在进行手工清除病毒时,我们需要一些辅助工具来提高效率,更准确的找到病毒木马并清除,例如autoruns、currports、procexp、urlsnoop等,这些相关工具的基本使用及一些判断方法已在之前的文档中有过介绍,不过除了辅助工具外,还应该注意以下几点。
1,我们查找病毒木马时应该细心,同时要对系统中的一些文件及进程有所了解,因为很多木马病毒都会加以混淆,例如名称是windows系统自带的文件名称,但只是位置不对,这个时候通过网络搜索进程名则给出的信息都是正规的介绍信息。
例如有个winhelp.exe的执行文件,存在于c:\\windows\system32\winhelp.exe,则可以确定为恶意程序,因为winhelp文件主要存放在c:\\windows和windows\system32\dllcache中。如果是windows文件名称,则可以通过网络搜索该文件,确定其正确的存放位置。或者找一台干净的系统,搜索该文件的位置以作对比。
2,建议使用u盘装一个一键ghost工具,清除病毒前可对系统进行备份,因为有些病毒感染比较深,可能会影响系统正常启动,有备份后则可以还原继续尝试。(建议每处理一小步就进行一次备份,当然这是对于资料比较全的电脑,如果没有什么资料,则完全可以重做系统彻底清除)。
4,清除物理位置的文件,我们把文件删除到回收站时,文件并没有删除,依然存在硬盘中,则有恢复的可能,所以建议将回收站也进行清空。
每个盘符下都有一个隐藏的recycle文件夹,打开后里面是回收站,回收了当前盘符所删除的内容,我们可以通过文件夹选项,将隐藏受保护的操作系统文件勾去掉即可查看,这里知识演示,建议勾选此选项,直接清空清空回收站即可,如下图。
5,建议关闭电脑的自动播放,当插入u盘或者光盘时,硬盘会自动读取里面的内容,如果有媒体文件则会自动播放。开启自动播放功能有利于u盘等一些驱动器中的病毒自动执行传播,关闭后可一定程度防止病毒泛滥。
关闭方法:系统不同可能位置不一样,gpedit.msc打开本地策略,win10在管理模板-windows组件-自动播放策略-关闭自动播放。本地策略有两个配置,一个是计算机配置,一个是用户配置,计算机配置优先于用户配置,当两者都配置时,则会使用计算机中的配置,如下图。
配置关闭自动播放,选择启用,驱动器选择所有驱动器即可,如下图。
6,也可以使用一些杀毒软件进行查杀,效率更高。当手动清除时,需要多关注文件的位置、大小、名称等信息,平时多积累一些主要进程主要文件的相关信息,如果不熟悉则可通过网络或干净的系统来获取,以便于更准确的分辨。
公众号推荐:aFa攻防实验室
分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。
扫一扫
199
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
