手工杀毒-手工查杀病毒木马
2014-11-27 22:14
381 查看
手工杀毒的方法:
对于常见的木马病毒,可通过以下方法找出木马病毒文件并进行清除:
一、注册表清除
利用注册表加载运行如下所示的注册表位置是木马的藏身之处:
HKEY_LOCAL_MACHING\Software\Windows\Current Version下所有以“run”开头的键值。
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version下所有以“run”开头的健值。
HKEY_USERS\Default\Software\Microsoft\Windows\Current Version下所有以“run”开头的健值。
二、系统文件
在System.ini中启动,System.ini位于Windows的安装目录下,其“boot”字段的Shell=Explore.exe是木马的隐蔽加载场所,木马通常的做法是将该句变为Shell=Explore.exe,注意这里的Window.exe就是木马服务端程序。
三、启动命令
在Win.ini中启动,在Win.ini的“Windows”字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果后面跟着程序,内有可能是木马。
四、修改文件关联
修改文件关联是木马常用手段,比如说下沉情况下TXT文件的打开方式为Notepad.exe文件,但一旦中了文件关联木马,则TXT文件的打开文件就会被修改为用木马程序打开。
五、在Autoexec.bat和Config.sys中加载运行
在C盘根目录下的这两个文件也可以启动木马。但这种加载一般都需要控制用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,容易被发现。所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心。
六、在Winstart.bat中启动
Winstart.bat具有系统特殊性,也是一个能启动并被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Win .com并加载了一些驱动程序之后开始执行。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行。
七、反复感染木马的文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原文件。这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会安装上去。如绑定到系统文件,那么每一次Windows启动均会启动木马。
对于常见的木马病毒,可通过以下方法找出木马病毒文件并进行清除:
一、注册表清除
利用注册表加载运行如下所示的注册表位置是木马的藏身之处:
HKEY_LOCAL_MACHING\Software\Windows\Current Version下所有以“run”开头的键值。
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version下所有以“run”开头的健值。
HKEY_USERS\Default\Software\Microsoft\Windows\Current Version下所有以“run”开头的健值。
二、系统文件
在System.ini中启动,System.ini位于Windows的安装目录下,其“boot”字段的Shell=Explore.exe是木马的隐蔽加载场所,木马通常的做法是将该句变为Shell=Explore.exe,注意这里的Window.exe就是木马服务端程序。
三、启动命令
在Win.ini中启动,在Win.ini的“Windows”字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果后面跟着程序,内有可能是木马。
四、修改文件关联
修改文件关联是木马常用手段,比如说下沉情况下TXT文件的打开方式为Notepad.exe文件,但一旦中了文件关联木马,则TXT文件的打开文件就会被修改为用木马程序打开。
五、在Autoexec.bat和Config.sys中加载运行
在C盘根目录下的这两个文件也可以启动木马。但这种加载一般都需要控制用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,容易被发现。所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心。
六、在Winstart.bat中启动
Winstart.bat具有系统特殊性,也是一个能启动并被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Win .com并加载了一些驱动程序之后开始执行。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行。
七、反复感染木马的文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原文件。这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会安装上去。如绑定到系统文件,那么每一次Windows启动均会启动木马。
相关文章推荐
- 杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩(论杀或者不杀 )
- 杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩
- 杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩(论杀或者不杀 )
- 杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩(论杀或者不杀 )
- “暗号”关闭杀毒软件 下载其它病毒木马
- centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多!
- 【根据PID进程号查杀病毒木马】
- 手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)
- lsass.exe病毒木马手工清除方法
- 病毒木马查杀实战第003篇:熊猫烧香之行为分析
- 病毒木马查杀实战第010篇:QQ盗号木马之十六进制代码分析
- 手工查杀“熊猫烧香”新病毒 -收藏
- 病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御
- 手工查杀优盘中的病毒
- centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多!
- 病毒木马查杀实战第004篇:熊猫烧香之专杀工具的编写
- 病毒木马查杀实战第023篇:MBR病毒之引导区的解析
- 手工清除隐藏的病毒和木马
- KV2007查杀病毒后桌面无显示?原来是网游盗号木马惹的祸1
- 病毒木马查杀实战第022篇:txt病毒研究