发表于: 2010-02-25 12:46 | 显示全部 短消息 资料
字号: 1楼

流行病毒概况以及手动查杀方法作业


流行病毒概况以及手动查杀方法作业


实习生 njuptzc


1目前病毒传播的主要方式有哪几种?
1.通过网页传播 2.通过内网arp欺骗传播 3.通过移动储存传播 4.通过感染文件传播 5.利用系统漏洞的网络蠕虫传播
2.简述常见盗号木马的杀毒方法(通过sreng日志中可看见的启动项目启动,且不回写)
首先要发现病毒,通过sreng日志等扫描发现可疑文件,根据日志中的启动项目下手,去除病毒的启动项目,然后重启进入安全模式,利用icesword删除文件

3.简述常见的后门病毒的杀毒方法(通过服务启动)
使用sreng禁止可疑服务,然后重启计算机进入安全模式,删除文件

4.感染型病毒通常应该如何识别和清除?
首先利用瑞星杀毒软件进行杀毒,杀毒时选择清除病毒,而不是删除感染文件

5.重装系统后不久发现病毒又出现了,这是什么原因?如何处理?
1.病毒具有U盘传播的功能,在各个盘符中生成了autorun.inf且该autorun.inf指向了病毒文件,双击打开对应的盘符又激活了病毒导致的
2.病毒是感染性病毒在打开了其他盘符的exe文件后病毒又被重新激活了,感染新装的系统

6.如果某个病毒通过两个进程相互守护,应该如何处理?
使用冰刃等的禁止进线程守护功能

7.简述RootKit hook的两种方式。
第一种 ssdt hook原理讲表中内容修改由于ssdt是一个地址表,修改后当ring3级别的函数再次向他发送请求条用ring0的函数执行一些操作的时候就会被移到到一个错误的地址(通常是病毒处理函数的地址),病毒就可以对该请求进行任意操作,这相当于把路牌修改了。
第二种不修改函数地址,而是直接修改函数内部代码让其直接跳转到病毒的函数内这种函数叫做inline hookcode hook

8.某用户会一些简单的手动杀毒,但查看sreng日志未发现明显的病毒进程,也未发现进程中有什么不正常的模块,这可能是由于什么原因导致的?应该如何处理呢?
对于利用writeprocessmemory等函数向系统进程内注入恶意代码的病毒或者利用驱动隐藏自身的病毒,sreng是看不到的(因为srengring3下的程序,他所检查的api hook也只是ring 3下的)所以即便sreng日志没有问题也不代表系统就一定没有病毒!这种病毒可以使用冰刃进行处理


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; TheWorld)