手工查杀病毒


#1

楼主不是标题党,这大概算我半个职业,基本学计算机几年,有一半时间都在研究这个,也修过不少计算机
既然是手工杀毒,就要知道,所谓的病毒分为两种,一种是破坏性的病毒,称为病毒
还有一种潜伏性的,叫木马

两种都有一个共同的特性,就是无利不起早,毕竟现在很少有人闲着没事搞个很6的病毒就是为了玩,除非你的室友或者同学校的没意思搞的

一般破坏性的病毒都属于恶搞的,不属于外网人员所为,因为人家犯不着费这么大劲就为了玩你一下,而且现在也很少有那种会拖慢 计算机运行的病毒,有的话肯定是程序写的不够专业

相比之下,木马就比病毒危险多了,因为你基本发现他存在的希望不大,木马一般只是连接主控端的机器,主控端可以查看你屏幕,文件,或者控制你的电脑做一些事情,也可以远程下达命令,比如DDoS攻击,让很多傀儡机同时刷一个站,这种非正规的,大流量频繁的访问,会让小站点直接宕机,当然这一般都属于小手法,也是小嘿客们用的,大牛们是很少有人做这个的

木马的用途也多数用于监控摄像头(好可怕),我见过他们直播大学女宿舍的,,(一群变态),想关的大学IP地质段也很好获取,大家可以百度 ‘’纯真IP‘’ ,就可以看到官网了,下载他们得数据库(这个数据库用途广泛,有些软件也用这个作为地理位置识别库),然后在地质直接填写某某大学查询就能查到很多IP段

一般种植木马的方法分为两种,一种是先获取到上面的IP段,然后通过溢出工具进行端口溢出(溢出的漏洞超级多,,),就可以让目标机器去下载指定的文件(木马),然后去执行(这说明了常打补丁,常更新系统还是有好处滴)

另一种方式就是在网站挂木马,当然这种方式已经很老套了,这种挂马的方式也分两种,一种是诱骗用户进行下载,比如针对打游戏的用户就叫 “XX刷钱” ,反病毒意识薄弱的用户很容易上当受骗,再比如针对宅男,XX播放器,不知道多少少男沦陷,,

挂马的另一种方式就是通过0day,0day又叫零天攻击,就是通过一些没有公布,官方没有出补丁的漏洞进行攻击,这种基本是百发百中,就比如去年Hacking Team团队泄露的Flash的0day现在还很多浏览器都中招,,

上面讲了这么多废话就是为了告诉大家,经常看一些健康的网站,不要乱七八糟的下载东西,要抵制诱惑,常升级系统打补丁,千万不要裸机!

另:给大家安利个防火墙,COMODO,号称免费第一墙,装了这个防火墙,我还是win7继续浪

接下来就是真的手工查杀病毒了,不是很难的吧,主要是你要经常地打开你的任务管理器,和你的各样的进程打招呼,时间久了,你会很轻松地发现不速之客
先安利个工具,我常用的手工杀毒的工具,原来叫xuetr,现在叫pchunter,地址是 www.xuetr.com ,大家下载免费版就够用了


这就是软件的主界面了,虽然搞这么长时间了,但是这里面的东西我还不是都能看懂

这个界面主要看两个东西,首先看文件厂商,没文件厂商的算一般危险,文件厂商是比如aaaaaaaaa或者111111或者不符合周围厂商画风的厂商,绝逼是异常进程,比如我见过四位随机厂商和八位随机厂商,就是比如sad1654sda,这种的,一看就不是个单词的样子,厂商能很好的体现这个文件是谁家的,比如amd,intel,Microsoft,闭着眼睛都知道是谁家的

然后看这个安装路径你认识不认识,当然这里面的路径一般就是系认目录和软件安装目录,看目录主要就是看这个文件是不是你安装的,你认识不认识这个文件,当然,如果不是很了解你装的这个东西,知道是你装的也不能保证是不是好东西

还有就是在这界面还有另外一个需要看的东西

右键任意进程,点击在下方显示模块窗口,然后右键进程列表刷新一下,这个进程列表会重新排列,分为蓝色,红色,橙色,黑色


蓝色一般为普通程序,红色是比较危险,橙色一般为系统进程,正常的系统进程是黑色的,橙色的原因是有其他不明所以的模块插~♂入了进去,当然这个插~♂入的模块不一定就是病毒进程,也很有可能是你的杀毒软件,比如我的这个橙色的就是我的comodo防火墙的模块
也可以在进程列表,右键校验所有的数字签名,因为我机器校验不了就没法演示了,数字签名也算是一个判断是不是病毒的特征吧,但是不绝对,,比如我的mysql就没签名。。

