天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

如何判断还原被病毒穿透?

2011-5-15信佑2011信佑2011

 

1).      文件名判断
l         客户机大量异常进程(一般是随机数字一类),且CPU使用很高,可判断为疑似中毒。
l         通过搜索引擎,对疑似病毒文件进行搜索确认,结果中20%以上负面影响,可视为非安全程序,要针对性测试。
l         搜索疑似文件,确认文件的修改时间,如果为当前,表示可能是通过网络传播方式工作,或者是开机下载病毒。同时断网重启机器后,无法搜索文件即可判断为还原未穿透。
l         疑似中毒机器,在断网情况下,依然出现异常进程使用,可判断还原被疑似穿透。
2).      杀毒软件测试
l         通过4种国内外杀毒软件(瑞星、360、NOD32、卡巴斯基)对系统查毒,确认疑似文件是否报毒,可将报毒文件先添加进程拦截(病毒库)。
l         将疑似文件提交到WEB在线检测(www.virscan.org),20%以上杀毒软件报毒,可将报毒文件先添加进程拦截(病毒库)。
3).      MD5测试
l         通过在线程序监控网站查询(file.ikaka.com),结果异常程序,添加进程拦截(病毒库)。
l         将异常文件与GHO镜像中做MD5比较,结果不一致或GHO镜像中没有,添加进程拦截(病毒库)。并且可判断为被病毒穿透写入。
4).      结论
l         病毒程序,可直接添加到进程拦截中。
l         病毒行为中包含网络传播、驱动级工作方式、盗取帐号等类型,添加病毒库后,将程序打包与测试结果提交到官网论坛。
l         测试结果如果确认是被穿透,请打包客户机临时文件夹和IE历史记录(迅闪提供此功能,从安全中心中勾选设置)与测试结果提交到官网论坛。
5).      补充
l         对于确认是会穿透还原的病毒,有能力的可使用System Safety Monitor软件进行调试。

本文来源:信佑2011 作者:信佑2011

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行