僵尸先生 - 2007-1-30 13:20:00
我是这样分析的:
1.有些病毒是以动态链接库文件(*.DLL)体现的,通过远程注入.欺骗等手段加载到
系统重要的EXE中,只要这个进程一启动,该进程就会自动调用病毒DLL,WINDOWS系
统中最重要的进程首当其冲就是explorer.exe了.
2.因为动态链接库文件(*.DLL)不属于进程,所以进程管理器中无法发现它,另外由
系统重要的进程加载的DLL文件,即使你发现它的存在也很难识别是不是病毒DLL(
包括杀毒软件).
3.即使你找到这个病毒DLL文件所在目录,你也无法将它删除,因为它正在运行,DLL
文件又无法象进程那样能够强制关闭.
4.病毒DLL在内存中驻留,它能够释放出真正运行有效的病毒文件,并调用它,所以
这样的病毒就无法删除干净,它发现病毒执行文件被强制关闭或被删除,就会自动
释放出新的病毒文件然后调用.
5.不过动态链接库文件(*.DLL)的特性是只有当有进程调用它的时候才加载到内存
中,如果没有进程调用(或调用它的进程退出系统进程),DLL也会被释放掉.
6.于是我想就把explorer.exe这个系统进程强制关闭掉,然后再杀毒,结果病毒果
然被我杀干净,再也没有出现了.
呵呵,班门弄斧了,以上是我个人总结的经验,有不对的地方请大家指点一二
~
AiYoYop - 2007-1-30 13:40:00
路过...学习学习
僵尸先生 - 2007-1-30 14:09:00
不敢当,交流一下,呵呵
僵尸先生 - 2007-1-30 15:27:00
我顶~~~~~~~~~
afkp4e7 - 2007-1-30 15:30:00
支持原创
僵尸先生 - 2007-1-30 16:40:00
呵呵,谢谢~~~~~~~~
桃子CiCi - 2007-1-30 16:51:00
真的啊
我来试试
谢谢啦
呵呵
如果可行的话,有机会请你吃饭
僵尸先生 - 2007-1-30 16:54:00
汗...只是有的病毒,不是都适用~~~~~~~~~~~
spiritfire - 2007-1-30 16:56:00
有一定道理,不过,
有些马的dll还会注入到winlogon进程中,结束这个进程的话.....
桃子CiCi - 2007-1-30 16:58:00
晕啊^^
试过了...还是有
555555555555555
咖啡~回味 - 2007-1-30 17:01:00
所以江民首先推出了BOOTSACAN,不过界面确实比较简陋,就是开机扫描的前身。
然后被瑞星借鉴并且改进为“开机扫描”。
僵尸先生 - 2007-1-31 11:45:00
| 引用: |
【spiritfire的贴子】有一定道理,不过,
有些马的dll还会注入到winlogon进程中,结束这个进程的话.....
……………… |
是啊,这样就比较麻烦~~~~~~~~
OoappleoO - 2007-1-31 11:49:00
路过....................帮你顶起来。..
zjjmj2002 - 2007-1-31 11:52:00
插入Explorer是件很容易的事,因为Explorer有窗体,可以用FindWindow函数找到进程ID,而要插入Winlogo就不那么简单了,只能用进程快照,Toolhelp之类啦,麻烦多了!
僵尸先生 - 2007-1-31 12:02:00
恩,手动杀毒的技术也要不断更新啊~~~~~~
sanjingshou - 2007-1-31 12:22:00
方法不错~~
僵尸先生 - 2007-2-2 11:56:00
用任务管理器就可以关了~~~~~~~~~~~~汗~~~~~~~
© 2000 - 2026 Rising Corp. Ltd.