冰刃——实战手动清除病毒 - 朝气
当前位置: 首页 > 学习天地 > 正文

冰刃——实战手动清除病毒

路过安全中国的时候看到了一片比较好的文章,拿来分享下,关于强大的冰刃是怎样清除隐藏病毒等。首先简单说下什么是SSDT SDDT——系统服务描述表。内核级后门会修改这个服务表,以截获你系统的服务函数调用。冰刃中,木马修改过的值显示为红色,但红色显的值并非都是木马修改的。还有一篇文章 《《SSDT Hook的妙用-对抗ring0 inline hook 》》我是不懂,听说很好的,感兴趣的可以搜索看下。正文开始(稍改动): (一)设置IceSword 运行IceSword.exe。点击左上角的“文件”,再选择“设置”,勾选最下面的三项,点“确定”。注意:这样设置后是无法再打开任何新的程序的。如果要配合SREng等软件扫描出的日志,请先打开文件再设置。   (二)结束可疑进程 红色项应全部结束(当然主程序IceSword.exe除外),是非正常的隐藏进程。系统默认是没有的。如果你确定哪些是正常的可以不关。顺便结束这些进程:Explorer.exe、iexplore.exe、rundll32.exe   (三)恢复SSDT 记下这里显示的文件位置以及文件名。具体看图吧。。。  (四)清理文件 首先应清理SSDT中显示的文件,还有第一步中红色进程的文件。为完全清理文件,可以右键文件夹,选“搜索文件”查找前面找到的文件。具体方法同注册表搜索 有时强制删除文件会失败,请先使用“删除”。    若你的分区格式是NTFS,在清理时请使用管理员权限账户登陆,并右键目录,选择“枚举ADS(不包含子目录)”(全部的话时间较长)。这样可以揪出利用NTFS交换数据流(Alternate Data Streams,简称ADS)隐藏的文件。  IceSword中还有一些如“启动组”、“BHO”的功能,在这里可以检查可以启动项和浏览器劫持项   (五)删除注册表相关信息 系统服务所在位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001Services\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002Services\ 常见启动项: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 有些可以直接删除主键  注册表的清理可能会比较繁琐,需要你搜索文件所在的键值。方法如下:  时间会比较长,可能出现假死,请耐心等待  系统启动项Run的删除。示例: (六)最后的清理 首先应该还原第一步中对IS的设置。然后用杀毒软件进行查杀,还可以进入“带网络连接的安全模式”,然后依次点 开始—运行—输入“net shart avp”,在杀毒,不能清除的文件用IS的“强制删除”!

转载请注明转自朝气 ,本文链接: http://www.gtsow.com/artices/209.html

该日志由 逝魂 于2009年09月23日发表在学习天地分类下,
您还可以在保留本文地址和作者的前提下转载到您的网站或空间。

报歉!评论已关闭.