天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

强人总结:病毒木马的基本防御和解决

2008-2-18邪恶八进佚名

  关于病毒木马网上的资料实在是太多,怎么说都很难说是自己原创的文章,所以笔者在此说明,凡是网上已经很详细的资料就不再多写了,主要是说明一个思路。这个文章本来是写给我的一位上海的朋友的,是很简单的东西。

  说明:1.因为我的朋友不大会用工具,所以这篇文章说的是不用任何工具的简单的对病毒木马的防御和解决.

  2.解决的也是简单的木马病毒,我的朋友是一般使用电脑的用户。中了复杂的病毒木马我干脆劝他重装。

  3.针对的是我朋友的Windows XP 专业版本系统。

  4.关于网上已经很详细的一些方法,不再做过多阐述。可自己搜索。

  一、基本防御思想:备份胜于补救

  1.备份,装好机器之后,笔者首先备份c盘(系统盘)windows里面,和C:\WINDOWS\system32下的文件目录。

  运行,cmd命令如下;

以下是引用片段:
dir/a C:\WINDOWS\system32 >c:\1.txt
dir/a c:\windows >c:\2.txt


  这样就备份了windows和system32下面的文件列表,如果有一天觉得电脑有问题,同样命令列出文件,然后cmd下面,fc命令比较一下,格式为,假如你出问题那一天system32列表为3.txt,那么fc 1.txt 3.txt >c:/4.txt

  (笔者说明: dir/a是为了察看隐藏文件,备份位置放在c根目录是为了好找)

  因为木马病毒大多要调用动态连接库,可以对system32进行更详细的列表备份,如下

以下是引用片段:
cd C:\WINDOWS\system32
dir/a >c:\1.txt
dir/a *.dll >c:\>2.txt
dir/a *.exe >c:\>3.txt


  然后把这些备份保存在一个地方,除了问题对比一下列表便于察看多出了哪些DLL或者EXE文件,虽然有一些是安装软件的时候产生的,并不是病毒木马,但是还是可以提共很好的参考的。

  2.备份进程中的DLL, CMD下面命令

   以下是引用片段:
tasklist/m >c:/dll.txt


  这样正在运行的进程的DLL列表就会出现在c根目录下面。以后可以对照一下,比较方法如上不多说,对于DLL木马,一个一个检查DLL太麻烦了。直接比较方便一些。

  3.备份注册表

  运行REGEDIT,文件——导出——全部,然后随便找一个地方保存。

  4.备份C盘,(硬盘大的朋友使用,笔者注释)

  开始菜单,所有程序,附件,系统工具,备份,然后按这说明下一步,选择我自己选择备份的内容,然后把系统备份在一个你选定的位置。

  出了问题,同样打开,选择还原,然后找到你的备份,还原过去就是了。

  (笔者说明,这个方法比系统还原好用,而且剩心,只备份才安装时候的系统就好,是最终解决方案。)

二、基本防御思想:防病胜于治病

  1.关闭共享,这个网上说得很多,可以自己搜索,笔者不再详细说明。关闭139.445端口,终止xp默认共享。

  2.关闭服务server,telnet, Task Scheduler, Remote Registry这四个。防止一般小黑客常用的at命令等等。其他的服务可以搜索相关资料自己看着办。(注意关闭以后定时杀毒定时升级之类的计划任务就不能执行了。)

  3.控制面板,管理工具,本地安全策略,安全策略,本地策略,安全选项给管理员和guest用户从新命名,最好是起一个中文名字的,如果修改了管理员的默认空命令更好。不过一般改一个名字对于一般游戏心态的黑客就足够了对付了。高手一般不对个人电脑感兴趣。

  4.网络连接属性里面除了tcp/ip协议全部其他的全部停用,或者干脆卸载。

  5.关闭远程连接,桌面,我的电脑,属性,远程,里面取消就是了。也可以关闭Terminal Services服务,不过关闭了以后,任务管理器中就看不到用户名字了。

  (笔者注释,注意如果你是一个喜欢黑客技术的人并且准备学习研究黑客技术,以上设置不适合你,呵呵,另外相关安全细节网上资料很多,不再啰嗦。自己可以搜索看看。)

三、基本解决方法:进程服务注册表

  1. 首先应该对进程服务注册表有一个简单的了解,大约需要3个小时看看网上的相关知识应该就会懂得了。

  2.检查启动项目,不建议使用运行msconfig命令,而要好好察看注册表的run项目,和文件关联,还有userinit,还有shell后面的explorer.exe是不是被改动。相关的不在多说,网上资料很多,有详尽的启动项目相关的文章。我只是说出思路。以下列出简单的35个常见的启动关联项目,(笔者声明,不是我自己找出来的,只是觉得这个最全面一点。)

