毕业论文
题目：计算机恶意程序手工查杀
论坛ID：辛达星郁
指导老师：卡卡论坛讲师
内容纲要：
(一)
常见第三方软件介绍
(二)
网马解解密
(三)
病毒行为分析
(四)
学习sre日志总结
(五)
学习使用瑞星杀毒软件总结
(六)
实习感言
(七)
附签到帖子
实习时间：2010-02-01 09:43——2010-03-21 04:37
（接下）

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Tablet PC 2.0; InfoPath.2)

对手工查杀的理解：
手工查杀故名思意就是利用“双手”对系统常见的安全项目进行检测和判断，对于“双手”我们可以理解为第三方辅助软件。我们在对病毒进行手工查杀的时候，就是借助第三方软件，来查看系统的关键部位，利用对系统基层知识来检测不明文件，判断文件路径，确定问题项所在，从而实现手工清理病毒的操作，即称为手工查杀。

（一）常见第三方软件介绍
这个是根据，月月置顶的反病毒工具的帖子说明，因为那里基本是最全的。
第一类工具，即扫描日志工具，这个日志是最能反映系统关键部位的工具。
1．sre大家都很熟悉，我就简单说明一下，这个工具对于病毒请理有很大的帮助，但是随着现在修改主页恶意程序的出现，这个工具很难扫描出问题，这样的篡改主页程序，其恶意行为就是篡改主页，在打开浏览器的时候，自动转向别修改的主页，这个主页包括挂马主页，另一中是导航主页，还有就是指向xxx，一方面是获取流量，另一方就是传播病毒
像这种程序杀毒软件之所谓，没有怎么拦截，主要是因为此行为，是属于普遍的行为，不能说之正常的，只能说是普通的，因为大家都可以修改自己的主页，这个恶意程序，也不破害汾河系统文件，最简单的就是修改注册表，把自己的主页添加进去，我一般在主动修改主页的时候都是系统自动修改注册表，说到这个工具对修改主页病毒没有什么作用，就看下一个扫描日志工具。

2．双IE及异常桌面图标扫描日志工具 
这个工具是月月想出来的，这样的工具也就月月能想的出来，这个工具原理很简单，就是对那些很容易被恶意程序修改的注册表键值的扫描，然后通过扫描的日志进行检测问题项。

3．瑞星听诊器：这个我就用月月的一句话来概括吧：“无奈时用听诊器扫描个日志，也能看，出点什么”。
扫描日志类的工具，也就这些，其他扫描日志都是对系统关键位置的扫描，原理都是一下，

第二类删除工具
我们往往通过日志，找到问题项，接下来就是通过删除工具将其删除。
我先从最早的单一删除工具说起
1．XDELBOX这个使我接触最早的单一删除工具了，对于单一删除工具一般只有删除功能
这个工具里，最显眼的地方是就是抑制再生，还有在dos模式下删除  这个些可以很好的删除驱动级的病毒
2．SmtDel删除工具，这个和上面的那个应该是同一个作者，这个工具是在上面的工具基础上，对代码进行了优化，新添加了一个镜像劫持修复功能，
删除文件工具还有，EasyDelete、超级巡警等，都是单一的删除工具，这些单一的删除工具可以很方便的协助手工查杀，删除病毒所创建的文件。
删除工具也包括冰刃和Wsyscheck工具、syscheck工具、XueTr工具、狙剑，这些工具说它们是删除工具感觉有点大才效用，不妨说他们是综合性反病毒工具
对于这些工具的简单使用我就不多说了，论坛里有相关资料。


（二）网马解密
对于网马解密，我是灵活利用工具进行解密的，因为我不懂任何语言，对于解密就是照猫画虎，通过利用工具各自优点，互相补充！ 最后完成网马解密。
总结一下网马解密的学习心得：
shellcode解密、alpha2解密、document.write解密等，这些解密方法无名老师已经给大家都讲过，我在说一些另类加密代码，这些都是我在学网马解密过程中遇到的。
1．md5加密网页 
这类解密就是直接document.write清除，或者将代码放到神器里运行一下，删除<script><\script>
相关代码：
strHTML+="@%16@GJ%5B%09_%0F%14%12%16%1B%085%3E%10%03%16%19BG%1AJ%5EA@%17Y%01%0B%";
strHTML+="0E%17C%01%04%07%00CE%04%07%06%20%1CF%7D%0C%25QALwrWtAH%16%15%18WWW%19%";
strHTML+="14uvurD%0B%3F%3CA%02K%13KC%1FSY%1B%14EV%02VS@%17T%0F%0D%08%17Cv%08%06%";
strHTML+="04CE%02%05%04%21%1B%18KC%1F%0D%0BV%1A%12S%02SSGYl2NY@%16@GJ%06%5B%12%1";
2．ID取值网马加密
document.writeln("<script src=\'"+id+"/a.jpg\'><\/script>");
像这样的代码一般都是有ID取值的，一般自己带入ID值，在解密的时候会有意想不到结果
3．梅罗上次47期网马解密教程
相关代码：
<src>/me-.html?id=?
if (id==u1)
  {
      XXXXXX;
      vip1();
  }
else(id==u2)
  vip2();
这个是那种将ID值带入的情况。
反正还有很多加密方式，只不过我没有遇到过，不懂就问呗！！我每一次在学习的时候，都有记笔记的习惯，我感觉对我这样一点语言基础的人来说从中受益很大。
（三）病毒行为分析
病毒行为分析一般流程：
1．完全运行样本之后，充分使病毒发挥自己的潜能。
2．在使用Wsyscheck工具、XueTr工具、冰刃等工具，查看中毒（这里蕴含的知识挺多的，基本都是根据自己的杀毒经验来分析）
3．扫描sre日志，这个工具不仅可以帮助求助者，也可以来帮助我们分析病毒所创建的进程，加载的进程的dll文件，创建的服务、驱动等动作
4．总结手工查杀方法
在病毒行为分析上，个人缺少很多系统基层知识。
比如说那些系统正常文件 注册表键值等，都不怎么了解，现在正在努力向猫叔学习，这方面猫叔最在行了，每次的病毒行为分析，我都会认真看过，然后在自己实验对不，反正写出来的分析结果和猫叔的相差甚远，自己感觉没有任何可比性。

（四）学习sre日志总结

总的来说就是“熟悉系统文件，常用软件的文件”，这样看日志的时候，才能更好的找出问题项，这句话好想是月月说的！！！
在进程名称，文件的路径，签名都要熟悉
例如：
PID: 1384 / SYSTEM][C:\WINDOWS\RavNT.exe
[瑞星, 1, 0, 0, 1]
这个进程一不注意会很容易漏掉，看路径就可以知道是问题项，有时再看路径的时候需要进程名称、文件路径，、签名等相互配合的。
1．在看日志的时候，就是需要多利用搜索引擎，这个搜索引擎的可不要小看，遇到自己不认识文件就需要谷歌或者百度一下，进行这方面的资料的查找。
2．这个sre日志我还有个白名单和黑名单，这里的黑白名单和PLA日志分析的工具的规则是同步的，这个是自己慢慢积累的，看日志的时候这个白名单和黑名单帮助了我很大的忙，效率也提高了不少。
3。我总是在坚持月月“盲看”日志的观点，自己在看日志的时候，总是盲看，看完之后，找到问题项，如果自己感觉漏掉些什么，这就放到日志分析助手里进行检查，然后通过分析助手进行最后的帖子回复整理。
接下来，我就按照日志扫描选项来说一下：
第一项 启动项目之进程
简单说一下，就是系统最基本的进程 ，了解这些基本的进程，再加上进程后面的签名就可以来判断，但是对于签名要区别于所属公司为<>、<N/A>或假冒<Microsoft Corporation>。
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
SPOOLSV.EXE
explorer.exe
internat.exe
等，这些都是在看过很多日志后，自己直接加入白名单即可，日志看多了，自然而然的就记住了。
这里的系统进程也需要注意路径的。
第二项  启动项之注册表
这里的启动方式一般是通过注册表，还有就是在系统配置文件启动里，我还遇到一次在system.ini里启动文件的，还有一种启动方式就是QQ最爱呆的地方：
C:\Documents and Settings\User\「开始」菜单\程序\启动
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe,恶意程序"
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,恶意程序"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_Dlls"="恶意程序DLL文件"
这里直接删除病毒程序即可，这个在上面的进程里，这里<AppInit_DLLs><kmon.dll> 这个是瑞星卡卡的文件修改，但是是正常的，讲义里提到过。
说到这个文件C:\WINDOWS\system32\userinit.exe,就是这个文件后面的逗号，说只要去掉就会再进入系统的时候出现问题，但是有的日志里没有这个逗号，系统启动也是很正常的。
还有就是映像劫持
[HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\Windows
这里就不多说了，网上有很多解说，这里直接用工具直接修复即可
第三项  服务 
注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
病毒服务的特征：
1．被rundll32.exe、Svchost.exe等系统进程调用；
2．【】内的前后两项内容相同；
3．所属公司为<N/A>或假冒<Microsoft Corporation>
4．启动文件指向系统目录
第四  驱动
1．除一些知名的流氓软件的驱动外，病毒文件名字都随机产生，所以怪异没有任何含义，尤其是包含数字的要注意。
2．第一行的第二个[]内表示运行状态和启动类型，病毒驱动一般为： [Running/Boot Start]
3．第一行的第一个[]内的“/”前后两项内容相同并且和文件名一样，且全部为小写；
4．所属公司为<>?<N/A>或假冒<Microsoft Corporation>
第五  浏览器加载项
注意所属公司为<>、<N/A>或假冒<Microsoft Corporation>，
这一项里有如果有很多插件就可以直接用卡卡安全助手清理或者用windows清理助手
第六
Autorun.inf项
U盘病毒最常用的计量，注意这一项，在删除病毒文件的时候，要告诉求助者，不要双击硬盘的操作。
第七  文件关联
对于文件问题这里，病毒会修改这里。
例如：
.TXT
Error. [C:\WINDOWS\notepad.exe 这里添加恶意程序 %1]
通过双击打开txt格式文件再次运行病毒程序，这里直接用sre提供的文件关联修复即可
第八
HOSTS文件
对于hosts文件，这个文件一般是用来屏蔽不良网站的，但是病毒在这里也用上屏蔽了，病毒是屏蔽安全杀毒软件的网站，防止在杀毒官网下载杀毒程序，这里的解决方法就是让求助者利用sre日志工具重置hosts即可。

