未知病毒的查杀技术

时间:2021-07-04 01:04:33

真正意义上的病毒主动防御技术特指的是对未知病毒的防范, 在没有获得病毒样本前阻止病毒的运行。

上面的话不知道是哪个专家对于主动防御技术的总结,其实从这句话就可以知道,现在没有真正意义上的主动防御。首先声明一件事,在这里我对杀软的任何评价,均不代表该杀软不好。我只是说它的功能的不足之处,不代表整体性能。

06年年末的时候网上的东方微点炒得很热,当时,该杀软主要以主动防御为卖点。让我错误的以为国内主动防御迈出了一大步,我满怀期待的下载测试了一下。结果令我很是失望,我用了一个大约有500个病毒的病毒库(95%的病毒是已经能被普通杀软查杀的已知病毒),运行里面的病毒,直到卡死机,微点一个病毒也没有报。结果我仅让微点在我系统带了5个小时,永久的删除了它。

未知病毒的查杀的确很难,杀软不容易办到,如果杀软能嵌入系统的内核,我想可能会对未知病毒的查杀效果好的多。但是微软会把操作系统代码公布吗?所以,主动防御短时间内,可能只会有很小的突破。(现在微软自己也在搞杀软,但是现在的效果不好,不知道以后怎么样。)

好了,回归主题。今天讲解一下,普通用户,借助常用的小软件对未知病毒进行查杀。

上次已经介绍了发现未知病毒的方法,其实病毒如果能被发现查杀就不是太难,当然排除某些极其恶性的病毒。

当怀疑自己中了未知病毒,用HijackThis 扫描之后,可以发现注册表,系统服务的可疑项,当然这个你要对HijackThis很熟悉,对于HijackThis的使用网上教程很多,搜索一下自己看看。看不懂也要学着看一下,慢慢你就知道了系统哪些是正常的哪些是不正常的了。

今天还是那灰鸽子为例吧。

首先启动冰刃,在进程里面看到一般情况下,里面的进程应该是黑色的,但是如果有特殊的插入话,会出现红色的。(当然有些就算不是鸽子插入也会显示红色,这个需要具体分析,一般情况下红色的就代表可能中毒,这个我也不敢绝对的说。)

看到红色显示的先用冰刃结束它,然后用HijackThis进行日志扫描,扫描日志如果发现发现O23 - Service: XXXService - Unknown owner - C:/windows/system32/XXX.EXE,这个xxx代表任意的,非系统的,也就是你从来没用过的一个可执行程序。然后到C:/windows/system32 显示隐藏文件,找到这个XXX.EXE看看同目录下有没有同名的 XXX.dll, XXX_Hook.dll。将这些文件删除,杀到这一步的时候鸽子基本已经杀掉了。然后清理一下注册表中和XXX.EXE名字相同的项目。当然如果你中鸽子有一段时间了,杀掉这个母本已经没有任何意义了,需要对系统进行全面排查。

从查杀鸽子可以看出一般未知病毒的查杀步骤1.查杀可以进程2.通过日志分析可疑内容3.删除可疑内容相关文件.4.删除注册表中和可疑文件同名的项目。

其实还有一步就是修复,部分病毒会对系统造成相当大的破坏性,比如,修改程序(熊猫烧香大家还记得吧),这样的病毒查杀完后之后被破坏的文件还是一样无法恢复(当然现在是可以了)。 对于这种病毒,大家可以将被破坏的程序重装,或者先打包压缩,等有恢复功能的查杀工具出来再恢复。至于系统文件可以将系统安装盘放进去,然后在系统菜单》》运行里输入 sfc/ scannow 。(从硬盘恢复需要有安装盘的拷贝,修改注册表相关文件,有需要网上搜索一下。这里不再详述)  被病毒删除的文件可以用一些恢复软件恢复。当然恢复回来的也是带毒的,注意隔离。

写到这里我也有些感触,其实大部分时间手动杀毒的意义不大,因为病毒一般感染的话会感染大量文件,这样造成修复困难。这里的查杀方法等也只是控制住病毒的感染范围。