以下是引用片段:
1. HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Curr entVersion\Run\
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\.
4. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
5. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
6. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
7. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
8. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
9. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
10. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
11. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
12. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\
13. HKEY_CURRENT_USER\Control Panel\Desktop
14. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager
15. HKEY_CLASSES_ROOT\vbsfile\shell\open\command\
16. HKEY_CLASSES_ROOT\vbefile\shell\open\command\
17. HKEY_CLASSES_ROOT\jsfile\shell\open\command\
18. HKEY_CLASSES_ROOT\jsefile\shell\open\command\
19. HKEY_CLASSES_ROOT\wshfile\shell\open\command\
20. HKEY_CLASSES_ROOT\wsffile\shell\open\command\
21. HKEY_CLASSES_ROOT\exefile\shell\open\command\
22. HKEY_CLASSES_ROOT\comfile\shell\open\command\
23. HKEY_CLASSES_ROOT\batfile\shell\open\command\
24. HKEY_CLASSES_ROOT\scrfile\shell\open\command\
25. HKEY_CLASSES_ROOT\piffile\shell\open\command\
26. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
27. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\
28. HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline
29. HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline
30. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
31. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\
32. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
33. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
34. HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\
35. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\


  (笔者注释,凡是木马,必须要启动,所以这些简单的启动项目还是应该好好看一下的。)

  3.检查服务,最简单的吧,服务列表太长,我估计你也不一定能全部记住。说一个简单的,运行msconfig,服务,把“隐藏所有的microsoft服务”选中,然后就看到了不是系统自带的服务,要看清楚啊,最后在服务里面找找看看属性,看看关联的文件。现在一般杀毒都要添加服务,我其实讨厌杀毒添加服务,不过好像是为了反病毒。

  4.进程,这个网上资料更多,只说明两点,1.打开任务管理器,在“查看”,“选项列”中把“pid”选中,这样可以看到pid,所谓pid笔者简单理解为就是进程的身份证,这样便于很多相关的处理。2.点一个进程的时候右键有一个选项,“打开所在目录”,这个很明显的,但是很多哥们都忽略了,这个可以看到进程文件所在的文件夹,便于诊断。

  5.cmd下会使用,netstat –ano命令,觉得这一个命令对于简单的使用就可以了,可以查看协议端口连接和远程ip.

  6.删除注册表{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}

  {0D43FE01-F093-11CF-8940-00A0C9054228}

  两个项目,搜索到以后你会看到是两个和脚本相关的,备份以后删除,主要是防止一下网上的恶意代码

  (笔者注释:如果对脚本感兴趣,自己准备学习相关知识并且测试的朋友不要删除)

四、举一个简单的清除例子

  1.对象是包含在一个流行BT绿色软件里面的木马,杀毒可以杀出,但是错误判断为灰鸽子。有的杀毒杀不出来。以下说的是不用任何工具的判断和清除,当然任何工具中包括杀毒。

  2.中毒判断:使用时候,忽然硬盘灯无故猛烈闪烁。系统有短暂速度变慢。有程序不正常的反映,怀疑有问题。

  2.检查,服务发现多了一个不明服务,文件指向C:\Program Files\Internet Explorer下面的server.exe文件,明显的这不是系统自带的文件,命令行下察看端口,有一个平常没有得端口连接。进程发现不明进程。启动项目添加server.exe.确定是木马。

  4.清除:打开注册表,关闭进程,删除启动项目,注册表搜索相关服务名字,删除,删除源文件。同时检查temp文件夹,发现有一个新的文件夹,里面有一个“免杀.exe”文件,删除,清理缓存。当然最好是安全模式下进行。

  5.对照原来备份的system32下面的dll列表,发现可疑dll文件,删除,也可以在查看选择“选择详细信息”选择上“创建日期”(这个系统默认是没有添加的),然后查看详细信息,按创建日期显示,可以发现新创建的文件。这个木马比较简单,没有修改文件日期。

  (笔者注释,这是一个简单的病毒,时间长了,记不住具体病毒开启的服务的名字和开启的端口了,只是说明一下思路。提醒的就是一定不要忘记了清理缓存,因为很多文件安装或者下载的时候是存在那里的,有时候忘记了清理,病毒如果关联在这个文件上,删除后还会出现的。)

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:邪恶八进 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行