“菜鸟”利用瑞星杀毒软件2010版清除病毒手记 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛企业产品讨论区 瑞星2010新品体验挑战专区 瑞星组合版2010公测 “菜鸟”利用瑞星杀毒软件2010版清除病毒手记

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[RAV] “菜鸟”利用瑞星杀毒软件2010版清除病毒手记

本主题由版主 ★蓝色羽毛★ 于 2009-6-29 1:23:34 执行设置高亮操作

★蓝色羽毛★ 版主帖子:4322 注册: 2004-02-22 来自:	发表于： 2009-06-29 00:42 \| 只看楼主短消息资料字号：小中大 1楼 “菜鸟”利用瑞星杀毒软件2010版清除病毒手记通过收集用户长期以来在使用瑞星杀毒软件的过程中所提出的建议与意见，同时经过瑞星工程师近一年的潜心研发与全力打造，瑞星2010年度新品：“瑞星杀毒软件2010版”（以下简称“瑞星2010版”）已于6月23日推出其测试版，并诚邀广大反病毒爱好者进行公开“暴力”测试。笔者本身也是一名反病毒爱好者，对测试新品杀毒软件有着浓厚的兴趣，这次运气还算不错，在6月23日当天有幸申请到了公测序列号。正如公测主页上所说：新版产品有多少改变不重要，能否有效截杀木马病毒，才是问题的关键。瑞星2010新品采用了许多新技术、新功能，产品架构进行了优化和创新，对新病毒的快速响应反应能力有了极大的提升，是一款不可多得，家居必备的杀毒软件，有了它，拥有一个安全、稳定的系统将不再是梦想。好了，废话不多说，现在让大家马上跟随笔者，体验一下“菜鸟”利用瑞星杀毒软件2010版清除病毒的全过程。首先，笔者先说明为什么这篇手记的题目定为：“菜鸟”利用瑞星杀毒软件2010版清除病毒。笔者这几天一直在关注着我们的测试论坛上各位高手、前辈所发的各类测试帖，其中不乏精品，让笔者学到了许多测试技巧与反病毒知识，真是大开眼界，受益匪浅。在看帖的同时，笔者也感觉到大家的测试帖多集中于用虚拟机+XP原版+瑞星2010版高主防设置来测试样本病毒，当然这对找出主防BUG与漏洞是有利而无一害的，还能帮助瑞星2010版进一步提高其整体防御实力。但是对于广大普通用户来说，可能意义就不是太大了。至于为什么，下面我会说清楚。以笔者观察多年为例：⑴笔者周围的同事多是用电脑来办公的，他们对电脑病毒知识都不是那么感兴趣，电脑一旦中毒，稍微会弄的同事也就是下个杀毒软件来清除病毒，如果遇到不会弄的或者清除不掉的，一键还原便成了他们的杀手锏，办公室里面的MM就更加不用说了，她们的系统需要重装那就是家常便饭。⑵随着中国股市的不断转暖，笔者认识的一些大龄朋友纷纷加入炒股大军，而他们由于年纪及身体原因，不方便整天奔波忙碌于各类券商的交易大厅。基本都是配置一台性能较差，适于炒股的电脑。而这些大龄朋友，你想让他们去了解一下反病毒知识，在笔者看来都很有难度，毕竟精力有限，买哪只股票都还没研究透彻，怎么可能去研究反病毒知识。中毒了也就是找维修公司过来弄下，实在不行也就重装罢了。⑶宅男、宅女我想就不用我多说了吧，我有一部分老同学就是过着这样的生活，WOW要不是关服了，还不知道什么时候能见上他们一面，整天都说没有空，什么副本啦，G团啦打个不停。而他们基本上也是普通的电脑用户，反病毒意识也不强，要不然怎么还会有人抱怨装备又被盗了……。因此，通过笔者上面的总结不难看出：普通用户或者说是反病毒方面的菜鸟，他们是不会去研究杀毒软件的主防设置的，电脑在他们手中只是一种工具。他们的电脑如果中毒了也就是装个杀毒软件进行查杀，基本上用的就是杀毒软件的默认设置，还不能解决最后就是重装系统了，很多杀毒软件辅助工具他们也并不会用。所以，笔者这篇手记将从另一个角度，就是从菜鸟的角度来测试瑞星2010版，笔者将摈弃如：SRE、冰刃、SSM、Tiny等反病毒工具，在真实系统且已经中毒的环境下，完全依靠瑞星2010版清除所有的病毒，尽量模仿菜鸟杀毒的全过程，以求客观、公正体现出瑞星2010版强大的杀毒能力。接下来介绍一下用于测试瑞星2010版的两台电脑的基本情况。两台电脑均采用雨林木风Ghost XP SP3 9.9装机版系统，一台电脑原装有瑞星2009版，不过久未更新且监控已被病毒终止。另一台为了游戏流畅而选择“裸奔”。由于雨林木风系统默认将Windows Update设置为关闭，故两台电脑的系统补丁均只更新到去年12月份。