瑞星卡卡安全论坛技术交流区系统软件 【分享】孙子兵法之杀毒篇

1   1  /  1  页   跳转

【分享】孙子兵法之杀毒篇

收藏
A星夜的离别
头像
初生襁褓狮
  • 帖子:85
  • 注册: 2005-07-04
  • 来自:
发表于: 2005-12-10 09:18 | 只看楼主 短消息 资料
字号: 1楼

【分享】孙子兵法之杀毒篇

江民杀毒软件应用暨病毒防御技巧征文大奖赛优秀文章(写技巧送现金大奖哦)
大奖赛2006年1月6日结束
http://www.jiangmin.com/zhuanti/zw/zhengwen.htm

孙子兵法之杀毒篇:KV2006VS电脑病毒  作者:王硕

自打俺家配的第一台计算机中病毒起,俺就感觉到,与病毒的较量,肯定是场持久战!

    俺还记得最初用KV300和俺经历的第一个病毒3783打阵地战的时候,那时的DOS/WIN95时代,只要染毒,偶就拿出杀手锏:A盘冷启动机器,插入那张写着KV300的3.5寸软盘,输入KV300.exe,回车,枪林弹雨之后,必是病毒败阵,那个时代此招乃杀克毒必杀技,遇毒必杀,屡试不爽……

    时过境迁,没想病毒也是旧貌换新颜,不论装备上还是战术上都不可同日而语,记得CIH吗?是谁能隐忍不动,待26日便一剑锁喉,直捣PC的BIOS?记得BO吗?是谁打响了与计算机的间谍战?记得冲击波吗?是谁具备短时间对全球计算机进行精确致命打击的强大力量?然今日,病毒更恐怖了,系统服务后门、dll注入式后门、rootkit、流氓软件……在病毒的潮水攻势面前,仅一款杀毒软件,可能捍我PC百毒不侵?甭急,且以KV2006为将,借力孙子兵法,共降浩瀚毒军,捍卫俺们PC的领土完整!
知彼知己者,百战不殆

没错,和病毒打仗,杀软的性能指标、病毒的主流技术,这些不能不知道啊。

先来看看我方良将KV2006:

特长功能:占用资源少,监控灵敏,查壳功能强大(个人认为KV的查壳功能是国产三大杀软中最强的),bootscan启动前杀毒,木马一扫光,未知病毒检测(这里有必要提一下,或许有很多网友认为bootscan和木马一扫光没用,包括我之前也这么认为,但事实上对于rootkit和dll注入式后门,这两个功能是非常有针对性的)。

再来看看病毒的一些主流技术:
这里只挑出一些比较有代表性病毒来举例,因为他们相对而言比较难对付(擒贼先擒王嘛J)
系统服务式后门:这个还比较好对付,就是把后门注册成系统服务了,杀完毒记得把服务也删除就行了。
Dll注入式后门:相对而言也比较好对付,就是比较隐蔽,自身无进程,在KV的病毒库未更新前危害相对较大。
Rootkit:这个是最麻烦的,简直是个刺儿头,浑身是钩子的家伙到处乱挂。

……剩下的,全部PASS吧,我等菜鸟只需了解这些就以足够,琐碎的细节的,交给KV研发部的工程师吧。

好了,我们开始上路,且在病毒之战中领略战争的艺术。

兵之形,避实而击虚

有些病毒用常规的办法确实难以对付,比如rootkit这类的刺儿头,所以我们先拿它开刀。

在普通情况下,由于这个东西挂接系统api,隐身性能极佳,这个是rootkit的原话:This software generates a system patch that will hide processes, files, folders, registry keys and netstat entries from Windows 95/98/ME/NT/2k/XP/2003.这个东东产生一个系统补丁可以隐藏95/98/ME/NT/2k/XP/2003系统的进程、文件、文件夹、注册表键值和网络链接信息。是不是很酷?好在单纯的rootkit没有危害性,所以确实只是很酷,不过相同原理的木马比如灰鸽子可就让我等菜鸟却觉得很苦,搞不好要哭呢!在常规情况下根本搞不定它,资源管理器中看不到它,进程管理器中看不到它!开了杀软不管你怎么杀,都是下面那个样子,每次都是杀出一堆毒,杀了还有、有了还杀、杀了又有……
怎么办?想想孙子老先生的一句兵法――兵之形,避实而击虚。既然rootkit如此凶悍,我们就避开它的锋芒,来暗杀,KV2006不是有bootscan吗,rootkit再狠,也要等到系统启动后它才能发狠,要是在系统启动前,rootkit啥都做不了只能睡大觉,OK,KV2006出马,,设定bootscan,上刺刀:扫描路径设为C:\WINDOWS\,对于不同的此类型病毒可以根据其自身特点设定bootscan扫描范围,以达到既无漏扫又能清除干净的效果。依照上图设置完成,ALT+F4,R键重启系统吧,等系统启动了,也该为rootkit送终了。

令之以文,齐之以武,是谓必取

对付dll注入式后门,怎么办呢?资源管理器中看不到进程,用KV杀毒,通常情况下能查出来,但总是删除失败啊!不错,由于资源管理器的特殊性――正常情况下是永远运行,因此很多dll注入式后门都把windows资源管理器(explorer)作为注入目标,还有一个常用的注入目标就是IE浏览器,下面我们就着重讨论怎么降服dll注入后门。

当然是先派侦察兵找蛛丝马迹了,打开天网防火墙(实际用KV防火墙也可以办到,但是因为个人偏爱,还是以天网为例),奇怪,怎么资源管理器windows explorer打开1327端口监听了?很有可能是被dll后门注入了。OK,第一手资料获得..........
不战而屈人之兵,善之善者也

没错,能攻心,则反侧自消,自古知兵非好战嘛,虽然俺装了KV2006,但说真的俺不愿意和病毒打仗,劳神又费时!俺还记得以前在98下用KV3000杀冰河,木马是杀掉了,但是系统却不正常了,杀软和病毒打仗,无论谁胜谁负,苦的都是俺等老百姓(什么?杀软大获全胜了就不苦了?你以为听着硬盘咔咔的响近1小时,我等百姓只能苦等,难道不苦啊?)!没办法后来还是重装了!但万一哪天中马了,俺怎么办呢?杀?费时,更麻烦的是杀马后对系统的修整。不杀?废话,肯定不行。有没有两全其美的办法?有!实际每一个木马上都有服务端卸载功能,我们要讲的就是利用他这个功能来攻其心,达到不战而屈马的目的..........
兵者,国之大事,死生之地,存亡之道,不可不查也



这一条,也是最重要的一条,和平年代,但不能放松警惕,记得每天更新你的KV2006。

还有不要随便运行别人发过来的可执行文件,尤其是大小在100k以下的,不要访问那些乱七八糟的网站,经常进行WINDOWS安全更新,安全意识也是很重要的。

虽然不会天天中病毒,但下毒之心不可有,防毒之心不可无,时刻要把你的KV2006保持在最佳状态,养兵千日,用兵一时,养比用要更花时间和精力。

结语:
这里介绍了几种有代表性的病毒的KV2006解决方案,有几种解决方案几乎是"歪门邪道",哈哈,兵临险着,讲究出奇制胜嘛,用KV也应该不拘一格,本着查杀彻底,不伤系统,尽量不重启的原则,怎么用方便就怎么用,如果有让您头痛的病毒,利用常规方法都是清除失败的病毒,不妨也用"歪门邪道"试试,或许会收到意想不到的效果哦。

人民的力量是无穷无尽的,我们要把病毒卷入人民战争的汪洋中去……(哎哟,谁扔的砖头,鸡蛋,还有烂西红柿……) 附:


笔者计算机配置:
康柏自由人笔记本(2815TC)
CPU:P4-M 1.6G
RAM:256M DDR
硬盘:30G
显示卡:ATI RADEON 7500-M
操作系统:WINDOWS XP PRO SP2

======转自江民杀毒软件应用暨病毒防御技巧征文大奖赛优秀文章选登======

最后编辑2005-12-12 20:34:10
分享到:
gototop
 
小ki
头像
强壮不惑狮
  • 帖子:861
  • 注册: 2003-11-18
  • 来自:
发表于: 2005-12-10 14:15 | 短消息 资料
字号: 2楼

真的有这么好吗?
gototop
 
宇宙之巅
头像
初生襁褓狮
  • 帖子:418
  • 注册: 2005-10-21
  • 来自:
发表于: 2005-12-11 14:10 | 短消息 资料
字号: 3楼

不用这么复杂吧
gototop
 
A星夜的离别
头像
初生襁褓狮
  • 帖子:85
  • 注册: 2005-07-04
  • 来自:
发表于: 2005-12-12 20:34 | 只看楼主 短消息 资料
字号: 4楼

也弄了篇拙作
已经投了
期待中...
从瑞星2005升级许多问题后就只用KV啦!感觉KV的确不错!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT