界面模式
登录
注册
会员
帮助
加入收藏夹
客服微信
瑞星卡卡安全论坛
企业产品讨论区
瑞星2010新品体验挑战专区
瑞星组合版2010公测
“菜鸟”利用瑞星杀毒软件2010版清除病毒手记
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星个人防火墙V16
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
技术交流区
反病毒/反流氓软件论坛
可疑文件交流
恶意网站交流
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
影音贴图
瑞星安全游戏
活动专区
本站站务区
站务
瑞星“1+2”全新解决方案巡展在广州画上圆满句号
叶院长揭秘:瑞星如何运用AI技术革新网络安全
俄乌冲突加剧网络攻击风险 白俄罗斯政府遭APT攻击
瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
实力拉满 瑞星第四十七次通过VB100测评
携手老友,拥抱新精彩 —— 新论坛新活动,感谢你的陪伴
护航司法,瑞星助力山西省高院构建安全防线
人工智能在网络安全领域的风险和机遇
1
2
1
/ 2 页
跳转
页
[RAV] “菜鸟”利用瑞星杀毒软件2010版清除病毒手记
收藏
本主题由
版主
★蓝色羽毛★ 于 2009-6-29 1:23:34 执行 设置高亮 操作
★蓝色羽毛★
版主
帖子:
4322
注册:
2004-02-22
来自:
发表于: 2009-06-29 00:42
|
只看楼主
短消息
资料
字号:
小
中
大
1楼
“菜鸟”利用瑞星杀毒软件2010版清除病毒手记
通过收集用户长期以来在使用瑞星杀毒软件的过程中所提出的建议与意见,同时经过瑞星工程师近一年的潜心研发与全力打造,瑞星
2010
年度新品:“瑞星杀毒软件
2010
版”(以下简称“瑞星
2010
版”)已于
6
月
23
日
推出其测试版,并诚邀广大反病毒爱好者进行公开“暴力”测试。笔者本身也是一名反病毒爱好者,对测试新品杀毒软件有着浓厚的兴趣,这次运气还算不错,在
6
月
23
日
当天有幸申请到了公测序列号。正如公测主页上所说:新版产品有多少改变不重要,能否有效截杀木马病毒,才是问题的关键。瑞星
2010
新品采用了许多新技术、新功能,产品架构进行了优化和创新,对新病毒的快速响应反应能力有了极大的提升,是一款不可多得,家居必备的杀毒软件,有了它,拥有一个安全、稳定的系统将不再是梦想。好了,废话不多说,现在让大家马上跟随笔者,体验一下“菜鸟”利用瑞星杀毒软件
2010
版清除病毒的全过程。
首先,笔者先说明为什么这篇手记的题目定为:“菜鸟”利用瑞星杀毒软件
2010
版清除病毒。笔者这几天一直在关注着我们的测试论坛上各位高手、前辈所发的各类测试帖,其中不乏精品,让笔者学到了许多测试技巧与反病毒知识,真是大开眼界,受益匪浅。在看帖的同时,笔者也感觉到大家的测试帖多集中于用虚拟机
+XP
原版
+
瑞星
2010
版高主防设置来测试样本病毒,当然这对找出主防
BUG
与漏洞是有利而无一害的,还能帮助瑞星
2010
版进一步提高其整体防御实力。但是对于广大普通用户来说,可能意义就不是太大了。至于为什么,下面我会说清楚。以笔者观察多年为例:⑴笔者周围的同事多是用电脑来办公的,他们对电脑病毒知识都不是那么感兴趣,电脑一旦中毒,稍微会弄的同事也就是下个杀毒软件来清除病毒,如果遇到不会弄的或者清除不掉的,一键还原便成了他们的杀手锏,办公室里面的
MM
就更加不用说了,她们的系统需要重装那就是家常便饭。⑵随着中国股市的不断转暖,笔者认识的一些大龄朋友纷纷加入炒股大军,而他们由于年纪及身体原因,不方便整天奔波忙碌于各类券商的交易大厅。基本都是配置一台性能较差,适于炒股的电脑。而这些大龄朋友,你想让他们去了解一下反病毒知识,在笔者看来都很有难度,毕竟精力有限,买哪只股票都还没研究透彻,怎么可能去研究反病毒知识。中毒了也就是找维修公司过来弄下,实在不行也就重装罢了。⑶宅男、宅女我想就不用我多说了吧,我有一部分老同学就是过着这样的生活,
WOW
要不是关服了,还不知道什么时候能见上他们一面,整天都说没有空,什么副本啦,
G
团啦打个不停。而他们基本上也是普通的电脑用户,反病毒意识也不强,要不然怎么还会有人抱怨装备又被盗了……。
因此,通过笔者上面的总结不难看出:普通用户或者说是反病毒方面的菜鸟,他们是不会去研究杀毒软件的主防设置的,电脑在他们手中只是一种工具。他们的电脑如果中毒了也就是装个杀毒软件进行查杀,基本上用的就是杀毒软件的默认设置,还不能解决最后就是重装系统了,很多杀毒软件辅助工具他们也并不会用。所以,笔者这篇手记将从另一个角度,就是从菜鸟的角度来测试瑞星
2010
版,笔者将摈弃如:
SRE
、冰刃、
SSM
、
Tiny
等反病毒工具,在真实系统且已经中毒的环境下,完全依靠瑞星
2010
版清除所有的病毒,尽量模仿菜鸟杀毒的全过程,以求客观、公正体现出瑞星
2010
版强大的杀毒能力。
接下来介绍一下用于测试瑞星
2010
版的两台电脑的基本情况。两台电脑均采用雨林木风
Ghost XP SP3 9.9
装机版系统,一台电脑原装有瑞星
2009
版,不过久未更新且监控已被病毒终止。另一台为了游戏流畅而选择“裸奔”。由于雨林木风系统默认将
Windows Update
设置为关闭,故两台电脑的系统补丁均只更新到去年
12
月份。在这里提醒一下各位新手,由于很多修改版的
XP
系统都默认关闭了
Windows Update
,目的是为了优化系统性能同时阻止微软的
WGA
,但是这种设置却给系统安全带来了隐患,很多新出现的系统漏洞将无法得到修补,例如:雨林木风
Ghost XP SP3 9.9
装机版对
MS08
—
067
漏洞已做出修补,但是对
MS09
—
002
漏洞就无能为力了,而后来的雨林木风
10+
版本均为山寨版本,安全性也不能得到保证。因此,笔者建议新手一定要将
Windows Update
设置为开启,其实微软曾经表示过,
WGA
正式推出后用户在访问微软下载中心、
Microsoft Update
网站、
Windows Update
网站进行大部分
Windows
下载时需要通过正
版验证。
但所有Windows用户均可通过打开“自动更新”功能,则不需要通过正版验证,且据笔者测试雨林木风
Ghost XP SP3 9.9
装机版的结果表明,即使用户访问
Windows Update
网站进行补丁更新,该版本也能通过微软的
WGA
认证,所以普通用户无需过分担心。
下面我们来看看第一台电脑中毒的情况,由所截图片可以看出原来IE主页设置为hao123.com,现已被改为339D.com且无法改回,尝试打开“瑞星”、“江民”,“金山”等杀毒软件的首页均立刻被关闭,打开瑞星主程序也一样被关闭,系统右下侧托盘区出现类似QQ消息的图标(图一),
未命名1.JPG
(262.61 K)
2009-6-29 0:50:44
但实际上笔者并未打开QQ,点击该消息提示您已中奖(图二),
未命名2.JPG
(174.59 K)
2009-6-29 0:50:44
不过大家都知道这是骗局。调出任务管理器,可以看到一些可疑进程,QQ和IE均未启动(图三),
未命名3.JPG
(204.26 K)
2009-6-29 0:50:44
但管理器里却能看到进程,分析可知QQ.EXE为假冒QQ消息的病毒进程,而IE进程是因为有病毒插入IE而在后台访问网络所致。再用WINRAR查看每个分区的根目录,均发现有AutoRun.inf和SysAnti.exe文件(图四),
未命名4.JPG
(131.50 K)
2009-6-29 0:50:44
不过病毒没有进行映像劫持,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options下并未看到瑞星杀毒软件的程序文件名,故将过期的瑞星2009版卸载,安装瑞星2010版,在安装过程中瑞星安装程序也未被病毒关闭,不过建议新手不要一路点击“下一步”进行安装,在选择安装组件的界面处建议按此图(图五)
未命名5.JPG
(44.89 K)
2009-6-29 0:50:44
进行选择性安装,毕竟对于大多数普通用户来说,这些组件作用不大,只要能杀毒就行了。如果用户不是使用Outlook等收信软件进行收信,建议邮件监控也可不必安装,既然不用何必浪费宝贵的电脑资源呢?
