網誌
電腦與病毒【進階篇】part01
||
萌萌看板娘:
淦...右手殘把分頁關了,還好我用的是火狐,不是IE (燦笑)
不然我可能會直接摔電腦 Orz
序:
前一篇"電腦與病毒"教了簡單的清毒作法,但是確有很多缺點
像是有些病毒檔防毒軟體還掃不到的狀況下,會造成清除不完全而一直重生的慘況
此篇只教一種程式,SREng,其他其實還有很多,要一一介紹其實介紹不完
此程式算入門篇的,方便簡單,但也有些缺點
例如,exe檔感染型的病毒其實他沒察覺,除非他自己主程式也被感染
因此,個人是認為防毒軟體是一定要灌的,至少會保護執行檔,就如前一篇所說
下面的連結是本人之前打的SREng基本用法,對於常用的部分都有詳盡解說
如何使用SREng
_______________________________________________________________
進入主題:
看這種東西,最重要的就是『Google+經驗』(請不要相信"奇毛子"(拖)
順便附送一個google查詢方法""在要查詢的東西兩邊打上"查出來的就是完整搜尋
看SREng有幾個重點,最簡單的就是看檔案位置,如果有你沒看過的東西,就去google查一下
舉例來說,下面是註冊表的某個東西,我用藍色標起來的是登錄檔的位置
紅色標起來的地方就是檔案位置,而綠色則是登錄檔的值
最先要注意的就是檔案名稱,也就是紅色的部分
像上面來說,去google查一下可以知道,一般我們電腦裡面只有
"c:\windows\system32\svchost.exe"
很明顯的,上面那個檔案就是病毒,這時候就可以把這東西刪除了
這算最簡單的,剛開始,你可能每個檔案都要查
一份SREng日誌你可能會看到1~2小時,甚至更久
但是久而久之,以後就大概知道哪些是病毒了。
在看註冊表的時候要多注意一些東西,例如下面那行,IFEO映象劫持之前在入門篇提過吧
在SREng裡面可以顯示出來,而且SREng也附送你刪除這些機碼的功能,強力給他刪除就對了=3=
再來是註冊表的"Useinit"這個地方有時候會被修改掉!!,例如下面那行
正常的"Userinit"只有
這時候就要打開SREng點選這個按編輯,把"C:\WINDOWS\smss.exe"這個去掉再按確定就可以了
說到AutoRun.inf
這是某隻kavo病毒產生的autorun.inf,在SREngLOG會顯示在正在運行的程式下面
在刪除時不只要刪除autorun.inf
還要看autorun.inf啟動了什麼東西,例如這Autorun.inf會呼叫"ntdelect.com"、"ntdeIect.com"
請順手也把這兩個檔案列入要刪除的行列中=3=
另外,看看這個hosts
一般來說只會有第一行這個
不過有後面幾行並不一定有問題,例如這個host屏閉了"3721"跟"百度搜霸"
也有遇過host有問題的(我只擷取一段,因為太長)
也看過屏閉掉一堆防毒網站的host(一樣只列舉幾個)
如果只有幾個的話,一個一個慢慢刪除就可以了,太多的話就直接點選重置吧
其實打這麼長一篇,重點在於,只要看檔案路徑就好了
沒看過的東西去google查一下都會有答案,如果google查不到的一般就是病毒了
另外,如果某個檔案,你判斷不出來到底是什麼?
是命名很鳥的系統檔?又或是取名很讚的病毒檔?
這邊提供你一個非常方便的網站,單檔掃毒,一般稱做VT
VirusTotal 是一款可疑檔案分析服務,通過各種知名反病毒引擎
對您所上傳的檔案進行偵測,以判斷檔案是否被病毒,蠕蟲,木馬,以及各類惡意軟體感染。
內建很多知名引擎,例如"卡巴斯基","諾頓","小紅傘","ESET"等等
但是有些,例如有些危險軟體,又或者是破解檔都有可能被判斷為病毒
也有些誤判可能,例如系統檔被誤判,造成誤殺的情況,雖然不常見
也因此,掃出來的檔案,用戶就必須自行判斷了是非了
PS:功能越強大的軟體,附帶的危險性也就越強
像是冰刃很好用,但是砍了系統檔可是一點也不好玩
個人建議,在真的完全瞭解該檔案以後才做處理動作
不然,一手殘成千古恨可是會讓人哭笑不得的 (?)