（五）学习使用瑞星杀毒软件使用总结

对于瑞星杀毒软件的使用，自己在方面没有做到位，一般都是利用瑞星扫描病毒样本，看看是否报毒，如果不报毒，就直接提交样本。现在正想学习熟练运用杀毒软件来防御病毒，充分利用瑞星杀毒软件的各项功能进行各方面的熟悉和运用。
学习使用瑞星杀毒软件才到这个程度，心理感觉有些内疚，感觉有点对不起瑞星，对不起讲师，反正心理不知道说什么好，心理就是有点纠结。(tom2000老师)

（五）实习感言

对于这样的活动我想每次都参加，因为这种方式使得自己在学习电脑技术上有了动力，从中也使得自己有目标，有追求。
这学习才有意思，我可不想每天枯燥不言不语的学东西，那多没有意思！！累的时候时候还可以到茶馆休息一下，感觉就是不一样，这才叫劳逸结合。就因为这样使得我一点在电脑技术上进步很快（呵呵，炫耀一下啊，给自己一点鼓励）， 因为我很喜欢电脑，我算了算，接触电脑差不多快一年半了，自己学的专业和电脑没有一点关系，但是之所以这么疯狂的学电脑，就一点原因就是自己喜欢，自己的兴趣。我是在2008年注册的，这个时间也可以见证我学电脑的时间，当时家里有了一个电脑，就知道瑞星这个杀毒软件，但是就安装了他，随后就电脑出问题了，就稀里糊涂的到了瑞星卡卡论坛，在注册的时候还出笑话了，因为当时不知道什么叫做注册，就是随便把那几个空白的地方按照提示填上了，那个电子邮箱还是我自己编写的，呵呵！名字叫辛达，之所以我现在这个名字古怪就是因为这个原因，这个辛达已经注册过了，我在不能在注册了，当时那个号坚持了一个月呢，（我当时在浏览器里设置了密码保存），后来就随便想了这样的名字。在卡卡论坛实习的日子里，我每天都会看技术区的回复求助的帖子，对于这些回复的帖子，可都是精华啊！从中我也就可以填补自己的不足，然后就可以很好的处理相似的求助贴，当遇到相似的帖子我也就可以应对了，可以更好的帮助求助者，也不断的在充实自己的知识，呵呵！一箭双雕！！
在实习的这段日子里，说实话开始感觉有点压力，也有过放弃的念头，但后来一直坚持到现在，每天坚持回帖，每次都恶补自己的知识储备，所以说这又是对我学习耐力的一次考验。
说说我的签到帖子吧！！ 见到贴就是我的个性签名，每天随着自己的心情不断的在跟新，还有就是在家里签到都是在第二天零点零分准时签到，寒假在家的这段时间力，是电脑陪伴我度过这个寒冷的假期，对以作息时间都是网上一二点睡觉，然后早上七八点起床，然后“打开电脑，上卡卡论坛”继续为实现自己的目标而努力，追求自己的梦想。
最后感谢cctv、mtv、感谢瑞星给次实习的机会，感谢卡卡论坛给我表演的“场地”，感谢这次这次实习培训的讲师，感觉大家。

附签到帖子：http://bbs.ikaka.com/showtopic-8693692.aspx

在卡卡确实学到了很多的知识，特别是对电脑有了更多的了解，其实病毒每天都在更新，但是百变不离其中，键盘记录还有send your password or 完全拿到你的权限，还有的就是某些BT人无聊写的BTworm。
现在国内的还是木马横行，额，最近看了很多资料，想好好的吧编程学好。

最后我也感谢CCTV，MTV 卡卡论坛。。。。。。。


呵呵，加油哦~辛达！

顺利毕业~

这篇论文写的不错 

辛达 我的印象也很深的一位

竟然发觉没啥好说的了

┾断┡ē誸 

谢谢你欣赏

很有才气的一位孩子，看好你！

我会坚持到，实习结束的那一天的

我永不放弃