1   1  /  1  页   跳转

[讨论] 咋知道病毒释放了哪些文件?

点击关闭鉴定图章

咋知道病毒释放了哪些文件?

这帖讨论的是“非感染性病毒”的初步侦察。不涉及其它。

中毒后,杀不净。这是件另菜鸟头大的事。
某些情况下,问题的根本原因在于:中招者并不知道病毒到底带入了多少恶意程序到系统中。
因此,摸清中毒系统的基本情况是杀毒的关键一步。这好比打仗。摸不清敌情,这仗就很难打胜。

其实,只要知道中毒的具体日期,摸敌情这一步做起来并不算太难,也不需要什么高级工具。用系统的搜索工具,多数情况下即可解决问题。

下面是个例子:





















用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
本帖被评分 3 次
最后编辑baohe 最后编辑于 2009-05-15 20:38:10
分享到:
gototop
 

回复:咋知道病毒释放了那些文件?



附件附件:

文件名:12.jpg
下载次数:11787
文件类型:image/jpeg
文件大小:
上传时间:2009-5-15 20:15:43
描述:jpg
预览信息:EXIF信息



本帖被评分 1 次
最后编辑baohe 最后编辑于 2009-05-15 20:19:30
gototop
 

回复:咋知道病毒释放了那些文件?

.exe、.inf、.com、.bat、.pif等的搜索,就不一一细说了。与上面的方法一样。

摸清了基本情况后,接下来要弄清的另一基本问题是:病毒插入进程的情况如何?




















基本问题都搞掂了。

小结:系统核心进程是干净的。应用程序进程----大多插入了病毒模块。

下一步就是杀毒了:

1、断开网络。用IS禁止进程创建。
2、结束所有被插应用程序进程。

3、用IS逐一痛宰病毒文件。这段操作需要的冷静、细心。




最后编辑baohe 最后编辑于 2009-05-15 20:37:38
gototop
 

回复: 咋知道病毒释放了哪些文件?



引用:
原帖由 networkedition 于 2009-5-16 22:40:00 发表
又见猫叔精品大作  


传说你就是剑盟的孔子。请证实一下。
gototop
 

回复: 咋知道病毒释放了哪些文件?



引用:
原帖由 aaccbbdd 于 2009-5-17 12:42:00 发表

猫叔才知道

这位在站务区申请版主了   




那你还不跟麦子说一声儿----通过!
gototop
 

回复: 咋知道病毒释放了哪些文件?



引用:
原帖由 zoxmes 于 2009-5-20 21:50:00 发表
建议先搞个IS的教程,不然菜鸟都不会用,至于楼上的都会的话,没有必要学的吧


IS的一般使用方法,我以前发帖专门讨论过。每步操作都有图。
gototop
 

回复: 咋知道病毒释放了哪些文件?



引用:
原帖由 破混风 于 2009-5-26 20:47:00 发表
找出带那些后缀名的文件后,怎么区分哪些是病毒,哪些是系统?


帖子说明了前提:知道中毒日期。

1、按中毒日期搜索。
2、中毒那天,用户没更新系统,也没安装新软件。
3、hiberfil.sys和pagefile.sys是系统文件(一般了解一点系统的都知道)。
最后编辑baohe 最后编辑于 2009-05-26 20:56:19
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT