给大家提供一些查毒、杀毒、分析病毒的经验
本人才疏学浅,只是给大家提供一种思路,希望给大家有抛砖引玉的作用,还请大家可以认真看完,如果有写的不对的请大家指出来。
早在dos时期,病毒就非常流行了,虽然那个时候都没有互联网,但是病毒却已经流行起来了,那个时候通常都是用软盘的,所以病毒大多都是通过软盘来传播,因为DOS系统的权限大,导致了各色的病毒都有,有破坏硬盘的也有破坏主板的,就像CIH。
现在是
windows时代,病毒的传播方式就更加的广泛了,要想预防病毒,那必须得从病毒的特征开始说起,病毒分两种,破坏型病毒和木马型病毒,破坏性病毒纯粹就是作者炫耀技术而编写的,而木马型病毒是为了金钱利益(盗游戏帐号,盗网上银行卡,远程控制电脑,作为肉鸡)。而在中国,真正会中病毒的少,我拿到的50个样本,48个是木马,1个是感染型木马,1个是病毒,可见中国木马是多么的猖獗。 切入正题吧,我给大家提供一些上网安全的技巧:
1.预防
U盘病毒的办法:U盘病毒传播最主要的就是 autorun.inf 这个文件,我的办法就是在这个文件夹中建立一个文件夹,名字叫做autorun,.inf ,然后再在这个文件夹中建立两个文件,在cmd下建立 md fff..\ 回车 md aaa..\回车,就OK了,这样你的U盘就不会中病毒了,不过我还看到过一种病毒是把你原来在U盘的文件加隐藏掉了,然后把病毒复制到你的文件夹中,图标和文件夹颜色一模一样,你双击病毒,他也能打开文件夹,这个,推家大家把后缀名显示出来,方法就是,我的电脑-工具-文件夹选项-查看-已知文件类型的扩展名前面的钩子去掉,点确定就可以了,你就可以看看你的U盘中的文件夹,是.exe,那么简单,直接删除,然后用上面同样的方法找到显示所有文件,你就能看见被隐藏掉的文件夹了,在文件夹属性中去掉隐藏标志就好啦~!2.
一定要把你的上网浏览器升级到最新版本,
IE8,我到现在还是能够看到许许多多的人还在用IE6,那个浏览器是非常非常老了,漏洞特别多,非常不推荐使用!用IE8,基本上就不用怕网页挂马了,因为在黑市上销售的网马都是针对IE6系统的,升级到IE8,我不敢保证全部,至少也有98%的网马对你无效了,如果IE8出现了什么安全漏洞,那就不保证了,所以,我们必须要把浏览器的漏洞补丁尽快打上,所以大家一定要安装瑞星卡卡,一有系统漏洞就赶紧补上,那样才会保证100%的安全,有的人说装了杀毒软件就没事了,其实不然,现在网马很是厉害,可以绕过杀毒软件下木马,或者绕过杀软的主动防御,虽然我不知道原理,但是我见过这类网马。 当然,如果你不喜欢用
IE浏览器,也可以使用非IE内核的浏览器,比如说Chorme, Opera, FireFox等等,都是非常不错的选择,我就喜欢用Chorme(谷歌浏览器)。 预防病毒,还有一个非常重要,就是
不要去一些不知名的网络,
更不要去一些不知名的网络下载软件,其实网马的中率能达到
20%是已经非常高的了,一般的网马大概都是在1-2%,所以网马还要靠高的流量才能中的机器多,所以很多人都把木马和软件捆绑在一起,给大家下载。 3.
那么如何鉴别下载的软件是否安全呢?第一,就是不要去不知名的网站下载,第二,下载的软件,你可以上传到杀毒网站查看杀毒情况,因为杀毒网会有50-60种杀毒软件扫描你上传的程序是否是病毒,然后返回给你一张报告单,哪些杀软提示有病毒,哪些杀软没有提示病毒的,当然这个只是参考,如果有超过4个杀软提示病毒,那么你得小心点了。附,一些常用的杀毒网网址。http://www.virustotal.com/zh-cn/VirusTotal 是一款可疑文件分析服务, 通过各种知名反病毒引擎, 对您所上传的文件进行检测, 以判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染.特点
:•免费
, 独立的服务•使用多种反病毒引擎
•实时自动更新病毒定义库
•每款反病毒引擎都将显示详细的结果
•实时全球统计数据
我推荐使用这个,因为我经常用
:-)还有一点非常重要,
大家不要把刚刚下载下来的压缩包就给传上去,那样有可能查不到病毒,为什么呢,有的下载的地方,解压需要密码,查毒网是没有义务给你解密的,所以你必须把密码去掉再上传,不然一个病毒也没有查到。
还有一种就是本地分析,
我推荐的软件就是SandieBox, 沙盘软件,这个软件.沙盘也为HIPS的一种,称为沙盘HIPS. Sandboxie
允许你在“沙盘环境”中运行浏览器或其他程序,这个“沙盘”个人感觉就是跟“影子”一样的概念罢了。因此,在沙盘中运行的程序所产生的变化可以随时删除。可用来保护浏览网页时真实系统的安全,也可以用来清除上网、运行程序的痕迹,还可以用来测试软件,测试病毒等用途。即使在沙盘进程中下载的文件,也可以随着沙盘的清空而删除。 如果大家对“影子”
