好友
阅读权限40
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子! 病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途! 禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
高级木马清除技巧
一、病毒文件定位
二、组策略规则限制
三、映像劫持限制病毒
四、单文件顽固病毒清除
五、守护进程病毒文件清除
五、多病毒文件批量清除
一、病毒文件定位
要想清除病毒首先要定位病毒文件,紧
接着根据不同病毒文件进行不同清除方案。
一般定为的病毒文件为3种
1.可执行文件或感染正常文件
2.Dll插入文件
3.驱动文件
4.自动脚本文件
二、组策略规则限制
在“本地计算机配置”——“windows设置”——“安全设置”——“软件限制策略”下右键其他规则→新散列规则,在安全级别中选择“不受限的”。
三、映像劫持限制病毒
映像劫持类病毒主要是利用忽略路径的
注册表特性限制安全软件进程正常运行。解
决办法,修改正常安全软件exe执行文件名称
或者删除进程名注册表键值
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
四、单文件顽固病毒清除
单文件顽固病毒一般根据文件类型不同
清除方法也不一样。
文件类的先用冰刃这类的强删,如果不能强
删就需要解锁后删除,如果还不能删除,将
该文件用killbox加入重启删除列表。
驱动文件先停止服务后删除文件和注册表
项。
Dll文件可以卸载模块删除该文件
五、守护进程病毒文件清除
守护进程是2个或多个进程间存在一定
的关联关系,当其他程序终止该程序的任意
进程,那么他的父进程或关联进程将自动创
建该进程,从而达到相互保护关联的目的。
解决办法,查找该进程父进程或者使用命令
行命令结束关联进程。
Taskkill /f /im 病毒文件.exe /t
意思是强制结束病毒文件.exe 和父进程和模块
五、多病毒文件批量清除
这类病毒较难用手工方式清除。因为手
工速度远远不及病毒感染速度,感染速度
快,一般遇到这类病毒杀毒软件和一些安全
软件都会失效。
解决办法:
1.用备份还原系统数据
2.将硬盘挂接到其他电脑上用杀毒软件查杀
3.如果安全模式没有被破坏可以考虑安全模式查杀
4.如果破坏了可以考虑用gmer安全模式清理
5.其他工具或杀软辅助清除。
最后查杀总结,病毒查杀思路,查找中毒原因包括文件关联,程序感染,网页感染,arp欺骗,挂马,恶意插件,漏洞利用等,查杀思路要按照先从进程分析,然后端口分析,接着是dll定位,服务定位。如果实在无法查出哪里的病毒,可以考虑利用虚拟机环境配合HIPS检查或者是文件,注册表监视工具监视这些文件创建过程,从而分析木马,如果你懂反编译,先脱壳病毒文件,然后用OD进行反编译,跟踪病毒行为可以更加深入的了解 防范各类高级木马病毒。 |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|