回复:2010年2月6日[流行病毒概况以及手动查杀方法]-讲义
1:现在一般的病毒已经不可能那么傻有自己的进程了,有的话一般也是隐藏了,或者说自我保护巨强的,对吧,老师?
2:有的病毒会通过注入到正常程序达到启动或者说运行的效果,我们要怎么知道这个看起来正常的系统进程被注入了呢?要怎么对其进行查杀呢?还有就是病毒是通过什么方式实现的呢?是通过加载dll文件吗?
3:HOOK技术可以实现屏幕和键盘的记录,这我是知道的,问题是,我们应该用什么好的工具查看可以的HOOK呢,我们又该怎么判定这个是不是正常的HOOK呢?冰刃中的SSDT是不是就可以查看HOOK?遇到了HOOK要怎么处理?
4:dll文件是叫动态函数链接库,有些用户误将dll文件删除会发现不能正常启动计算机的现象,如果说木马病毒利用的dll文件,我们怎么在N多正常的DLL文件中发现这个就是木马的DLL文件呢?就算找到了,我们是不是应该先结束掉启动它的进程完了再删除dll文件呢?要是这个dll文件是跟随某些个重要的进程启动的呢,你一结束进程系统就直接蓝色了?这样的情况我们又要怎么处理呢?
5:文中提到了替换文件,我们一般查杀的时候都是用杀毒软件查杀,当然众所周知有杀软有些个病毒是无法查杀的,当我们的杀软对病毒束手无策时,我们应该怎样手动的查出替换文件和被劫持的dll呢?
6:传说中的ring0是不是和系统的驱动程序有关系?
7:如果说病毒也可以进入ring0这里的话,那么是不是可以杀掉杀软呢?如果说杀软这最后一道防线都被攻陷了,我们要怎么来处理病毒呢?
8:刚才查了下rootkit的资料,在想,要是木马病毒使用了rootkit技术,是不是就可以隐身了么?如果连进程都没有,甚至连通讯端口都没有,my god,这不就无敌了吗?= =!!大汗。。。怎么判定自己的计算机存在不存在rootkit呢?要是遇到了这么个情况要怎么个处理啊~
9:文章最后提到了采用冰刃等工具来查杀,如果说用户的计算机是Vista或者说是win7,那个冰刃根本没法运行又该怎么办呢?
10:对于感染性的病毒,我们那PEID查入口点干嘛?
11:对于杀不死的病毒中,那个具有U盘传播的,要怎么用winrar查看呢,我们直接拿冰刃打开我的电脑直接把autorun.inf咔嚓掉不行吗?这样会不会中招?
12:前些日子中了回worm,是通过U盘感染的,我们的一台电脑中招后,我拿U盘拷了个软件,就中招了,对于这些U盘感染性病毒,我们有什么好的放法防范吗?还有就是有什么好的方法杀掉?排除杀毒软件这一点,当时的情况是杀软直接无效,能查出是什么病毒但是无法清除。
13:PE系统是不是就是我们平常使用的ISO啊,不好意思,没使用过这方面的工具,希望讲解下。
今个问题有点多,因为自己曾经深受病毒困扰,有的同学中的病毒都很奇怪,经常的让我过去整电脑,我汗啊,嘛病毒都有,有的甚至连重装系统都没办法结局,貌似也有感染别的盘,希望老师能够解答,谢谢了~
还有就是老师能不能拿confickr这个病毒实例来讲解下清除的过程呢,因为前些日子在中完威金后就是中的这个,当时搞了一天,头都大了,现在还不知道当时怎么搞好的,我汗。。麻烦了,老师~
