发布于2022年11月8日2年前 病毒包和工具包下载:Github 一.导言 2.树立对手动杀毒技术的正确认识。 1.病毒分析方法 2.病毒查杀步骤 3.必要的知识 * 1)熟悉windows系统流程 * 2)熟悉常用端口和流程之间的对应关系 * 3)熟悉windows自带的系统服务 * 4)熟悉注册表启动键的位置。 三。Windows随机启动项目3354注册表的详细说明 四。Windows随机启动项目3354系统服务详解 动词(verb的缩写)手动杀毒。实战中,——熊猫烧香病毒 0.病毒分析 * 1).中毒症状 * 2).病毒特征 * 3).发病症状 1.检查内存,检查可疑进程并从内存中杀死病毒。 2.检查启动项并删除病毒启动项。 3.通过启动项确定病毒的位置,从根本上删除病毒。 4.修复系统 一.前言 055-79000系列以真正的病毒木马(或恶意程序)为研究对象,通过现有的技术手段对其进行分析,总结其恶意行为,进而制定出相应的对策,彻底将其查杀。当然,由于我个人水平有限,查杀和分析病毒可能不会太高端和复杂,但对你了解病毒的工作原理会很有帮助。甚至最后,你可以用C语言实现一个简单的病毒程序。 二.建立对手动查杀病毒技术的正确认识 1.病毒分析方法 一般来说,除非是传染性病毒,否则不需要对病毒进行反向分析。写一个查杀工具只需要病毒的行为分析。但是如果是被感染的病毒,就要修复被病毒感染的文件,所以不能简单的分析病毒的行为,而要逆向分析病毒来修复被病毒感染的文件。因此,在实践中有两种分析方法: 行为分析。恶意程序为了达到目的,有自己特殊的行为,这是正常应用程序所没有的。例如,将您自己复制到系统目录,将您自己添加到启动项,或者将您的某个DLL文件注入到其他进程中。 逆向分析。当恶意程序感染可执行文件时,行为监控工具无法找到受感染的内容。但是,病毒会通过PE文件结构中各节之间的间隙存储病毒代码,或者通过添加新的节来存储病毒代码,从而感染可执行文件。无论哪种方式,都需要用逆向手段分析。 2.病毒查杀步骤 查内存,查可疑进程,从内存中查杀病毒。 检查启动项并删除病毒启动项。 通过启动项确定病毒的位置,从根本上删除病毒。 修复系统 3.必备知识 1) 熟悉windows系统进程 2) 熟悉常见端口与进程对应关系 3) 熟悉windows自带系统服务 检查系统随机启动服务:msconfig/services.msc 对应于SvcHost.exe主机进程的多个服务 Windows隐藏服务管理工具:SDCT 4) 熟悉注册表启动项位置 注册表中随机启动项目的位置。 HKEY _当前用户\软件\微软\ Windows \当前版本\运行 HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \当前版本\Run HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ Winlogon HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ Image文件执行选项 三.详解Windows随机启动项目——注册表 注册表是Windows中的一个重要数据库,用来存储系统和应用程序的安装信息。早在很多年前,Windows系统中就出现了注册表。后来推出的Windows NT是第一个在系统级广泛使用注册表的操作系统。但是从微软Windows 95操作系统开始,注册表才真正成为Windows用户经常接触的内容,并在后续的操作系统中沿用至今。 注册表是一个重要的数据库,它存储了这个系统的所有配置,比如开机项目、桌面背景、右键菜单、图标、系统更新、系统中一些按键的响应,甚至系统管理员的信息。因此,修改注册表是病毒控制和影响我们系统的一种非常直接的方式。比如C语言提供了可以直接操作Windows注册表的接口函数。 //打开注册表 LONG WINAPI RegCreateKey( HKEY港, _In_opt_ LPCTSTR lpSubKey, _Out_ PHKEY phkResult ); //读取和写入注册表 LONG RegSetValueEx( hKey海基, LPCTSTR lpValueName, DWORD保留, DWORD dwType, 常量字节*lpData, DWORD cbData ); 在这里,我们将详细阐述病毒编程的实战。 自引导的实现方式是通过注册表,注册表中有固定的自引导程序的设置位置。 在命令提示符下输入regedit打开注册表,看看你能不能在下面五个开机项中找到自己的开机软件! 一个软件可以出现在五个启动项之一。 