精睿(vc52).网络安全

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 78414|回复: 253

【杀毒不求人】之第一课-杀毒前奏

  [复制链接]
发表于 2009-7-5 16:40 | 显示全部楼层 |阅读模式
本帖最后由 封毒刃 于 2009-8-5 00:42 编辑

昨天进行了投票,看来想学习杀手病毒的朋友不少,那么我就尝试性的做几篇教程,希望大家提出意见以及建议。

在毒区我看到了一个让我悲叹的现象,一有朋友共享出新样本就会持续几个月不断有人下载下来用杀毒软件查杀然后或喜或悲的说XX能杀,XX不能杀,这其实毫无意义,在样本被放到网上共享的同时已经被上报给杀毒软件公司了,特别是那个世界查毒网,在线扫描文件的,凡是扫描的文件都会传给杀毒软件公司进行分析,各位的杀软能查出来只能说明原本就能查或是已经处理了样本,不能查的也只是时间的问题,我所希望的是大家能够学会手工杀毒


前言:
其实很多人现在都还依靠杀毒软件为主进行防毒,但是就连防病毒软件公司内部人员都说:没有一款安全软件能对全球病毒的查杀率上20%,这点大家也不要不信,尽管目前有很多类似VB100的测试,但大家会发现装了过VB100N次的杀软还是中毒,这是为什么?我这里略讲一下病毒如何逃避杀软的查杀,也就是俗称的免杀,到目前为止大部分杀软查杀病毒主要还是依靠特征码,那么何为特征码?简单来说,就是你抓了一个或几个坏人(病毒),发现他们有一个共同点,都有刀疤,那么这个刀疤就是特征码,而病毒只要修改这个特征码就能逃过查杀,当然,也有所谓的启发式和主动防御来提高对病毒的查杀能力,这里我要说一点的是大家不要以为是现在的病毒厉害了所以难查杀,这是错误的,现在是杀软在缓慢的进步,病毒免杀在逐渐困难,05年的时候还只是通过单一特征码定位,定位出来的特征码随便改都可以逃过杀软查杀,而后就是复合特征码定位免杀...这里说得有点跑题了,总而言之,我是希望大家可以学习手工杀毒,杀毒软件只能作为辅助,当然,我还希望大家有时间能够接触了解Hips,这些都是废话了。



要手工杀毒,就要先确认是不是中毒了,而现在很多人深受杀毒软件广告迫害,电脑稍稍一点小问题就立即怀疑甚至以为是中毒了,那么如何确认是否中毒呢?通常明显有以下几点

①杀毒软件监控自动关闭,手动开启后过一会又自动关闭或手动无法开启监控,典型的橙色八月、AV终结者、磁碟机
②所有文件图标都变成一样,典型的蠕虫病毒,如:威金、熊猫烧香、机器狗等
③QQ、游戏账号无法登陆
...


那么在确认中毒之后应该做什么?

①检查注册表是否可以打开
②是否能进安全模式(重启按F8)
③杀毒软件、安全工具是否能打开


好了..来说下注册表被锁定、安全模式无法进入以及安全工具无法打开的解决方法。

注册表:
可以先下载一下两个附件允许是否可以解开,不行再试试第三种方法

如果以上两种方法都不行,那么利用可以系统策略编辑器,输入“Gpedit.msc”后回车,打开“组策略”。然后,依次展开“用户配置→管理模板→系统”,双击右侧窗口中的“阻止访问注册表编辑工具”,在弹出的窗口中选择“已禁用”,“确定”后再退出“组策略”,即可为注册表解锁。


安全模式:
有些病毒会破坏安全模式,利用这个注册表文件修复即可:


最后说下杀毒软件被屏蔽、安全工具无法开启的解决方法:
首先我们要确认安全工具无法打开是个什么样的情况,是允许了无反应或弹出其他东西还是一运行就报错且运行的那个文件消失了,
如果只是运行了无反应那么大家可以试试这种方法,例如卡巴斯基的运行文件为AVP.exe,那么你可以改成1222.exe或1254.com,这样就可以运行了(这个就是IFEO,也就是镜像劫持)
如果一运行就报错并且运行的那个文件消失掉,那么这个就麻烦了,我有一次就遇到这种毒,摸索了好久才解决,大家可以试着进入安全模式看看是否可以运行,如果还不行,就去下载WinPE系统,进到PE里面就可以了


接着就是要进行手工杀毒了,现在大部分病毒都是注入的,观看进程是看不出什么的,这时候就轮到SREng上场了,同过SREng扫描出报告可以揪出很多病毒!

第一课就这样吧...我要理理头绪了..

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

评分

参与人数 3 +1 金币 +10 经验 +15 人气 +2 收起 理由
ARMer蛋壳 + 2 版区有你更精彩: )
JusT.Like + 10 有赏!
鲁西西 + 1 + 15 好久不见的原创!加油!写的不错!

查看全部评分

发表于 2009-7-5 16:45 | 显示全部楼层
晕....你这全是废话....
回复 支持 反对

使用道具 举报

发表于 2009-7-5 16:45 | 显示全部楼层
你一下讲完好不好,暂时米有有用的~~
回复 支持 反对

使用道具 举报

 楼主| 发表于 2009-7-5 16:45 | 显示全部楼层
_=!大致讲下概念..慢慢来...这些东西很多新人都不懂的
回复 支持 反对

使用道具 举报

发表于 2009-7-5 17:49 | 显示全部楼层
基础的讲讲也好
新人有的都不知道
教程循序渐进,慢慢深入
回复 支持 反对

使用道具 举报

发表于 2009-7-5 18:22 | 显示全部楼层
简单的,就是好的。。
对于广大的新手,,狠有用!!
回复 支持 反对

使用道具 举报

发表于 2009-7-5 18:29 | 显示全部楼层
挺不错的讲解
回复 支持 反对

使用道具 举报

发表于 2009-7-5 19:31 | 显示全部楼层
还是请做个全面的教程吧
回复 支持 反对

使用道具 举报

发表于 2009-7-5 20:05 | 显示全部楼层
学习了  支持了
回复 支持 反对

使用道具 举报

发表于 2009-7-5 20:25 | 显示全部楼层
打击的话我不会说的
但是我想问个问题:好像组策略里面也有设置禁止运行组策略的,如果被病毒设置了阻止运行组策略,同时也锁了注册表什么的,该怎样做?到PE下解锁吗?#l%*47

严重支持毒刃!!!!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|文字版|RSS|站长邮件|精睿.网络安全 ( 鄂ICP备07005250号 )  

GMT+8, 2017-5-24 15:46 , Processed in 0.122398 second(s), 26 queries , Gzip On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表