先介绍2个比较常用的工具软件
1.SREng
2.IceSword
查杀流程:
一、进程
查看方法:
- 查看文件路径(排除基本的系统进程、已知的安装软件的进程)
- 查看进程注入(dll注入)
二、启动项/驱动
1.常见启动项
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
- [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A](相当于win.ini文件)
- [HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Publisher]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Publisher]
- [HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
2.启动文件夹
- C:\Documents and Settings\All Users\「开始」菜单\程序\启动
三、服务/驱动
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
四、其他
- win.ini(%systemroot%\win.ini)
- system.ini(%systemroot%\system.ini)
- Autoexec.bat(%systemroot%\autoexec.bat)
- autorun.inf
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options](映像劫持)
- HOSTS
- WINSOCK
- APIHOOK
说明:Windows利用扩展名为.INI的文件保存Windows及其应用程序的初始化信息。Windows的两个最重要的INI文件是WIN.INI和SYSTEM.INI,WIN.INI控制 Windows用户窗口环境的概貌(如窗口边界宽度、系统字体等),而SYSTEM.INI包含整个系统的信息(如显示卡驱动程序等),是存放 Windows启动时所需要的重要配置信息的文件,相当于DOS中的CONFIG.SYS
五、查找病毒文件,删除。
转载于:https://blog.51cto.com/dadaru/60160
扫一扫
3033
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