HKEY _当前_用户\软件\微软\ Windows \当前版本\运行; HKEY _当前_用户\软件\微软\ Windows \当前版本\运行一次; HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Run; HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ RunOnce; HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ RunOnceEx 四.详解Windows随机启动项目——系统服务 病毒往往以系统服务的形式存在,也就是说它的图标不会出现在你的桌面任务栏上,不会像我们刚学编程时程序运行时的小黑框一样显示给用户。 服务是指执行特定系统功能以便支持其他程序,尤其是底层程序的程序、例程或进程。当通过网络提供服务时,它们可以在活动目录中发布,从而促进以服务为中心的管理和使用。 在运行中输入msconfig打开系统配置。 这里我们可以看到有服务和启动,启动就是我们之前说的注册表中的启动自启动项。但是很多病毒都有在系统配置启动中隐藏自己的功能,所以我们还是要在注册表中查找。 我们选择隐藏,这样微软服务可以看到服务列表。大量服务被隐藏,只留下非微软服务。在这些服务中,你可以找到非正常的查杀服务。 除了这种查看服务的方式,我们还有一种通过services.msc查看服务的更详细的方式 在运行中输入services.msc以打开服务。 这里我们可以看到大量的系统服务,比如WLAN服务(如果连接不上WIFI可以重启这个服务)和Windows update服务(可以考虑禁用)。通过查看描述,可以发现一些不正常的服务,比如灰鸽遥控,其服务描述中明确写明是灰鸽。 在Windows下,病毒还可以隐藏自己的服务,所以这类病毒需要一些第三方工具。使用SDCT工具,您可以查看所有本地服务的信息,包括隐藏和未隐藏,已启动和未启动。 SDCT工具和后来的工具可以在我的Github仓库里找到。 另外,病毒进程可能使用svcHost.exe主机进程,此时病毒进程在Windows任务管理器中显示svcHost.exe的名字。在这种情况下,我们需要使用一个命令来检查哪些进程在SvcHost.exe下。 命令:任务列表/svc 可以看到,svchost.exe会有多个流程,每个流程下都有多个依赖于这个流程的服务。 五.手动查杀病毒实战——熊猫烧香病毒 如果你自己练,记得在虚拟机下! 病毒包可以在Github仓库找到。 0. 病毒分析 病毒名称:武汉男孩,又名熊猫烧香病毒。虫子。WhBoy.h ' 1).中毒症状 将自身复制到所有驱动器的根目录下,命名为Setup.exe,生成一个autorun.inf让用户打开磁盘运行病毒,并将这两个文件的属性设置为隐藏、只读、系统。 您不能手动修改文件夹选项来显示隐藏文件。 在每个被感染的文件夹中都可以看到Desktop_ini的隐藏文件,内容为感染日期如2007年4月1日。 向计算机上的所有脚本文件添加一段代码: iframe src=XXX width=" 0 " height=" 0 "/iframe 中毒机器上常用的杀毒软件和防火墙都无法正常开启和运行。 无法正确使用任务管理器和注册表。 无缘无故对外承包,连接局域网内其他机器。 感染。exe文件并改变图标颜色,但不会感染微软操作系统本身的文件。 删除GHOST文件(。gho后缀),而网吧、学校、单位机房深受其害。 禁用常用防病毒工具。 2).病毒特征 关闭许多杀毒软件和安全工具。 遍历磁盘目录,感染文件,并跳过关键系统文件。 感染所有EXE,SCR,PIF,COM文件,把图标改成烧香熊猫。 感染所有人。htm/。html/。asp/。php/。jsp/。aspx文件并添加木马恶意代码。 自动删除*。gho文件。 3).发作症状 复印文件 病毒运行后,会把自己复制到C:\ windows \ system32 \ drivers \ spoclsv.exe。 添加注册表自启动 该病毒将被添加到启动密钥HKEY _当前_用户\软件\微软\ windows \当前版本\运行\ svcshare-c: \ windows \ system32 \驱动程序\ spoclsv.exe。 病毒行为 每1秒钟寻找一次桌面窗口,然后关闭窗口标题中带有以下字符的程序 QQKav、QQAV、防火墙、进程、VirusScan、Netdart、杀毒、毒子弹、瑞星、姜敏、黄山IE、超级兔子、优化大师、木马克星、木马清除器、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、赛门铁克杀毒、Duba、尊程序、绿鹰PC、密码防盗、噬菌体木马助手查找器、系统安全监控器、裹礼杀手、Winsock专家、游戏木马检测大师、msctls _ statusbar32、pjf (USTC)、icesword。 并使用键盘映射方法关闭安全软件IceSword。 