|
以身试毒 打造自己的电脑病毒实验室(2)
第四步:运行病毒程序就可以了。
2.静观病毒发飙
搜集证据:在短暂的假死后,弹出一个出错的对话框,确认后系统恢复正常。打开Filemon仔细看看病毒干了什么:
①sxs将生成的病毒文件和一个Autorun.inf文件复制至硬盘各分区和移动存储☆。
②复制病毒文件htedtp.exe和htedtp.dll到C:\Windows\system32\下(见图4)。
③创建C:\Windows\system32\QQhx.dat
④病毒在C:\Windows\system32下发现并删除瑞星卡卡助手的kakatool.dll文件,导致卡卡助手无法启动(见图5)。
⑤关闭C:\Windows\system32\RavExt.dll,这个文件和瑞星监控有关(见图6)。
小知识:如何判断病毒进程
有些病毒会将DLL文件插入系统的进程,如果真的遇到有掩护的病毒进程,可以试着结束EXPLORER.EXE进程后再结束病毒进程来解决,因为很多病毒都是靠插入系统进程来保护自己从而达到不死之身的目的。经常被插入的系统进程还有svchost.exe和CSrss.exe等等,像这些进程直接结束会有导致系统崩溃,建议对这些插入关键系统进程和创建N个进程互相掩护的可查杀病毒,用杀毒软件自带的DOS杀毒工具在DOS下查杀为佳。顺便提一下,有些朋友不了解系统中的进程,我们建议用Windows进程管理(prcmgr)来彻底认识系统进程,它的进程描述可帮了我们不少忙。
3.针锋相对灭病毒之步步为营
⑴精确打击病毒文件
过了1分多钟,发现病毒没有再进行什么,估计已经潜伏好了。现在该IceSword上场了,先是进程,没有发现病毒。既然进程中没有,那就直接删除系统文件夹中的病毒,用IceSword的文件夹浏览功能就可以使所有文件显出原型,即便病毒修改了注册表。用IceSword打开C:\Windows\system32\点击“创建时间”,直到将时间拉到现在,这样system32下的新建的所有文件就会一目了然。可以看到htedtp.exe和QQhx.dat两个在Filemon列表中出现过的病毒文件,至于htedtp.dll无需废话直接连它一起右击“强制删除”即可。根据Filemon的文件动作列表显示的病毒动作列表,按图索骥清除其他分区病毒。
小知识:关于不可显示隐藏文件的问题
由于部分病毒修改注册表中:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\Hidden\SHOWALL]下的CheckedValue"=dword:00000001键值为CheckedValue"=dword:00000000或者干脆胡乱修改。使得即便在文件夹选项中选择了“显示所有文件和文件夹”并且确认后,再次打开文件夹选项后,发现选项仍是“不显示隐藏文件和文件夹”。就是通过这种方法大部分病毒达到了隐藏的目的。在将键值改正后一般就会恢复正常。如果还是不行的话,可以删除键值,再重新建一个CheckedValue的dword值。如果还是嫌麻烦的话,网上专门有高手制作的工具可以使用或者将正常的注册表值导入即可。
| 
