手動查殺病毒流程
排查可疑進程 檢查啟動項 刪除病毒 修復病毒破壞的文件
對於現在大多數人來講,可能病毒查殺都是使用如360,卡巴斯基等殺毒軟件進行自動查殺,但殺毒軟件的缺點是具有嚴重的滯后性,殺毒軟件之所以能查殺病毒,是因為病毒分析人員已經分析過含有該病毒的樣本,並將特征寫入特征庫當中,於是該病毒才能夠被查殺,這可能對於普通計算機用戶來說不是大問題,但對於真正的病毒分析人員,具有一定的手動查殺病毒能力是必須的(比如說刪除某些文件,輸入幾條DOS命令來查殺病毒),下面來介紹手動查殺病毒的基本流程。
1.排查可疑進程,因為病毒往往會創建出來一個或多個進程,因此我們需要辨別出哪些進程是由病毒創建的,然后刪除可疑進程。
2.檢查啟動項。病毒為了完成自啟動,會采用一些方法將自己添加到自啟動項當中(比如將自身寫入注冊表自啟動項當中),從而實現自啟動,所以我們需要把啟動項中的病毒清除。
3.刪除病毒。在上一步檢查啟動項中,我們就能夠確定病毒主體的位置,這樣就可以順騰摸瓜,從根本上刪除病毒文件。
4.修復被病毒破壞的文件,這一步一般來說無法直接通過純手工完成,需利用相應的軟件,我們暫且可以將其放置一邊。
通過上述四個步驟,可以大體完成手動查殺病毒的流程,可以使病毒分析人員有更好的進一步的分析依據。
排查可疑進程
在CMD中,可以使用tasklist顯示出當前所有正在運行的進程
排查可疑進程常用的DOS命令
tasklist--顯示當前所有正在運行的進程
tasklist /f /im ()--刪除某個進程 /f指的是強制刪除 /im指的是進程的內存鏡像,括號內輸入進程的PID
dir xxx--可以檢查某盤下是否含有該文件
del /f xxx--強制刪除某個文件
dir /ah--顯示在用戶所處目錄下隱藏的文件 a代表屬性,h代表隱藏,即屬性是隱藏的文件
del /ah /f xxx--強制刪除隱藏的文件
attrib -s -r -h xxx--消除某個文件的隱藏屬性,使其可見
檢查啟動項
在Windows中,設置啟動項有許多方法,這里列出幾例比較常用的
一、任務管理器
通過任務管理器中的啟動選項,可以查看系統中的啟動項
二、通過注冊表進行查看
Run注冊表鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Boot Excute
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\BootExecute
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Execute
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SetupExecute
Load注冊表鍵
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load
在該幾個鍵中都可以檢查啟動項
三、ActiveX 啟動
這是一種組件技術,它被注冊在系統當中,被其他程序調用,其注冊登記的地方在Windows注冊表中。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
里面有各種例如此類的子健,子健下面有StubPath鍵值,該鍵值保存了開機啟動的文件路徑,向該路徑中添加鍵值,即可自啟動文件。
四、其他啟動方式
文件關聯啟動、通過svchost.exe加載啟動、文件感染啟動、映像劫持啟動等。