并停止系统中的以下进程: Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe kvxp . kxp kvmonxp . kxp kv center . kxp KVSrvXP.exe KRegEx.exe UIHost.exe troj die . kxp FrogAgent.exe logo 1 _。Rundl132.exe Logo _ 1 . exe 每18秒 点击病毒作者指定的网页,用命令行检查系统中是否有共享。如果有,运行net share命令关闭admin$共享。 每10秒钟 下载病毒作者指定的文件,用命令行检查系统中是否有共享。如果存在共存,请运行net share命令关闭admin$共享。 每6秒钟 删除注册表中安全软件的键值。 HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \当前版本\Run RavTask KvMonXP kav kav personal 50 McAfee updaterui Network Associates错误报告服务ShStartEXE YLive.exe yassisse 并修改以下值以不显示隐藏文件。 HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL \ checked value 修改为0x00 删除以下服务 navapsvc wscsvc KPfwSvc SNDSrvc cc proxy ccEvtMgr ccSetMgr SPBBCSvc 赛门铁克核心LC NPFMntor MskService FireSvc 受感染的文件 该病毒会感染扩展名为exe、pif、com、src的文件,将自身附加到文件头,并为扩展名为htm、html、asp、php、jsp、aspx的文件添加一个URL。用户一旦打开文件,IE会在后台不断点击写好的网址,增加点击量,但病毒不会感染下面文件夹名中的文件,防止系统崩溃。 窗户 Winnt 系统卷信息 重复利用 windows操作系统 WindowsUpdate Windows媒体播放器 Outlook Express 微软公司出品的web浏览器 网络会议系统 公共文件 ComPlus应用 送信人;通信员 InstallShield安装信息 微软网络 Microsoft Frontpage 电影制作人 MSN游戏区 1. 查内存,排查可疑进程,将病毒从内存中干掉 在虚拟机运行熊猫烧香病毒,记得在xp虚拟机运行。现在物理机的Windows补丁对熊猫烧香免疫。 当我们打开虚拟机中的任务管理器时,发现它一打开就会关闭,这也是熊猫烧香的特点之一。 右击一个分区,你会发现第一项是Auto而不是open。这是因为熊猫烧香病毒会在分区中生成一个autorun.inf文件,允许用户打开磁盘运行病毒。autorun.inf文件是系统并隐藏该文件。 甚至有些病毒会命名为Auto open。右键单击分区,您会发现两个打卡选项。 第一步是关闭病毒进程。在检查内存时,我们需要使用tasklist命令来检查可疑的进程。spoclsv.exe是熊猫烧香的进程名(这个可能需要大量的积累,最好有大量的Windows系统进程知识)。 然后通过taskkill /f /im PID命令终止它。 有些病毒不能被任务管理器或taskkill命令终止。这些病毒大多有三个相互保护的进程,一旦其中一个进程终止,其他进程会立即再次启动这个进程。 2. 查启动项,删除病毒启动项 病毒从内存中清除后,接下来我们将删除它的服务和启动项。 在禁用删除启动项之前,我们需要先记住这个病毒的路径,这样第三步就是删除它的主体。 3. 通过启动项判断病毒所在位置,并从根本上删除病毒 下图是熊猫烧香病毒本体的位置。事实上,您可以通过查看启动项中的exe路径来找到可疑的spoclsv服务。它位于system32\drivers下,不是一些常见的系统服务。 转到此路径删除此exe程序。 4. 修复系统 当我们删除exe后重启系统时,会发现现在系统中已经没有spoclsv.exe进程了。 这时候病毒可能会复发,因为系统还没有修复,前面提到的双击分区的默认选项可能会导致病毒程序再次运行。 我们需要删除自动选项并清理系统。 Autorun.inf是与我们的右键菜单相关联的文件。 我们用attrib -s -h -a -r autorun.inf删除autorun.inf和setup.exe隐藏属性,分别删除这两个文件。 删除后我们双击打开分区,会发现无法生效。 注销系统后,右键菜单将恢复。 作者: AntzUhl 首发地址博客园:http://www.cnblogs.com/LexMoon/ 代码均可在Github上找到(求Star) : Github 个人博客 : http://antzuhl.cn/ 公众号 赞助 支付宝 微信 随意随意,要是我的文章对你有帮助,可以考虑请我喝瓶阔落。
创建帐户或登录后发表意见