熊貓燒香之手動(dòng)查殺
熊貓燒香之手動(dòng)查殺
電腦已經(jīng)走進(jìn)我們的生活,與我們的生活息息相關(guān),感覺(jué)已經(jīng)離不開(kāi)電腦與網(wǎng)絡(luò),對(duì)于電腦安全防范,今天小編在這里給大家推薦一些電腦病毒與木馬相關(guān)文章,歡迎大家圍觀參考,想了解更多,請(qǐng)繼續(xù)關(guān)注學(xué)習(xí)啦。
一、前言
作為本系列研究的開(kāi)始,我選擇“熊貓燒香”這個(gè)病毒為研究對(duì)象。之所以選擇這一款病毒,主要是因?yàn)樗哂幸欢ǖ拇硇?。一方面它?dāng)時(shí)造成了極大的影響,使得無(wú)論是不是計(jì)算機(jī)從業(yè)人員,都對(duì)其有所耳聞;另一方面是因?yàn)檫@款病毒并沒(méi)有多高深的技術(shù),即便是在當(dāng)時(shí)來(lái)講,其所采用的技術(shù)手段也是很一般的,利用我們目前掌握的知識(shí),足夠?qū)⑵淦饰觥R虼?,我相信從這個(gè)病毒入手,會(huì)讓從前沒(méi)有接觸過(guò)病毒研究的讀者打消對(duì)病毒的恐懼心理,在整個(gè)學(xué)習(xí)的過(guò)程中開(kāi)個(gè)好頭。
本篇文章先研究如何對(duì)“熊貓燒香”進(jìn)行手動(dòng)查殺。這里所說(shuō)的手動(dòng)查殺,主要是指不通過(guò)編寫(xiě)代碼的方式對(duì)病毒進(jìn)行查殺。說(shuō)白了,基本上就是通過(guò)鼠標(biāo)的指指點(diǎn)點(diǎn),有時(shí)再利用幾條DOS命令就能夠?qū)崿F(xiàn)殺毒的工作。但是不可否認(rèn)的是,采用這種方法是非常粗淺的,往往不能夠?qū)⒉《緩氐撞闅⒏蓛?,但是從學(xué)習(xí)手動(dòng)查殺病毒起步,有助于我們更好地理解反病毒的工作,從而為以后更加深入的討論打下基礎(chǔ)。
需要說(shuō)明的是,手動(dòng)查殺病毒并不代表在什么軟件都不使用的前提下對(duì)病毒進(jìn)行查殺,其實(shí)利用一些專(zhuān)業(yè)的分析軟件對(duì)于我們的查殺病毒的還是很有幫助的,這些工具我會(huì)在對(duì)不同的病毒的研究中進(jìn)行講解。另外,出于安全考慮,我的所有研究文章,都不會(huì)給大家提供病毒樣本,請(qǐng)大家自行上網(wǎng)尋找,我只會(huì)給出我所使用的病毒樣本的基本信息。
二、手動(dòng)查殺病毒流程
手動(dòng)查殺病毒木馬有一套“固定”的流程,總結(jié)如下:
1、排查可疑進(jìn)程。因?yàn)椴《就鶗?huì)創(chuàng)建出來(lái)一個(gè)或者多個(gè)進(jìn)程,因此我們需要分辨出哪些進(jìn)程是由病毒所創(chuàng)建,然后刪除可疑進(jìn)程。
2、檢查啟動(dòng)項(xiàng)。病毒為了實(shí)現(xiàn)自啟動(dòng),會(huì)采用一些方法將自己添加到啟動(dòng)項(xiàng)中,從而實(shí)現(xiàn)自啟動(dòng),所以我們需要把啟動(dòng)項(xiàng)中的病毒清除。
3、刪除病毒。在上一步的檢查啟動(dòng)項(xiàng)中,我們就能夠確定病毒主體的位置,這樣就可以順藤摸瓜,從根本上刪除病毒文件。
4、修復(fù)被病毒破壞的文件。這一步一般來(lái)說(shuō)無(wú)法直接通過(guò)純手工完成,需利用相應(yīng)的軟件,不是我們討論的重點(diǎn)。
三、查殺病毒
我這里研究的“熊貓燒香”病毒樣本的基本信息如下:
MD5碼:87551e33d517442424e586d25a9f8522,
Sha-1碼:cbbab396803685d5de593259c9b2fe4b0d967bc7
文件大?。?9KB
大家在網(wǎng)上搜索到的病毒樣本可能與我的不同,但是基本上都是大同小異的,查殺的核心思想還是一樣的。
這里我將病毒樣本拷貝到之前配置好的虛擬機(jī)中(注意要備份),首先打開(kāi)“任務(wù)管理器”查看一下當(dāng)前進(jìn)程:
因?yàn)槲业奶摂M機(jī)系統(tǒng)中沒(méi)有安裝任何軟件,是很純凈的,所以一共有18個(gè)進(jìn)程(包含任務(wù)管理器進(jìn)程),可以認(rèn)為這18個(gè)進(jìn)程是系統(tǒng)所必須的。有時(shí)我們就需要這樣的一個(gè)純凈系統(tǒng),來(lái)與疑似中毒的系統(tǒng)進(jìn)行進(jìn)程的對(duì)比操作。然后我們運(yùn)行病毒,再次嘗試打開(kāi)“任務(wù)管理器”,發(fā)現(xiàn)它剛打開(kāi)就立刻被關(guān)閉了,說(shuō)明病毒已經(jīng)對(duì)我們的系統(tǒng)產(chǎn)生了影響,而這第一個(gè)影響就是使得“任務(wù)管理器”無(wú)法打開(kāi)。不過(guò)沒(méi)關(guān)系,我們可以在cmd中利用“tasklist”命令進(jìn)行查看。
通過(guò)對(duì)比可見(jiàn)這里多出了一個(gè)名為spoclsv.exe的進(jìn)程,那么我們可以通過(guò)命令“taskkill /f /im 1820”(強(qiáng)制刪除PID值為1820的文件映像),從而將這個(gè)進(jìn)程結(jié)束掉:
這時(shí)就可以發(fā)現(xiàn)“任務(wù)管理器”可以被打開(kāi)了,說(shuō)明我們工作的第一步是成功的。然后需要對(duì)啟動(dòng)項(xiàng)進(jìn)行排查,可以在“運(yùn)行”中輸入“msconfig”:
這里很快就能夠鎖定“spoclsv.exe”這一項(xiàng),我們首先需要記下其文件位置:
C:\WINDOWS\system32\drivers\spoclsv.exe
然后是注冊(cè)表位置:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
然后將這個(gè)啟動(dòng)項(xiàng)前面的對(duì)勾取消,來(lái)到注冊(cè)表相應(yīng)的位置,將Run中的“spoclsv.exe”刪除,并且刪除病毒文件本體:
以上工作完畢后,重啟系統(tǒng),再次打開(kāi)“任務(wù)管理器”,可以被正常打開(kāi),說(shuō)明我們的工作是成功的。然后打開(kāi)“我的電腦”,用鼠標(biāo)右鍵點(diǎn)擊一下各個(gè)盤(pán)符(我的系統(tǒng)只有C盤(pán))。
我們?cè)谑謩?dòng)查殺病毒的時(shí)候,就應(yīng)該養(yǎng)成一個(gè)習(xí)慣,那就是使用右鍵來(lái)打開(kāi)盤(pán)符,而不是通過(guò)雙擊左鍵的方式。在這里我們可以看到,鼠標(biāo)右鍵菜單中多出來(lái)了一個(gè)“Auto”項(xiàng),那么很明顯C盤(pán)中存在autorun.inf的文件??梢栽赾md中查看一下。
因?yàn)槲乙呀?jīng)確定C盤(pán)中存在autorun.inf文件,而使用dir命令卻沒(méi)有看到,說(shuō)明它應(yīng)該是被隱藏了,所以這里要使用“dir /ah”(查看屬性為隱藏的文件和文件夾)命令。而我們也確實(shí)發(fā)現(xiàn)了autorun.inf與setup.exe這兩個(gè)可疑文件(因?yàn)檎N募遣恍枰[藏的,特別是EXE文件更加不需要隱藏自己,所以這個(gè)setup.exe屬于可疑文件)。因?yàn)檫@兩個(gè)可疑程序的屬性是隱藏的,所以這里可以先去掉其隱藏屬性,然后再進(jìn)行刪除。
重啟系統(tǒng)后,所有手動(dòng)查殺病毒的工作完畢,我們的系統(tǒng)就又恢復(fù)正常了。
四、小結(jié)
事實(shí)上,“熊貓燒香”對(duì)于我們的電腦的危害遠(yuǎn)不止于此,只是說(shuō)在不使用任何輔助工具的前提下,我們能做的基本上就是這些了。對(duì)于“熊貓燒香”病毒的手動(dòng)查殺部分就到這里,在以后對(duì)于別的病毒的研究中,由于它們比“熊貓”要強(qiáng)大,我們不得不使用一些專(zhuān)業(yè)工具作為輔助。也希望大家能夠親自去嘗試,勤動(dòng)手,由這里開(kāi)始,不再懼怕病毒。