淦...右手殘把分頁關了,還好我用的是火狐,不是IE (燦笑)
不然我可能會直接摔電腦 Orz
序:
前一篇"電腦與病毒"教了簡單的清毒作法,但是確有很多缺點
像是有些病毒檔防毒軟體還掃不到的狀況下,會造成清除不完全而一直重生的慘況
此篇只教一種程式,SREng,其他其實還有很多,要一一介紹其實介紹不完
此程式算入門篇的,方便簡單,但也有些缺點
例如,exe檔感染型的病毒其實他沒察覺,除非他自己主程式也被感染
因此,個人是認為防毒軟體是一定要灌的,至少會保護執行檔,就如前一篇所說
下面的連結是本人之前打的SREng基本用法,對於常用的部分都有詳盡解說
如何使用SREng
_______________________________________________________________
進入主題:
看這種東西,最重要的就是『Google+經驗』(請不要相信"奇毛子"(拖)
順便附送一個google查詢方法""在要查詢的東西兩邊打上"查出來的就是完整搜尋
看SREng有幾個重點,最簡單的就是看檔案位置,如果有你沒看過的東西,就去google查一下
舉例來說,下面是註冊表的某個東西,我用藍色標起來的是登錄檔的位置
紅色標起來的地方就是檔案位置,而綠色則是登錄檔的值
最先要注意的就是檔案名稱,也就是紅色的部分
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <WinSysW><C:\WINDOWS\swchost.exe> [] |
像上面來說,去google查一下可以知道,一般我們電腦裡面只有
"c:\windows\system32\svchost.exe"
很明顯的,上面那個檔案就是病毒,這時候就可以把這東西刪除了
這算最簡單的,剛開始,你可能每個檔案都要查
一份SREng日誌你可能會看到1~2小時,甚至更久
但是久而久之,以後就大概知道哪些是病毒了。
在看註冊表的時候要多注意一些東西,例如下面那行,IFEO映象劫持之前在入門篇提過吧
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe] <IFEO[ctfmon.exe]><C:\WINDOWS\inf\MsnSvc64.exe> [N/A] |
在SREng裡面可以顯示出來,而且SREng也附送你刪除這些機碼的功能,強力給他刪除就對了=3=
再來是註冊表的"Useinit"這個地方有時候會被修改掉!!,例如下面那行
<Userinit><C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\smss.exe,> |
正常的"Userinit"只有
<Userinit><C:\WINDOWS\system32\userinit.exe,> |
這時候就要打開SREng點選這個按編輯,把"C:\WINDOWS\smss.exe"這個去掉再按確定就可以了
說到AutoRun.inf
[D:\] [AutoRun] open=ntdelect.com ;shell\open=Open(&O) shell\open\Command=ntdeIect.com shell\open\Default=1 ;shell\explore=Manager(&X) shell\explore\Command=ntdeIect.com |
這是某隻kavo病毒產生的autorun.inf,在SREngLOG會顯示在正在運行的程式下面
在刪除時不只要刪除autorun.inf
還要看autorun.inf啟動了什麼東西,例如這Autorun.inf會呼叫"ntdelect.com"、"ntdeIect.com"
請順手也把這兩個檔案列入要刪除的行列中=3=
另外,看看這個hosts
一般來說只會有第一行這個
127.0.0.1 localhost |
也有遇過host有問題的(我只擷取一段,因為太長)
127.165.182.214 yoyo-do.com 127.95.169.199 www.yoyo-do.com 127.165.135.195 www.wg88.net 127.146.42.134 www.8bot.net 127.49.169.88 www.cabww.com 127.135.169.158 cabww.com 127.180.156.119 bbs.cabww.com 127.45.106.112 126.com.tw 127.81.54.178 126.tw |
127.0.0.4 www.virustotal.com 127.0.0.4 kaspersky.com |
如果只有幾個的話,一個一個慢慢刪除就可以了,太多的話就直接點選重置吧
其實打這麼長一篇,重點在於,只要看檔案路徑就好了
沒看過的東西去google查一下都會有答案,如果google查不到的一般就是病毒了
另外,如果某個檔案,你判斷不出來到底是什麼?
是命名很鳥的系統檔?又或是取名很讚的病毒檔?
這邊提供你一個非常方便的網站,單檔掃毒,一般稱做VT
VirusTotal 是一款可疑檔案分析服務,通過各種知名反病毒引擎
對您所上傳的檔案進行偵測,以判斷檔案是否被病毒,蠕蟲,木馬,以及各類惡意軟體感染。
內建很多知名引擎,例如"卡巴斯基","諾頓","小紅傘","ESET"等等
但是有些,例如有些危險軟體,又或者是破解檔都有可能被判斷為病毒
也有些誤判可能,例如系統檔被誤判,造成誤殺的情況,雖然不常見
也因此,掃出來的檔案,用戶就必須自行判斷了是非了
VirusTotal網址 | http://www.virustotal.com/zh-tw/ |
PS:功能越強大的軟體,附帶的危險性也就越強
像是冰刃很好用,但是砍了系統檔可是一點也不好玩
個人建議,在真的完全瞭解該檔案以後才做處理動作
不然,一手殘成千古恨可是會讓人哭笑不得的 (?)
全部作者的其他最新網誌
發表評論 評論 (2 個評論)
- 回覆 KOGA.tpe!
- MS邪惡帝國推出
Microsoft Security Essentials
http://www.microsoft.com/Security_essentials/Default_zh_cn.aspx
保護您電腦安全.......
MS帝國 也跨行 做防毒軟體啦...XD
---------------------------------------
手殘、手滑、手賤...乃是幹掉電腦系統最厲害的三隻手...
養成良好 備份習慣 才是真的...
- 回覆 藤乃紫音
- KOGA.tpe!: MS邪惡帝國推出一般簡稱MSE,不過目前好像還沒繁體中文的
Microsoft Security Essentials
http://www.microsoft.com/Security_essentials/Default_zh_cn.aspx
保護您電腦安全.......
MS帝國 也跨行 做
而且介面 (望+摔
我自己是安裝過,不怎麼好看,不過不錯倒是真的
畢竟自己的核心自己最清楚 =_=