手工查杀最简单的办法就是看网络连接,进程logo,进程名,进程路径


我的电脑是win7的,系统进程除了winlogon和explorer基本都长成这样,进程列表里面重复最多的进程估计就是svchost,我理解的这个进程就是管服务的,有很多个也很正常,还有就是这些系统进程除了explorer基本都在C:\windows\system32 目录下,在以前的时候我有见过伪装成系统文件名但是路径不在系统路径的病毒,也有一些在系统目录,但是文件名和系统名很相似的文件名来混淆用户
比如
SVCHOST和SVCH0ST,这个O被替换成了零
explorer和exp1orer,这个l被替换成了1
当然现在有了强大的辅助工具当然和以前没得比,就算文件名过了也过不了文件厂商

除了看进程名 ,路径,logo,还有就是启动项了,估计没有多少脑残的木马重启就失效了,所以启动项是比较必要的,算了,我去装个虚拟机给你们演示。

我电脑因为装了防火墙,木马控制端打不开,,只能在虚拟机演示了,,
这就是一款比较平常的远程控制,界面比较清新,我在学校机房一般用这个。。。


一般的远程控制的功能和它基本差不多,所以妹纸们要多加防范呦,比如那个视频查看,不需要的时候就把摄像头拔掉。。

打开pchunter看看进程列表(这里不用任务管理器也是有原因的,有些病毒不是在用户权限下可以结束的,有些需要驱动级权限才可以删除)

简直是不想注意他都不行,文件虽然保存在系统目录,但是文件厂商却出卖了他,文件名也很明显是随机拼的,最坑爹的是这个logo,微软不会这么脑残用这样的logo的,,

如果不是很懂这个怎么找可以这样,关掉你的联网的进程,比如QQ,浏览器等等,然后pchunter切换到网络-端口,你要知道,这个木马不是白种在你电脑的,他是要链接主控端的


第一个是木马的控制端的进程,第二个就是木马的进程,,,System是我开的共享,,简直一眼看穿,实际操作可能会比这个会复杂一点,因为毕竟作为一个用户装个第三方的输入法什么的还是比较正常的,有一些用户结束不掉的应用也很正常

如果碰到不认识的文件,长的又很像病毒,可以上传到fireeye.ijinshan.com去分析,感觉这个平台还不错,pchunter的前身xuetr有一代是集成了上传到火眼的功能的。

当发现病毒的时候,不要方

首先确定数量 ,当然数量多少都无所谓
一般清除过程:
1


右键进程列表,勾选结束进程时删除文件
然后右键你的病毒进程,点击强制结束进程,,这个文件就不在了(千万要注意不要删错了。。删之前一定要上传火眼分析行为)

2
这个没什么危险性,


切换到启动信息,然后在三个子列表里面找找和你删除的进程一样路径的文件,右键删除,,一般情况下,是可以找到的,找不到也没关系,毕竟文件都删除了

今天只是简单的说了下这种木马的查杀方式,实际情况下还是经验丰富比较靠谱,如果我能有幸遇到更6的病毒,会直播给你们玩的哦

最后还想废话几句,网上流传很久的锁机,,这个没什么技术含量的,一般分为两种文件,一种是exe,一种是脚本,exe有一些是加驱动的,防止被你的杀毒软件拦截,还有一种是不加驱动的,这个没什么好说的,脚本都是可以记事本打开直接看密码的,exe有些也是可以看密码的
但是有一种特殊情况,,密码是随机的。。。这个也不要方,文件一般是不会被加密的,你只需要一个U盘(sd卡也行),然后烧录个linux或者winpe到你的usb设备,然后去bios设置你的usb设备最先启动,然后去你的系统盘\windows\system32目录下删除一个叫sethc的exe文件,把同目录下的cmd拷贝一份(千万是拷贝),然后改名叫sethc,后缀名是exe,在开机要密码的地方,按五下shift,就会出来cmd窗,你只要输入 net user 账户名 密码,然后回车,你的密码就被重新设置了,当然用户的环境比较复杂,也不能说保证百分百成功,比如你不知道你的用户名。。。。
账户名也分为两种,一个是你看到的这个账户的名字,还有一个就是这个账户的系统给的名字(用户主目录的文件夹名就是),上面说的就是第二个用户名


#2

按五下shift叫粘滞键,就是一些系统的辅助功能,比如放大镜,屏幕讲述人什么乱七八糟的,启动的文件是系统盘的\windows\system32\sethc.exe,大家平时破解密码可以这么玩,破解完密码就要删掉,防止有心人咯