伊人宅男网,男人J桶进女人P无遮挡全过程,91视频福利

您當(dāng)前所在位置：首頁 → 網(wǎng)絡(luò)安全 → 病毒防治 → 系統(tǒng)中毒：一次病毒手殺記錄

系統(tǒng)中毒：一次病毒手殺記錄 時(shí)間：2015-06-28 00:00:00 來源：IT貓撲網(wǎng) 作者：網(wǎng)管聯(lián)盟 我要評論(1)

在客戶這里做項(xiàng)目，發(fā)現(xiàn)客戶給我的計(jì)算機(jī)上面在打開分區(qū)的時(shí)候，會另開一個(gè)窗口打開，查看了系統(tǒng)的文件夾選項(xiàng)，并將其還原為默認(rèn)設(shè)置。發(fā)現(xiàn)情況依然，很明顯，這臺機(jī)器中毒了，磁盤下有autorun.inf這個(gè)東西！

?現(xiàn)在大部分病毒和木馬都通過在磁盤分區(qū)根目錄下生成Autorun.inf。修改磁盤分區(qū)右鍵菜單的"打開"，"自動播放"等菜單項(xiàng)的點(diǎn)擊操作，實(shí)現(xiàn)病毒自動運(yùn)行。
一些典型的癥狀：
1、雙擊磁盤分區(qū)無法打開分區(qū)，提示找不到某某程序
2、雙擊響應(yīng)速度變慢。
3、在新窗口打開

??? 謹(jǐn)慎的通過在地址欄輸入c:\等方式進(jìn)入分區(qū)根目錄。不要雙擊或右鍵哦！嘗試顯示隱藏文件和系統(tǒng)文件，誒，這個(gè)病毒居然沒有修改文件夾的hidden的注冊表項(xiàng)，可以顯示系統(tǒng)文件和隱藏文件。果然，在每個(gè)分區(qū)根目錄下面有兩個(gè)隱藏的文件：autorun.inf和system.dll，但是沒有.exe的可執(zhí)行文件，有點(diǎn)奇怪。查看autorun.inf的內(nèi)容：
??? [autorun]
??? shell\open\command=rundll32 system.dll,explore
??? shell\explore\command=rundll32 system.dll,explore

??? 我不太了解這些語法，從字面意義上看，時(shí)調(diào)用rundll32 來調(diào)用這個(gè)syste.dll病毒控件。以前見過的其他autorun.inf的寫法還有自定義右鍵菜單的，反正一句話，如果不是自定義的autorun.inf都是不正常的。

?Autorun.inf本來是用在光驅(qū)上實(shí)現(xiàn)光盤自動播放的工具。本身無害，難而很容易被病毒利用以傳播病毒?？梢酝ㄟ^修改系統(tǒng)組策略禁止驅(qū)動器不自動播放，防范病毒通過自動播放達(dá)到自動運(yùn)行。

??? 嘗試刪除這兩個(gè)文件，馬上，3秒鐘，這兩個(gè)文件又生成了，說明有進(jìn)程在監(jiān)控這兩個(gè)文件，刪除了就補(bǔ)回來。嘗試先建一個(gè)同名的文件抑制再生，就是建立一個(gè)同名的文件夾，根據(jù)windows文件建立規(guī)則，同一個(gè)目錄下不能有同名的文件或文件夾。結(jié)果病毒自行先刪除那個(gè)文件，重新建立。囧，看了那些抑制病毒再生的工具也可以退伍咯。

?常見的抑制U盤病毒的工具，就是在U盤下面生成一個(gè)autorun.inf文件夾來實(shí)現(xiàn)抑制的。這也容易被病毒破解。要加強(qiáng)這種方式，可以通過修改autorun.inf文件夾的NTFS權(quán)限，禁止所有人刪除！

??? 打開任務(wù)管理器，發(fā)現(xiàn)有一些莫名進(jìn)程，是一些數(shù)字和.txt，比如說3***.txt，進(jìn)程不是都是.exe的么？不解，不管他了。結(jié)束掉，結(jié)束掉發(fā)現(xiàn)該進(jìn)程并未再次生成。再次嘗試刪除那兩個(gè)文件，依然如此，看來，我得知道是誰在生成那兩個(gè)文件了。下載Filemon，這個(gè)軟件微軟的網(wǎng)站有下，我從skycn下的，別人修改過的filemon居然綁了流氓軟件，什么上網(wǎng)助手啊，幸好是可以選擇不安裝。運(yùn)行后，在過濾器里面添上過濾標(biāo)志autorun.inf。發(fā)現(xiàn)居然是svchost在讀寫這個(gè)文件。右鍵選擇進(jìn)程，查看進(jìn)程位置，c:\windows\system32。找到那個(gè)文件后，查看文件屬性，Microsoft出品...，強(qiáng)行結(jié)束掉一個(gè)svchost，彈出提示要關(guān)機(jī)，趕忙輸入shutdown -a停止自動關(guān)機(jī)。我預(yù)計(jì)這個(gè)文件被感染了，或者被利用了。這可如何是好。