/“沙盘”这2个概念还不清楚的话,这里引用官方的一段话:电脑就像一张纸,程序的运行与改动,就像将字写在纸上。而Sandboxie就相当于在纸上放了块玻璃,程序的运行与改动就像写在了那块玻璃上,除去玻璃,纸上还是一点改变都没有的。 如果还需要再解释一下的话,
Sandboxie就是相当于在你要运行的程序与系统之间建立一个隔离层,当我们运行程序的时候,就会将程序直接调入该隔层中,此后,程序对系统所做的修改,都会被限制在这个隔离层中,而不会真正地去触及系统。这样的话,就算电脑感染了病毒和木马,也不会对系统造成真正的伤害。 是不是跟影子系统很像?呵呵,其实它们之间还有一个很大的区别,就是影子系统是对整个系统进行保护,而
Sandboxie是对电脑的局部进行保护。Sandboxie一般是设置某个程序在“沙盘”中运行,而不是将整个Windows都置于“影子”模式下。也就是可以很灵活地设置一个或几个觉得“危险”的程序运行在“沙盘”,而其他一切则正常运行。因此,对普通用户来说,Sandboxie的局部保护功能可能会更加方便。而且,用户还可以设置让Sandboxie像影子系统一样对整个系统进行保护的哦。 一、上网无忧,用
SandBoxie在沙盘中运行浏览器 我们打开
SandBoxie后,在右下角的图标中右键选择“运行沙盘→IE浏览器”,这时候会自动弹出标题栏中有两个“[#]”符号的IE浏览器,这就说明IE已经处于保护状态。去掉保护之后,历史记录连同IE之间安装过的流氓插件、下载的文件都会随之消失。 提醒:
Sandboxie本身只能对第一个IE浏览器进程进行保护,不过用桌面上 Sandboxie的保护IE的快捷方式来上网,无论打开多少个IE浏览器,都在保护状态下。 二、测试安装危险程序
木马和病毒总是比杀毒软件抢先一步。所以我们在安装程序的时候,即时杀毒软件没有报毒,也存在一定的风险。但使用
Sandboxie后,就会将风险降低为零了。 选要安装或解压的不明程序,按鼠标右键,选择“用沙盘运行”(图
3),就会以保护的形式来安装或解压该程序。同样,在程序的安装窗口中会发现标题栏上有两个“[#]”符号代表受保护。笔者在安装一个捆绑木马的程序时做了保护措施。恢复系统之后,发现在这期间安装的程序包括木马都消失了,相当的安全。 三、保护整个电脑,充当半个“影子系统”
Sandboxie
还提供整个电脑的保护,在 Sandboxie中选择“功能”菜单,然后“选择运行沙盘→Windows 资源管理器”,就会自动弹出有两个“[#]”符号的“我的电脑”窗口。之后对整个电脑进行任意操作,包括格式化分区、删除文件、拷贝文件等都很安全。恢复的方法很简单。在Sandboxie主界面选择“配置 →沙盘设置→设置自动清理选项”,将隔离层中的内容清除即可。下载了软件,装好了沙盘,就打开沙盘吧,然后把你下载的程序脱进去,看看沙盘中的进程,除了你下载的那个程序的进程外,还有没有别的进程。比如说,你看到有
iexplore.exe 但是又没有跳出IE 浏览器,那么肯定是捆绑了灰鸽子之类的木马了。如果你看到有
svchost.exe 那么肯定是中了PcShare之类的木马了。如果你看到有
rundll32.exe出来,那么恭喜!多半也是dll木马程序。如果你看到有
explore.exe 那么恭喜!又是木马!病毒木马都喜欢注入以上这些进程中去,有的木马杀毒软件也查不出来,那么就要靠自己去分析了。
Sandboxie是一个人人都能学会的好软件! 在这里,我吐血推荐大家都去安装一个!!!http://www.skycn.com/soft/51742.html以上是沙盘下载地址
对于已经中了病毒,杀毒软件又杀不出来的怎么办?推家大家使用Sreng扫描软件,扫描一份日至,然后传到 卡卡安全论坛的 反病毒区,让安全工程师给你分析,一般人在的话,最多20分钟就会有结果了。http://bbs.ikaka.com/showtopic-8442813.aspx大家可以去这个网址下载这个软件。
对于安全工程师的回答,用暴力删除工具把病毒删除就
OK啦~防火墙也很有作用,可以查看远程
IP,在这里,我想对瑞星网络防火墙提出一点建议,就是建议瑞星防火墙中能够提示IP所在的地理位置,这样的话,更加人性化吧,有时候我想查某个进程中的IP是哪里的,我还要记下IP,去网上查,非常麻烦,集成在防火墙中不是更好?这方面x就做的很不错。用防火墙查看一些容易被木马注入的进程是很重要的,比如svchost.exe ,iexplore.exe Explore.exe 等。好了,只要大家掌握了以上这些技巧,基本上就不用怕毒啦!
欢迎转载,转载请标明出处:瑞星卡卡安全论坛 By xiaomajia52
2009.8.25