在这里提醒一下各位新手，由于很多修改版的XP系统都默认关闭了Windows Update，目的是为了优化系统性能同时阻止微软的WGA，但是这种设置却给系统安全带来了隐患，很多新出现的系统漏洞将无法得到修补，例如：雨林木风Ghost XP SP3 9.9装机版对MS08—067漏洞已做出修补，但是对MS09—002漏洞就无能为力了，而后来的雨林木风10+版本均为山寨版本，安全性也不能得到保证。因此，笔者建议新手一定要将Windows Update设置为开启，其实微软曾经表示过，WGA正式推出后用户在访问微软下载中心、Microsoft Update网站、Windows Update网站进行大部分Windows下载时需要通过正版验证。但所有Windows用户均可通过打开“自动更新”功能，则不需要通过正版验证，且据笔者测试雨林木风Ghost XP SP3 9.9装机版的结果表明，即使用户访问Windows Update网站进行补丁更新，该版本也能通过微软的WGA认证，所以普通用户无需过分担心。下面我们来看看第一台电脑中毒的情况，由所截图片可以看出原来IE主页设置为hao123.com，现已被改为339D.com且无法改回，尝试打开“瑞星”、“江民”，“金山”等杀毒软件的首页均立刻被关闭，打开瑞星主程序也一样被关闭，系统右下侧托盘区出现类似QQ消息的图标（图一），未命名1.JPG (262.61 K) 2009-6-29 0:50:44 但实际上笔者并未打开QQ，点击该消息提示您已中奖（图二），未命名2.JPG (174.59 K) 2009-6-29 0:50:44 不过大家都知道这是骗局。调出任务管理器，可以看到一些可疑进程，QQ和IE均未启动（图三），未命名3.JPG (204.26 K) 2009-6-29 0:50:44 但管理器里却能看到进程，分析可知QQ.EXE为假冒QQ消息的病毒进程，而IE进程是因为有病毒插入IE而在后台访问网络所致。再用WINRAR查看每个分区的根目录，均发现有AutoRun.inf和SysAnti.exe文件（图四），未命名4.JPG (131.50 K) 2009-6-29 0:50:44 不过病毒没有进行映像劫持，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options下并未看到瑞星杀毒软件的程序文件名，故将过期的瑞星2009版卸载，安装瑞星2010版，在安装过程中瑞星安装程序也未被病毒关闭，不过建议新手不要一路点击“下一步”进行安装，在选择安装组件的界面处建议按此图（图五）未命名5.JPG (44.89 K) 2009-6-29 0:50:44 进行选择性安装，毕竟对于大多数普通用户来说，这些组件作用不大，只要能杀毒就行了。如果用户不是使用Outlook等收信软件进行收信，建议邮件监控也可不必安装，既然不用何必浪费宝贵的电脑资源呢？不一会提示安装完成（图六），未命名6.JPG (28.76 K) 2009-6-29 0:54:47 重新启动后，瑞星还原了SSDT列表，久违的绿伞终于出现，监控立刻发现病毒，由于病毒的DLL文件被删除，故开机加载出错（图七）。未命名7.JPG (192.31 K) 2009-6-29 0:54:47 将瑞星的查杀级别设置为“高”，立刻进行全盘杀毒，不久病毒全部被清除（图八、九），未命名8.JPG (188.70 K) 2009-6-29 0:54:47 未命名444.JPG (225.19 K) 2009-6-29 1:00:36 至此这台电脑的杀毒过程全部结束。总的来说，这台电脑中毒还不算太深，病毒虽然历遍进程，查找杀毒软件的进程名加以结束，但是由于病毒并不是周期性的还原SSDT列表，在安装瑞星2010版后，瑞星对SSDT列表进行了恢复，故自我防护得以生效，病毒无法终止瑞星进程，接着瑞星成功启动监控将活动在内存中的病毒清除。整个杀毒过程还算顺利，没遇到太大的问题，不过接下来的第二台电脑处理起来就比较棘手了。第二台电脑从界面上看就知道中毒了，由于字体文件被破坏，很多窗口显示的字体都变成了方框（图十），未命名24.JPG (105.02 K) 2009-6-29 1:00:36 IE不停地弹出窗口，提示您成为今天幸运星等中奖信息（图十一），未命名21.JPG (86.04 K) 2009-6-29 1:00:36 提醒一下这也是假的消息，希望广大用户不要上当受骗。调出任务管理器与系统配置实用程序（图十二、十三），未命23.JPG (55.80 K) 2009-6-29 1:00:36 未命名111111.JPG (44.50 K) 2009-6-29 1:00:36 可以看到一些可疑进程和启动项目，WINRAR查看盘符根目录均发现有AutoRun.inf和1.exe文件（图十四），未命名22.JPG (111.28 K) 2009-6-29 1:12:02 同时病毒也进行了映像劫持，不少杀毒软件的程序文件均包含其中（图十五）。