　　? 打開IE，以autorun.inf svchost system.dll搜索下相關(guān)信息，發(fā)現(xiàn)還是有一些的有人中了的，一打開那個(gè)網(wǎng)頁，糟糕，網(wǎng)頁給殺掉了，這病毒作者，學(xué)了很多東西嘛。這里我有一個(gè)想法啊，能不能讓標(biāo)題欄不顯示網(wǎng)頁的title啊。這樣網(wǎng)頁就不會給殺掉了。

?很多病毒都通過鉤子檢查當(dāng)前窗口的標(biāo)題，如果符合一些特征，則將該窗口關(guān)閉。

這是流氓會武術(shù)，誰也擋不住啊。從另外一方面想，我不讓病毒隨機(jī)器啟動運(yùn)行也行。msconfig，查看系統(tǒng)服務(wù)和啟動。在系統(tǒng)服務(wù)中隱藏掉微軟服務(wù)，將那些服務(wù)禁止掉。啟動里面，清理調(diào)未知的。重啟，嘗試刪除那兩個(gè)文件，依然再生，看來，病毒建立了驅(qū)動或者服務(wù)了，那需要工具了－－SRENG。軟件我就不介紹了，很好的工具。（只是我給作者反饋信息不理我，抑郁啊。）運(yùn)行后，查看啟動項(xiàng)，可以發(fā)現(xiàn)AppInit_DLLs被大量修改，還有就是Image File Execution Options中大量安全軟件被處理，所以大部分的殺軟無法啟動了。

AppInit_DLLs

AppInit_DLLs 是啟動項(xiàng)是初始化動態(tài)鏈接庫，但是有病毒通過修改AppInit_DLLs來執(zhí)行，通過修改[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]鍵值來插入病毒.

讓病毒在安全模式下也能運(yùn)行。

Image File Execution Options，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windowsNT\currentversion\image file execution options，病毒通過修改該處鍵值，實(shí)現(xiàn)誤導(dǎo)某些可執(zhí)行程序的路徑。比如說，在這個(gè)下面添加一個(gè)360safe.exe，然后將其鍵植改為virus.exe，那么我們在運(yùn)行360safe時(shí)，實(shí)際上執(zhí)行的是virus.exe！這個(gè)叫映像劫持！通常被病毒利用來阻止殺毒軟件的運(yùn)行。

通常病毒實(shí)現(xiàn)隨系統(tǒng)啟動的辦法除了上面提到的兩種方式,還有:

1、注冊表項(xiàng)：RUN

2、注冊表項(xiàng)：Userinit

3、作為服務(wù)啟動

4、作為驅(qū)動啟動

　　??這里就可以找到那些文件，一個(gè)一個(gè)的DEL。本來想那么作，后來沒有，我想，這些事情還是交給殺軟去做吧。用SRENG按shift連續(xù)選擇，將他們給del掉。刪了，乖乖，刷新后還有，難道病毒會重寫回去呢。放棄，我想還是得用殺毒軟件來殺了，我盡力了。

??? 無意間，我查看了下SRENG掃描出來的日志，我發(fā)現(xiàn)一些可疑的東西，==================================
??? 正在運(yùn)行的進(jìn)程
??? [PID: 588 / SYSTEM][\SystemRoot\System32\smss.exe]? [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
??? [PID: 644 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe]? [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
??? [PID: 668 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]? [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
? [C:\WINDOWS\system32\HBDNF.dll]? [N/A, ]
??? [PID: 712 / SYSTEM][C:\WINDOWS\system32\services.exe]? [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
? [C:\WINDOWS\system32\HBDNF.dll]? [N/A, ]
??? [PID: 724 / SYSTEM][C:\WINDOWS\system32\lsass.exe]? [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
? [C:\WINDOWS\system32\HBDNF.dll]? [N/A, ]
??? [PID: 884 / SYSTEM][C:\WINDOWS\system32\svchost.exe]? [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
? [C:\WINDOWS\system32\HBDNF.dll]? [N/A, ]
??? [PID: 948 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe]? [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
? [C:\WINDOWS\system32\HBDNF.dll]? [N/A, ]
??? [PID: 1096 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe]? [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
? [C:\WINDOWS\system32\HBDNF.dll]? [N/A, ]
??? [PID: 1224 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe]? [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
???&nb

關(guān)鍵詞標(biāo)簽：系統(tǒng)中毒,病毒手殺

相關(guān)閱讀

文章評論

查看所有1條評論>>