2009年1月16日课程作业
流行病毒概况以及手动查杀方法作业
简述题(必答)1.目前病毒传播的主要方式有哪几种?答:1)网页传播2)ARP欺骗传播3)移动存储传播4)感染文件传播2.简述常见盗号木马的杀毒方法(通过sreng日志中可看见的启动项目启动,且不回写)答:1)、通过sreng日志等扫描发现可疑文件;2)、其次针对不同病毒进行下手,根据Sreng日志中的启动项目下手,去掉病毒启动项目;3)、(重启,重启进入安全模式)删除文件(可以使用Icesword,syscheck等工具)。3.简述常见的后门病毒的杀毒方法(通过服务启动)答:使用sreng禁止可疑服务。重启计算机,删除文件。4.感染型病毒通常应该如何识别和清除?答:识别:1) 从杀毒软件对病毒的命名上看:病毒名以Virus 或者Win32开关的是感染文件型病毒。有些Worm蠕虫病毒同时具有感染文件的功能,需要仔细甄别。2) 人工判断:文件图标改变或变模糊,文件大小改变,文件执行后不响应都可能是因为文件被感染。清除:对于感染型病毒最好使用杀毒软件(专杀工具)杀毒。因为杀毒软件通常能修复被感染的文件。5.重装系统后不久发现病毒又出现了,这是什么原因?如何处理?答:这样的现象多半是因为病毒具有U盘传播功能,这种病毒会在各个盘符根目录下生成autorun.inf,且该autorun.inf指向了病毒文件,双击打开对应盘符会再次激活病毒。解决办法:重装系统后,不要贸然打开非系统分区。使用winrar的查看功能,查看磁盘根目录下有无autorun.inf等类似的文件。如果有打开该文件,查看里面的内容,把里面指向的病毒删掉。第二种可能是该病毒是感染型病毒,在打开了其他盘下面的exe 文件之后病毒又被重新激活,感染新装的系统。解决办法:把杀毒软件装到系统分区,使用杀毒软件全盘杀毒。也有可能是病毒又从原来的渠道进入计算机(浏览同一个带毒网页,局域网内感染了ARP欺骗病毒的电脑对重装后的电脑再次影响等等)解决方法:重装电脑后第一时间安装杀毒软件6.如果某个病毒通过两个进程相互守护,应该如何处理?答:可以使用冰刃等的禁止进线程守护功能进行处理。7.简述RootKit hook的两种方式。答:一是修改SSDT中的函数地址,SSDT hook就是把SSDT这个地址表中的内容修改了,当ring3级别相关函数再向SSDT发送请求调用ring0的函数执行一些操作时候,就会被引导到病毒处理函数的地址上,病毒就可以对该请求进行任意操作二是inline hook或者叫code hook。通常是把相关函数内的前5个字节改为Jmp XXX。也就是直接让函数执行时候跳转到病毒处理函数中。这两种hook在ring3和ring0中同时存在。8.某用户会一些简单的手动杀毒,但查看sreng日志未发现明显的病毒进程,也未发现进程中有什么不正常的模块,这可能是由于什么原因导致的?应该如何处理呢?答:可能是病毒应用Rookit的技术隐藏了自身。处理方式:Rootkit是一种可以越权执行的程序,那么我们可以“越权”检查程序,直接从内核领域里读取进程列表,文件列表,再和ring3上API枚举的进程列表对比,便能发现Rootkit进程,由于这类工具也“越权”了,因而对Rootkit进行查杀也就不再是难事。支持此方式的工具有冰刃,wsyscheck等等。直接使用冰刃等工具即可绕过钩子看到被隐藏的进程或者文件。然后使用rootkit unhooker检查某些容易被病毒利用的API函数以及查看SSDT是否被hook,并对其进行恢复。实践题(选答,附加分)压缩包内的病毒有两个后门病毒,他们有个共同的特点,就是都使用了一些手段隐藏自身,请在虚拟机环境下运行,并使今天提供的手动清除工具清除掉,简述其过程并回答下面的问题。(不同的杀毒方法会有不同的成绩)问题:两种病毒隐藏自身的方式有何不同,分别是哪种hook方式?hook的是什么函数?特别提醒:压缩包内包含两个样本,用于卡卡论坛寒假实习生活动作业所用,不得用于其他传播和破坏行为。因病毒的特殊性,请在虚拟机条件下运行该样本。否则后果自负。答:(使用冰刃)virus1.exe:杀毒过程:中止病毒创建的进程IEXPLORE;进行高级扫描-一般性扫描;恢复三个SSDT HOOK;删除下列三个文件:C:/Windows/system32/drivers/Safe36o.sys; C:/system32/Safe36o.exe; C:/system32/Safe36o.dll; C:/system32/Safe36o.dlx; C:/system32/win32.hlp。此病毒采用了SSDT hook, hook 的函数有NtEnumerateKeyNtQueryDirectoryFileNtWriteVirtualMemoryVirus2.exe:杀毒过程:中止病毒创建的进程IEXPLORE;进行高级扫描-一般扫描;恢复所有7个被code hook的函数;删除C:/Windows目录下面的三个文件:SERVERKEY.DLLServer.exeServer.DLL此病毒采用了code hook。被hook的函数有:ZwQuerySystemInformationFindNextFileWFindNextFileARegEnumKeyExWEnumServiceStatusARegEnumKeyExAEnumServicesStatusW用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
饿了不吃 最后编辑于 2009-02-20 12:29:33
