给大家提供一些查毒、杀毒、分析病毒的经验

  本人才疏学浅,只是给大家提供一种思路,希望给大家有抛砖引玉的作用,还请大家可以认真看完,如果有写的不对的请大家指出来。

早在dos时期,病毒就非常流行了,虽然那个时候都没有互联网,但是病毒却已经流行起来了,那个时候通常都是用软盘的,所以病毒大多都是通过软盘来传播,因为DOS系统的权限大,导致了各色的病毒都有,有破坏硬盘的也有破坏主板的,就像CIH

  现在是windows时代,病毒的传播方式就更加的广泛了,要想预防病毒,那必须得从病毒的特征开始说起,病毒分两种,破坏型病毒和木马型病毒破坏性病毒纯粹就是作者炫耀技术而编写的,而木马型病毒是为了金钱利益(盗游戏帐号,盗网上银行卡,远程控制电脑,作为肉鸡)。而在中国,真正会中病毒的少,我拿到的50个样本,48个是木马,1个是感染型木马,1个是病毒,可见中国木马是多么的猖獗。
  切入正题吧,我给大家提供一些上网安全的技巧:
  1.预防U盘病毒的办法:U盘病毒传播最主要的就是 autorun.inf 这个文件,我的办法就是在这个文件夹中建立一个文件夹,名字叫做autorun,.inf ,然后再在这个文件夹中建立两个文件,在cmd下建立 md fff..\    回车      md aaa..\回车,就OK了,这样你的U盘就不会中病毒了,不过我还看到过一种病毒是把你原来在U盘的文件加隐藏掉了,然后把病毒复制到你的文件夹中,图标和文件夹颜色一模一样,你双击病毒,他也能打开文件夹,这个,推家大家把后缀名显示出来,方法就是,我的电脑-工具-文件夹选项-查看-已知文件类型的扩展名前面的钩子去掉,点确定就可以了,你就可以看看你的U盘中的文件夹,是.exe,那么简单,直接删除,然后用上面同样的方法找到显示所有文件,你就能看见被隐藏掉的文件夹了,在文件夹属性中去掉隐藏标志就好啦~


2.一定要把你的上网浏览器升级到最新版本IE8,我到现在还是能够看到许许多多的人还在用IE6,那个浏览器是非常非常老了,漏洞特别多,非常不推荐使用!IE8,基本上就不用怕网页挂马了因为在黑市上销售的网马都是针对IE6系统的升级到IE8,我不敢保证全部,至少也有98%的网马对你无效了,如果IE8出现了什么安全漏洞,那就不保证了,所以,我们必须要把浏览器的漏洞补丁尽快打上,所以大家一定要安装瑞星卡卡,一有系统漏洞就赶紧补上,那样才会保证100%的安全,有的人说装了杀毒软件就没事了,其实不然,现在网马很是厉害,可以绕过杀毒软件下木马,或者绕过杀软的主动防御,虽然我不知道原理,但是我见过这类网马。
  当然,如果你不喜欢用IE浏览器,也可以使用非IE内核的浏览器,比如说Chorme, Opera, FireFox等等,都是非常不错的选择,我就喜欢用Chorme(谷歌浏览器)。
  预防病毒,还有一个非常重要,就是不要去一些不知名的网络更不要去一些不知名的网络下载软件,其实网马的中率能达到20%是已经非常高的了,一般的网马大概都是在1-2%,所以网马还要靠高的流量才能中的机器多,所以很多人都把木马和软件捆绑在一起,给大家下载
  3.那么如何鉴别下载的软件是否安全呢?第一,就是不要去不知名的网站下载,第二,下载的软件,你可以上传到杀毒网站查看杀毒情况,因为杀毒网会有50-60种杀毒软件扫描你上传的程序是否是病毒,然后返回给你一张报告单,哪些杀软提示有病毒,哪些杀软没有提示病毒的,当然这个只是参考,如果有超过4个杀软提示病毒,那么你得小心点了。附,一些常用的杀毒网网址。


http://www.virustotal.com/zh-cn/
VirusTotal 是一款可疑文件分析服务, 通过各种知名反病毒引擎, 对您所上传的文件进行检测, 以判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染.

特点:

•免费, 独立的服务
•使用多种反病毒引擎
•实时自动更新病毒定义库

•每款反病毒引擎都将显示详细的结果
•实时全球统计数据

我推荐使用这个,因为我经常用 :-)

还有一点非常重要,大家不要把刚刚下载下来的压缩包就给传上去,那样有可能查不到病毒,为什么呢,有的下载的地方,解压需要密码,查毒网是没有义务给你解密的,所以你必须把密码去掉再上传,不然一个病毒也没有查到。

  还有一种就是本地分析,我推荐的软件就是SandieBox, 沙盘软件,这个软件.沙盘也为HIPS的一种,称为沙盘HIPS.