未命名222.JPG (79.13 K) 2009-6-29 1:12:02 与上一台电脑一样，尝试打开几款杀毒软件的主页均被关闭，病毒在释放pcidump.sys驱动还原SSDT列表后，调用taskkill.exe终止大多数反病毒软件进程，接下来就是不断地在后台下载病毒。对病毒有了大致了解后，开始研究解决方法，首先是修改注册表，将映像劫持项删除，不然一些程序将无法启动，当然也可通过设置权限来解决。接下来就是安装瑞星2010版，安装正常完成，重启后问题来了，进入桌面后系统感觉很卡，不断弹出错误提示（图十六），未命名26.JPG (109.90 K) 2009-6-29 1:12:02 其实是因为瑞星在重启过后恢复了SSDT列表，虽然在桌面托盘区看不到绿伞，但是监控实际上已经启动。由于监控不断尝试清除插入系统进程的病毒，而病毒又在尝试反复插入系统进程，故系统不断弹出错误提示框，笔者点了N次确定，可是还是无法将错误提示框点掉。由于系统太卡已无法继续操作，无奈之下笔者只好选择重新启动系统。再次进入系统后，不卡了，但是瑞星已无法开启，打开即被关闭，经过分析，病毒应该是再次还原了SSDT列表，瑞星自我保护无法启动，从而造成这种现象的产生。但是，无论是内核级的病毒或者是内核级的杀毒软件，为了系统的稳定，它们还原SSDT列表也是有限度的，它们不可能时时刻刻、分分秒秒在还原SSDT列表，因此，笔者不断重复尝试修复瑞星2010版，使其在恢复SSDT列表的时候与病毒打个时间差，能先于病毒启动自我保护。功夫不负有心人，在经过几次尝试后，瑞星成功启动，笔者立刻打开瑞星主程序进行关键区域的查杀，先将内存中及系统目录下的病毒文件清除掉，剩下的残余病毒就好解决了。不过这时候试图调出任务管理器，还是被监控拦截（图十七），未命名6666.JPG (150.53 K) 2009-6-29 1:12:02 毕竟这是在带毒环境下杀毒，很多病毒需要重启后才能删除，出现这种提示还是可以理解的。关键区域查杀完成后，再次重新启动系统，伞是出来了，但是其他问题又出现了，打开瑞星主程序提示comres.dll文件丢失（图十八），未命名666666.JPG (117.89 K) 2009-6-29 1:12:02 这个倒很好解决，从其他电脑复制一个comres.dll文件即可。然后选择全盘查杀顺利将所有病毒清除，通过日志及病毒隔离区可以看到这台电脑中毒还是很严重的，最后病毒查杀数目为2136个（图十九、二十）。未命名888888.JPG (64.19 K) 2009-6-29 1:12:02 病毒解决后将系统字库进行了修复，至此第二台电脑的杀毒工作圆满结束，系统重新恢复正常。通过这次测试，只是让普通用户明白，杀毒没有大家想象的这么困难，只依靠瑞星杀毒软件还是可以将病毒清除的，并不是说非要一些反病毒工具才能顺利杀毒。学会使用反病毒工具有助于我们更快、更好、更方便地解决问题罢了。其次我们可以看到瑞星2010版其强大的杀毒能力与防御功能，任何微小的安全隐患都逃不过它的检测，其友好的界面，良好的稳定性与可操作性，都让普通用户轻松上手。最后就是建议普通用户在平时使用电脑的时候，还是要以防为主，做到防治结合才能确保个人电脑的安全，毕竟瑞星设计的初衷还是以防为主，其网页防挂马功能正是防御的最好体现。笔者在测试完毕后用Rootkit Unhooker软件对SSDT列表进行了还原，发现瑞星在重新启动电脑或者选择修复后会恢复SSDT列表，但其并不具备周期性恢复SSDT列表的功能，因此在对抗周期性还原SSDT列表的病毒上可能会处于下风。不过笔者倒是赞同瑞星不设置周期性恢复SSDT列表的功能，毕竟电脑是拿来用的，做到太底层并不利于用户的正常使用。笔者在用Rootkit Unhooker软件进行“暴力”测试的时候都出现了几次蓝屏，因此与其让内核级的杀毒软件与内核级的病毒在系统底层死磕，浪费用户电脑资源，还不如在系统干净的时候装上瑞星，补好系统漏洞，养成良好的使用习惯，不让病毒有可乘之机。最后，笔者相信在广大反病毒爱好者的全力测试以及热心反馈下，等到瑞星2010正式版发布后，其品质会更上一层楼，同时也祝北京瑞星科技股份有限公司越做越好！附件: 文件名:未命名1.JPG 下载次数:2521 文件类型:image/pjpeg 文件大小: 上传时间:2009-6-29 0:42:00 描述:jpg ★蓝色羽毛★ 最后编辑于 2009-07-18 14:26:29 堕入黑暗里的可怜影子啊！诋毁伤害他人！充满罪恶的灵魂！想死一次吗？
★蓝色羽毛★ 版主帖子:4322 注册: 2004-02-22 来自:	分享到：

★蓝色羽毛★ 版主帖子:4322 注册: 2004-02-22 来自:	发表于： 2009-06-29 01:22 \| 只看楼主短消息资料字号：小中大 2楼回复: “菜鸟”利用瑞星杀毒软件2010版清除病毒手记因论坛不允许一次性上传二十个附件，故在此补第二十张图片。未命名33333333.JPG (221.68 K) 2009-6-29 1:22:22 堕入黑暗里的可怜影子啊！诋毁伤害他人！充满罪恶的灵魂！想死一次吗？
★蓝色羽毛★ 版主帖子:4322 注册: 2004-02-22 来自:

bcd123 锋芒艾服狮帖子:1635 注册: 2008-12-13 来自:358团	发表于： 2009-06-29 16:38 \| 短消息资料字号：小中大 3楼回复：“菜鸟”利用瑞星杀毒软件2010版清除病毒手记好文章啊, 学习一下~
bcd123 锋芒艾服狮帖子:1635 注册: 2008-12-13 来自:358团

30367 强壮不惑狮帖子:883 注册: 2008-10-08 来自:	发表于： 2009-06-29 16:47 \| 短消息资料字号：小中大 4楼回复：“菜鸟”利用瑞星杀毒软件2010版清除病毒手记盘符根目录里发现的AutoRun.inf是不是病毒？？？
30367 强壮不惑狮帖子:883 注册: 2008-10-08 来自:

smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:	发表于： 2009-06-29 16:56 \| 短消息资料字号：小中大 5楼回复：“菜鸟”利用瑞星杀毒软件2010版清除病毒手记死牛..
smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:

Rain88888 初生襁褓狮帖子:11 注册: 2008-12-25 来自:	发表于： 2009-06-29 17:10 \| 短消息资料字号：小中大 6楼回复：“菜鸟”利用瑞星杀毒软件2010版清除病毒手记够暴力我爱瑞星全功能安全软件
Rain88888 初生襁褓狮帖子:11 注册: 2008-12-25 来自:

瑞星工程师14 在线技术支持工程师帖子:5134 注册: 2008-09-08 来自:	发表于： 2009-07-06 16:35 \| 短消息资料字号：小中大 7楼回复：“菜鸟”利用瑞星杀毒软件2010版清除病毒手记感谢楼主的分享，欢迎您继续深入测试。
瑞星工程师14 在线技术支持工程师帖子:5134 注册: 2008-09-08 来自:

走在你左边飘泊而立狮帖子:525 注册: 2006-11-28 来自:梵音战阁	发表于： 2009-07-06 17:24 \| 短消息资料字号：小中大 8楼回复：“菜鸟”利用瑞星杀毒软件2010版清除病毒手记你太帅了，这个测试好。曾经有一份记忆在记忆的深处曾经有一段过去让过去很痛苦曾经有一个恋人让恋人小声哭曾经有一种期待变期待为领悟曾经有一次相遇在相遇的最初曾经有一个笑颜让笑颜很模糊曾经有一半自己使自己迷了路
走在你左边飘泊而立狮帖子:525 注册: 2006-11-28 来自:梵音战阁

maomaojk 初生襁褓狮帖子:10 注册: 2008-07-28 来自:	发表于： 2009-07-18 11:46 \| 短消息资料字号：小中大 9楼回复 4F 30367 的帖子你都已经混到“强壮不惑狮”，还问这种菜鸟才会问的问题！它有可能是正常的，也有可能被病毒利用。
maomaojk 初生襁褓狮帖子:10 注册: 2008-07-28 来自:

万年寒冰快乐黄口狮帖子:223 注册: 2007-08-16 来自:	发表于： 2009-07-18 14:01 \| 短消息资料字号：小中大 10楼回复：“菜鸟”利用瑞星杀毒软件2010版清除病毒手记呵呵，不错，确实从很“菜”的角度出发，相当有实用价值。
万年寒冰快乐黄口狮帖子:223 注册: 2007-08-16 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT