关于某个信安科创大作业病毒的手动杀
好吧。。承认这个还是不是很困难的。
首先,实验环境必须是XP。
然后检测这个软件我们需要用RootkitRevealer。
杀死这个软件需要用我们可爱的冰刃,icesword,这个软件真的很好用哟。我恨喜欢。
然后首先虚拟机建立snapshot。然后安装RootkitRevealer。用于检测哪些文件进行了修改。
然后感染病毒。
然后就是如何杀了。
启动冰刃,点击进程,可以看到一个红红的IE浏览器进程,红色代表这个进程被检测出为隐藏进程(你任务管理器里是看不到滴,这个是XP的一个漏洞,微软似乎已经没有心情修复了)。然后呢把它结束掉,再看看有没有其他的IE,一并关掉。
然后来到下面的标签页,文件处,打开,点开C盘,进入C:\WINDOWS目录下。找到G_开头的几个文件,全部右击,强制删除。应该是是两个DLL一个EXE,也有可能多个,反正全删除。
然后重启。病毒就被清楚了。话说rootkitrevealer一直提示注册表有两处修改,愿意也一并删除掉吧。这个用regedit或者继续用冰刃都可以。
关于这个病毒的感染方式。
这个病毒应该是一个利用HOOK的方式绑定在IE的,然后当用户启动IE时就会感染。IE一个默认启动进程作为隐藏进程启动从而避免被查杀,将病毒的几个文件设置为系统隐藏,似乎又加了一些注册表设置,防止用户发现。
关于查杀病毒的大概环节。
1、比较文件,比较感染前和感染后的情况
2、断网+进入安全模式(当然这次不需要),然后先删除守护进程,你可以在杀死那个红色IE进程前先删除文件,会发现无法删除的。接着删除相关文件,清理相关注册表,如果修改了核心文件,则需要修复相关的核心文件(多数现在病毒已经非常恶心了)
就这样吧 = =|||
其实蛮简单的。
好吧。。承认这个还是不是很困难的。
首先,实验环境必须是XP。
然后检测这个软件我们需要用RootkitRevealer。
杀死这个软件需要用我们可爱的冰刃,icesword,这个软件真的很好用哟。我恨喜欢。
然后首先虚拟机建立snapshot。然后安装RootkitRevealer。用于检测哪些文件进行了修改。
然后感染病毒。
然后就是如何杀了。
启动冰刃,点击进程,可以看到一个红红的IE浏览器进程,红色代表这个进程被检测出为隐藏进程(你任务管理器里是看不到滴,这个是XP的一个漏洞,微软似乎已经没有心情修复了)。然后呢把它结束掉,再看看有没有其他的IE,一并关掉。
然后来到下面的标签页,文件处,打开,点开C盘,进入C:\WINDOWS目录下。找到G_开头的几个文件,全部右击,强制删除。应该是是两个DLL一个EXE,也有可能多个,反正全删除。
然后重启。病毒就被清楚了。话说rootkitrevealer一直提示注册表有两处修改,愿意也一并删除掉吧。这个用regedit或者继续用冰刃都可以。
关于这个病毒的感染方式。
这个病毒应该是一个利用HOOK的方式绑定在IE的,然后当用户启动IE时就会感染。IE一个默认启动进程作为隐藏进程启动从而避免被查杀,将病毒的几个文件设置为系统隐藏,似乎又加了一些注册表设置,防止用户发现。
关于查杀病毒的大概环节。
1、比较文件,比较感染前和感染后的情况
2、断网+进入安全模式(当然这次不需要),然后先删除守护进程,你可以在杀死那个红色IE进程前先删除文件,会发现无法删除的。接着删除相关文件,清理相关注册表,如果修改了核心文件,则需要修复相关的核心文件(多数现在病毒已经非常恶心了)
就这样吧 = =|||
其实蛮简单的。
490
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