不一会提示安装完成(图六),
未命名6.JPG
(28.76 K)
2009-6-29 0:54:47
重新启动后,瑞星还原了SSDT列表,久违的绿伞终于出现,监控立刻发现病毒,由于病毒的DLL文件被删除,故开机加载出错(图七)。
未命名7.JPG
(192.31 K)
2009-6-29 0:54:47
将瑞星的查杀级别设置为“高”,立刻进行全盘杀毒,不久病毒全部被清除(图八、九),
未命名8.JPG
(188.70 K)
2009-6-29 0:54:47
未命名444.JPG
(225.19 K)
2009-6-29 1:00:36
至此这台电脑的杀毒过程全部结束。总的来说,这台电脑中毒还不算太深,病毒虽然历遍进程,查找杀毒软件的进程名加以结束,但是由于病毒并不是周期性的还原SSDT列表,在安装瑞星2010版后,瑞星对SSDT列表进行了恢复,故自我防护得以生效,病毒无法终止瑞星进程,接着瑞星成功启动监控将活动在内存中的病毒清除。整个杀毒过程还算顺利,没遇到太大的问题,不过接下来的第二台电脑处理起来就比较棘手了。
第二台电脑从界面上看就知道中毒了,由于字体文件被破坏,很多窗口显示的字体都变成了方框(图十),
未命名24.JPG
(105.02 K)
2009-6-29 1:00:36
IE不停地弹出窗口,提示您成为今天幸运星等中奖信息(图十一),
未命名21.JPG
(86.04 K)
2009-6-29 1:00:36
提醒一下这也是假的消息,希望广大用户不要上当受骗。调出任务管理器与系统配置实用程序(图十二、十三),
未命23.JPG
(55.80 K)
2009-6-29 1:00:36
未命名111111.JPG
(44.50 K)
2009-6-29 1:00:36
可以看到一些可疑进程和启动项目,WINRAR查看盘符根目录均发现有AutoRun.inf和1.exe文件(图十四),
未命名22.JPG
(111.28 K)
2009-6-29 1:12:02
同时病毒也进行了映像劫持,不少杀毒软件的程序文件均包含其中(图十五)。
未命名222.JPG
(79.13 K)
2009-6-29 1:12:02
与上一台电脑一样,尝试打开几款杀毒软件的主页均被关闭,病毒在释放pcidump.sys驱动还原SSDT列表后,调用taskkill.exe终止大多数反病毒软件进程,接下来就是不断地在后台下载病毒。对病毒有了大致了解后,开始研究解决方法,首先是修改注册表,将映像劫持项删除,不然一些程序将无法启动,当然也可通过设置权限来解决。接下来就是安装瑞星2010版,安装正常完成,重启后问题来了,进入桌面后系统感觉很卡,不断弹出错误提示(图十六),
未命名26.JPG
(109.90 K)
2009-6-29 1:12:02
