,可以發現新創建的文件。這個木馬比較簡單,沒有修改文件日期。(金州注釋,這是一個簡單的病毒,時間長了,記不住具體病毒開啟的服務的名字和開啟的端口了,只是說明一下思路。提醒的就是一定不要忘記了清理緩存,因為很多文件安裝或者下載的時候是存在那裡的,有時候忘記了清理,病毒如果關聯在這個文件上,刪除後還會出現的。)最後說明,1.這篇文章首先提交於邪惡八進制。2.這篇文章是很簡單的知識,主要是提供