  Sandboxie允许你在“沙盘环境”中运行浏览器或其他程序,这个“沙盘”个人感觉就是跟“影子”一样的概念罢了。因此,在沙盘中运行的程序所产生的变化可以随时删除。可用来保护浏览网页时真实系统的安全,也可以用来清除上网、运行程序的痕迹,还可以用来测试软件,测试病毒等用途。即使在沙盘进程中下载的文件,也可以随着沙盘的清空而删除。
  如果大家对“影子”/“沙盘”这2个概念还不清楚的话,这里引用官方的一段话:电脑就像一张纸,程序的运行与改动,就像将字写在纸上。而Sandboxie就相当于在纸上放了块玻璃,程序的运行与改动就像写在了那块玻璃上,除去玻璃,纸上还是一点改变都没有的。
  如果还需要再解释一下的话,Sandboxie就是相当于在你要运行的程序与系统之间建立一个隔离层,当我们运行程序的时候,就会将程序直接调入该隔层中,此后,程序对系统所做的修改,都会被限制在这个隔离层中,而不会真正地去触及系统。这样的话,就算电脑感染了病毒和木马,也不会对系统造成真正的伤害。
  是不是跟影子系统很像?呵呵,其实它们之间还有一个很大的区别,就是影子系统是对整个系统进行保护,而 Sandboxie是对电脑的局部进行保护。Sandboxie一般是设置某个程序在“沙盘”中运行,而不是将整个Windows都置于“影子”模式下。也就是可以很灵活地设置一个或几个觉得“危险”的程序运行在“沙盘”,而其他一切则正常运行。因此,对普通用户来说,Sandboxie的局部保护功能可能会更加方便。而且,用户还可以设置让Sandboxie像影子系统一样对整个系统进行保护的哦。
  一、上网无忧,用SandBoxie在沙盘中运行浏览器
  我们打开SandBoxie后,在右下角的图标中右键选择“运行沙盘→IE浏览器”,这时候会自动弹出标题栏中有两个“[#]”符号的IE浏览器,这就说明IE已经处于保护状态。去掉保护之后,历史记录连同IE之间安装过的流氓插件、下载的文件都会随之消失。
  提醒:Sandboxie本身只能对第一个IE浏览器进程进行保护,不过用桌面上 Sandboxie的保护IE的快捷方式来上网,无论打开多少个IE浏览器,都在保护状态下。
  二、测试安装危险程序
   木马和病毒总是比杀毒软件抢先一步。所以我们在安装程序的时候,即时杀毒软件没有报毒,也存在一定的风险。但使用Sandboxie后,就会将风险降低为零了。
  选要安装或解压的不明程序,按鼠标右键,选择“用沙盘运行”(图3),就会以保护的形式来安装或解压该程序。同样,在程序的安装窗口中会发现标题栏上有两个“[#]”符号代表受保护。笔者在安装一个捆绑木马的程序时做了保护措施。恢复系统之后,发现在这期间安装的程序包括木马都消失了,相当的安全。
  三、保护整个电脑,充当半个“影子系统”
Sandboxie还提供整个电脑的保护,在 Sandboxie中选择“功能”菜单,然后“选择运行沙盘→Windows 资源管理器”,就会自动弹出有两个“[#]”符号的“我的电脑”窗口。之后对整个电脑进行任意操作,包括格式化分区、删除文件、拷贝文件等都很安全。恢复的方法很简单。在Sandboxie主界面选择“配置 →沙盘设置→设置自动清理选项”,将隔离层中的内容清除即可。


下载了软件,装好了沙盘,就打开沙盘吧,然后把你下载的程序脱进去,看看沙盘中的进程,除了你下载的那个程序的进程外,还有没有别的进程。

比如说,你看到有iexplore.exe 但是又没有跳出IE 浏览器,那么肯定是捆绑了灰鸽子之类的木马了。

如果你看到有svchost.exe 那么肯定是中了PcShare之类的木马了。

如果你看到有rundll32.exe出来,那么恭喜!多半也是dll木马程序

如果你看到有explore.exe 那么恭喜!又是木马

病毒木马都喜欢注入以上这些进程中去,有的木马杀毒软件也查不出来,那么就要靠自己去分析了。Sandboxie是一个人人都能学会的好软件! 在这里,我吐血推荐大家都去安装一个!!!
http://www.skycn.com/soft/51742.html
以上是沙盘下载地址

对于已经中了病毒,杀毒软件又杀不出来的怎么办?推家大家使用Sreng扫描软件,扫描一份日至,然后传到 卡卡安全论坛的 反病毒区,让安全工程师给你分析,一般人在的话,最多20分钟就会有结果了。
http://bbs.ikaka.com/showtopic-8442813.aspx
大家可以去这个网址下载这个软件。

对于安全工程师的回答,用暴力删除工具把病毒删除就OK~

防火墙也很有作用,可以查看远程IP,在这里,我想对瑞星网络防火墙提出一点建议,就是建议瑞星防火墙中能够提示IP所在的地理位置,这样的话,更加人性化吧,有时候我想查某个进程中的IP是哪里的,我还要记下IP,去网上查,非常麻烦,集成在防火墙中不是更好?这方面x就做的很不错。
用防火墙查看一些容易被木马注入的进程是很重要的,比如svchost.exe ,iexplore.exe Explore.exe 等。



好了,只要大家掌握了以上这些技巧,基本上就不用怕毒啦!



欢迎转载,转载请标明出处:瑞星卡卡安全论坛
                                                  By xiaomajia52
                                            2009.8.25
最后编辑xiaomajia52 最后编辑于 2009-08-25 12:36:32