其实是因为瑞星在重启过后恢复了SSDT列表,虽然在桌面托盘区看不到绿伞,但是监控实际上已经启动。由于监控不断尝试清除插入系统进程的病毒,而病毒又在尝试反复插入系统进程,故系统不断弹出错误提示框,笔者点了N次确定,可是还是无法将错误提示框点掉。由于系统太卡已无法继续操作,无奈之下笔者只好选择重新启动系统。再次进入系统后,不卡了,但是瑞星已无法开启,打开即被关闭,经过分析,病毒应该是再次还原了SSDT列表,瑞星自我保护无法启动,从而造成这种现象的产生。但是,无论是内核级的病毒或者是内核级的杀毒软件,为了系统的稳定,它们还原SSDT列表也是有限度的,它们不可能时时刻刻、分分秒秒在还原SSDT列表,因此,笔者不断重复尝试修复瑞星2010版,使其在恢复SSDT列表的时候与病毒打个时间差,能先于病毒启动自我保护。功夫不负有心人,在经过几次尝试后,瑞星成功启动,笔者立刻打开瑞星主程序进行关键区域的查杀,先将内存中及系统目录下的病毒文件清除掉,剩下的残余病毒就好解决了。不过这时候试图调出任务管理器,还是被监控拦截(图十七),
未命名6666.JPG
(150.53 K)
2009-6-29 1:12:02
毕竟这是在带毒环境下杀毒,很多病毒需要重启后才能删除,出现这种提示还是可以理解的。关键区域查杀完成后,再次重新启动系统,伞是出来了,但是其他问题又出现了,打开瑞星主程序提示comres.dll文件丢失(图十八),
未命名666666.JPG
(117.89 K)
2009-6-29 1:12:02
这个倒很好解决,从其他电脑复制一个comres.dll文件即可。然后选择全盘查杀顺利将所有病毒清除,通过日志及病毒隔离区可以看到这台电脑中毒还是很严重的,最后病毒查杀数目为2136个(图十九、二十)。
未命名888888.JPG
(64.19 K)
2009-6-29 1:12:02
病毒解决后将系统字库进行了修复,至此第二台电脑的杀毒工作圆满结束,系统重新恢复正常。
通过这次测试,只是让普通用户明白,杀毒没有大家想象的这么困难,只依靠瑞星杀毒软件还是可以将病毒清除的,并不是说非要一些反病毒工具才能顺利杀毒。学会使用反病毒工具有助于我们更快、更好、更方便地解决问题罢了。其次我们可以看到瑞星2010版其强大的杀毒能力与防御功能,任何微小的安全隐患都逃不过它的检测,其友好的界面,良好的稳定性与可操作性,都让普通用户轻松上手。最后就是建议普通用户在平时使用电脑的时候,还是要以防为主,做到防治结合才能确保个人电脑的安全,毕竟瑞星设计的初衷还是以防为主,其网页防挂马功能正是防御的最好体现。笔者在测试完
毕后用
Rootkit Unhooker
软件对SSDT列表进行了还原,发现瑞星在重新启动电脑或者选择修复后会恢复SSDT列表,但其并不具备周期性恢复SSDT列表的功能,因此在对抗周期性还原SSDT列表的病毒上可能会处于下风。不过笔者倒是赞同瑞星不设置周期性恢复SSDT列表的功能,毕竟电脑是拿来用的,做到太底层并不利于用户的正常使用。笔者在用Rootkit Unhooker软件进行“暴力”测试的时候都出现了几次蓝屏,因此
与
其让内核级的杀毒软件与内核级的病毒在系统底层死磕,浪费用户电脑资源,还不如在系统干净的时候装上瑞星,补好系统漏洞,养成良好的使用习惯,不让病毒有可乘之机。
最后,笔者相信在广大反病毒爱好者的全力测试以及热心反馈下,等到瑞星2010正式版发布后,其品质会更上一层楼,同时也
祝北京瑞星科技股份有限公司越做越好
!
附件:
文件名:
未命名1.JPG
下载次数:2520
文件类型:image/pjpeg
文件大小:
上传时间:2009-6-29 0:42:00
描述:jpg
★蓝色羽毛★ 最后编辑于 2009-07-18 14:26:29
堕入黑暗里的可怜影子啊!诋毁伤害他人!
充满罪恶的灵魂!想死一次吗?
分享到:
短消息
资料
加为好友
全部帖子
性别:
生日:
2004-2-22
精华:
4
威望:
8637
贡献:
134
金钱:
0.91
状态:
离线
等级:
★蓝色羽毛★
版主
帖子:
4322
注册:
2004-02-22
来自:
发表于: 2009-06-29 01:22
|
只看楼主
短消息
资料
字号:
小
中
大
2楼
回复: “菜鸟”利用瑞星杀毒软件2010版清除病毒手记
因论坛不允许一次性上传二十个附件,故在此补第二十张图片。
未命名33333333.JPG
(221.68 K)
2009-6-29 1:22:22
堕入黑暗里的可怜影子啊!诋毁伤害他人!
充满罪恶的灵魂!想死一次吗?
短消息
资料
加为好友
全部帖子
性别:
生日:
2004-2-22
精华:
4
威望:
8637
贡献:
134
金钱:
0.91
状态:
离线
等级:
bcd123
锋芒艾服狮
帖子:
1635
注册:
2008-12-13
来自:
358团
发表于: 2009-06-29 16:38
|
短消息
资料
字号:
小
中
大
3楼
回复:“菜鸟”利用瑞星杀毒软件2010版清除病毒手记
好文章啊, 学习一下~
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
2211
贡献:
46
金钱:
0
状态:
离线
等级:
30367
强壮不惑狮
帖子:
883
注册:
2008-10-08
来自:
发表于: 2009-06-29 16:47
|
短消息
资料
字号:
小
中
大
4楼
回复:“菜鸟”利用瑞星杀毒软件2010版清除病毒手记
盘符根目录里发现的AutoRun.inf是不是病毒???
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
1820
贡献:
805
金钱:
0
状态:
离线
等级:
smallyou93
卡卡反病毒小组
帖子:
1545
注册:
2008-12-14
来自:
发表于: 2009-06-29 16:56
|
短消息
资料
字号:
小
中
大
5楼
回复:“菜鸟”利用瑞星杀毒软件2010版清除病毒手记
死牛..
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
1753
贡献:
99
金钱:
0
状态:
离线
等级:
Rain88888
初生襁褓狮
帖子:
11
注册:
2008-12-25
来自:
发表于: 2009-06-29 17:10
|
短消息
资料
字号:
小
中
大
6楼
回复:“菜鸟”利用瑞星杀毒软件2010版清除病毒手记
够暴力
我爱瑞星全功能安全软件
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
22
贡献:
4
金钱:
0
状态:
离线
等级:
瑞星工程师14
在线技术支持工程师
帖子:
5134
注册:
2008-09-08
来自:
发表于: 2009-07-06 16:35
|
短消息
资料
字号:
小
中
大
7楼
回复:“菜鸟”利用瑞星杀毒软件2010版清除病毒手记
感谢楼主的分享,欢迎您继续深入测试。
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
10350
贡献:
1942
金钱:
0.01
状态:
离线
等级:
走在你左边
飘泊而立狮
帖子:
525
注册:
2006-11-28
来自:
梵音战阁
发表于: 2009-07-06 17:24
|
短消息
资料
字号:
小
中
大
8楼
回复:“菜鸟”利用瑞星杀毒软件2010版清除病毒手记
你太帅了,这个测试好。
