手动杀毒关键要点分析.doc

【titian排毒专题】手动杀毒关键要点分析 前言 病毒木马应用的技术越来越高级，很多安全软件可能会被轻松干掉，同时病毒木马的变种层出不穷，在安全软件的病毒库未能及时更新或者病毒木马专杀未出之前，很多人的表现都是不知所措，而不能在第一时间进行手动查杀。这里我将做个专题，针对手动杀毒的各项关键技术进行介绍。 此贴可能为我在计算机技术与网络版块的最后一个主题帖，因为精力不够，卡巴斯基的帖子基本上都没有再更新，更别提初始准备建立CQU卡巴斯基更新服务器的想法。欢迎转载，但请注明来源。 关键词：恶意程序，HOOK,INLINE-HOOK，保护，查杀 目录： 前言 初试身手，解决LSASS.EXE病毒 系统启动过程 安全辅助工具介绍 常见病毒木马技术 手动杀毒要领 手动杀毒步骤 其它一些辅助方法 初试身手，解决LSASS.EXE病毒 最近是毕业打印论文高峰期，各类病毒也伴随着传播开来，如最近身边不少同学中的LSASS.EXE，SVCHOST.EXE等病毒。正好这几天一位[b]裸奔[/b]同学中了LSASS.EXE，表现为系统会突然自动重启任务管理器多出几个类似LSASS.EXE,SMSS.EXE但是路径不是%windir%\system32\目录下，并且不是由系统用户启动，而且在任务管理器中无法结束这些进程。 首先使用XueTr，打开跳出提示有线程注入，进入XueTr界面。 设置选项勾选“禁止自动重启，关机”，“禁止进程创建”。然后依次如下步骤： 1.检查各类钩子，发现c:\windows\system32\dnsq.dll安装了用户级的代码钩子，基本上所有的进程都安装了OpenProcess的钩子，以便于注入新创建的进程，还有安装的EnumProcessModules钩子等，包括XueTr本身也被线程注入； 2.检查进程，发现了两个可疑进程，LSASS.EXE,SMSS.EXE，根据其路径可以得知为非系统进程，而且根据其父PID，路径可以确定病毒程序； 3.查看进程模块加载信息，首先通过数字签名验证，然后发现包括Explorer.exe，Winlogon.exe，svchost等进程都有dnsq.dll的线程注入，记下可疑信息。如果直接对这些模块进行卸载会导致系统崩溃； 利用天琊的进程管理功能，添加%windir%\system32\com\lsass.exe为阻止启动进程，首先结束SMSS.EXE，然后依次结束winlogon.exe,services.exe等，仅仅留下Csrss.exe和system,然后恢复相关应用钩子； 5.进入启动项查看界面，发现AppInit_DLLS被修改为c:\windows\system32\dnsq.dll，其会被具有用户界面的应用程序载入。删除启动项目。强制删除病毒文件，包括c:\system32\dnsq.dll,c:\windows\system32\com\lsass.exe，c:\windows\system32\com\smss.exe，以及各分区下*\autorun.inf,*\pagefile.pgf。清除AppInit_DLLS键值并使用辅助工具的“重启启动电脑”功能。 安装卡巴斯基，更新并全盘扫描。 系统启动过程 在了解杀毒技术之前，首先必须对Windows系统的启动有个大概的了解。 在按下主机电源键后，BIOS将检测系统硬件，如果检查失败，则主机报警；然后进入硬盘的主引导分区，读取硬盘引导程序（在DOS下可以通过fdisk /mbr命令重置引导分区）；主引导代码会读取系统根目录下的NTDLR文件，如果没有找到，系统将停止启动并给出错误提示； NTLDR文件的工作为读取系统根目录下的boot.ini文件，即引导菜单，接着清屏并显示系统进度条，这个进度条表示NTDLR文件在加载系统文件，如果加载失败则无法进入系统，这些系统文件首先是Hal.dll,NTOSKRNL.EXE,然后是注册表下SYSTEM注册表文件（%windir%\system32\config)下的各种系统驱动文件，因为如果加载驱动失败，如文件驱动，则所有的文件则无法被读取（这里是一个关键点）； 加载完成后,系统将由NTOSKRNL.EXE文件创建SMSS.EXE进程，这个进程的工作是完成会话管理，负责创建用户模式环境，由用户模式环境向Windows提供可视的窗口界面；然后CSRSS.EXE，WINLOGON.EXE进程将被启用，如果这两个其中一个进程被KILL，SMSS.EXE将会让系统彻底崩溃； Csrss.exe是做什么的呢？它负责的工作是创建或删除进程、线程，控制台与虚拟DOS机的支持等；WINLOGON.EXE会启动SERVICES.EXE以及LSASS.EXE（本地安全认证子系统，会验