曾经有一份记忆在记忆的深处
曾经有一段过去让过去很痛苦
曾经有一个恋人让恋人小声哭
曾经有一种期待变期待为领悟
曾经有一次相遇在相遇的最初
曾经有一个笑颜让笑颜很模糊
曾经有一半自己使自己迷了路
短消息
资料
加为好友
全部帖子
性别:
生日:
1983-01-29
精华:
0
威望:
956
贡献:
36
金钱:
0
23941393
状态:
离线
等级:
maomaojk
初生襁褓狮
帖子:
10
注册:
2008-07-28
来自:
发表于: 2009-07-18 11:46
|
短消息
资料
字号:
小
中
大
9楼
回复 4F 30367 的帖子
你都已经混到“强壮不惑狮”,还问这种菜鸟才会问的问题! 它有可能是正常的,也有可能被病毒利用。
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
20
贡献:
0
金钱:
0
状态:
离线
等级:
万年寒冰
快乐黄口狮
帖子:
223
注册:
2007-08-16
来自:
发表于: 2009-07-18 14:01
|
短消息
资料
字号:
小
中
大
10楼
回复:“菜鸟”利用瑞星杀毒软件2010版清除病毒手记
呵呵,不错,确实从很“菜”的角度出发,相当有实用价值。
短消息
资料
加为好友
全部帖子
性别:
生日:
1906-10-14
精华:
0
威望:
465
贡献:
88
金钱:
0
状态:
离线
等级:
<<
上一主题
|
下一主题
>>
1
2
1
/ 2 页
跳转
页
论坛跳转...
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
北方区
华东区
华南区
木马入侵拦截有奖体验专区
瑞星2009版查杀引擎测试
瑞星2009测试版问题反馈
瑞星杀毒软件2009公测
瑞星个人防火墙2009公测
瑞星全功能安全软件2009公测
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星安全联盟论坛
瑞星杀毒软件V16+
V16+新引擎测试专区
瑞星全功能安全软件
瑞星杀毒软件2011
瑞星个人防火墙V16
广告过滤
瑞星个人防火墙2011
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
瑞星手机安全助手
瑞星路由安全卫士
路由系统内核漏洞
APP保镖
瑞星安全浏览器
瑞星安全助手
卡卡上网安全助手
瑞星软件管家
瑞星加密盘
账号保险柜5.0
瑞星专业数据恢复
技术交流区
反病毒/反流氓软件论坛
菜鸟学堂
安全技术讨论
可疑文件交流
恶意网站交流
瑞星云安全网站联盟专版
每日网马播报
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
Rising茶馆
影音贴图
瑞星安全游戏
凡人修真
华人德州扑克
一球成名
星际世界
神仙道
赢家竞技
梦幻飞仙
三国演义
仙落凡尘
秦美人
攻城掠地
女神联盟
风云无双
傲视九重天
深渊
魅影传说
热血屠龙
雷霆之怒
大天使之剑
传奇霸业
无上神兵
斗破沙城
全民裁决
蛮荒之怒2
活动专区
瑞星积分商城
实习生专区
实习生交流区
实习生签到区
实习生考核区
“安全之狮”校园行活动专版
历史活动
论坛9周年活动专区
关注灾情 同心抗灾
本站站务区
站务
版主之家[限]
禁言禁访记录
待审核
瑞星客户俱乐部[限]
瑞星杀毒软件V17的个人介绍 by dg1vg4
Apple ID不设“两步验证”的悲剧 by baohe
在高分屏电脑运行Photoshop CS6,程序界面字体过小的问题有解啦~~~by baohe
卡卡论坛新手入门
瑞星杀毒软件V17的个人介绍 by dg1vg4
卡卡论坛新手入门
Apple ID不设“两步验证”的悲剧 by baohe
2022网民网络安全感满意度调查活动,诚邀您的参与!
还是给SIM卡设个PIN码吧 by baohe
应对Cryptolocker病毒之类敲诈者的办法 by baohe
我的主题
我的帖子
我的精华
我的好友
文本模式