菜鸟试毒记

向东

闲来无事，在卡饭论坛的病毒样本区，下载了七个恶意木马，放到实机测试一下。
测试环境：CPU:P4 2.4G  内存：1 G
安全环境：EQSecure 3.41 Final + LNS防火墙
测试开始
打开EQ，把保护模式的所有权限都放开，同时记录日志，方便一会杀毒时查用，把唯一的底层磁盘读写给阻止掉，我可不想一会分区表被改或者格式化之类的恶作剧，导致电脑不能开机，那就麻烦了。
开启LNS墙，选中应用程序过滤，开启动态链接库检测，这一举是为了防止下载者木马，远程下载更多的病毒到本机上来运行，到时就麻烦了，杀到你手麻了~~~~~~~~~~~
把所有病毒压缩包全部下载到了桌面，全部双击运行。
效果一会就出来了，电脑运行N缓慢，LNS墙频频报警，说有程序调用运态库连接外网，果然不出我所料~~~~~~~~
杀毒开始
准备工具：wsyscheck+冰刃+autoruns
杀毒工具：arswp2+360安全卫士
一直喜欢用wsyscheck这个工具，冰刃虽然在反隐藏能力上面稍显比wsyscheck高，结束进程能力也比它强，但是使用起来，还是诸多不便，比方说像我这样的菜鸟，就不适合了。Wsyscheck里面内置了微软程序的识别和数字签名的数据，用起来当然是方便多了，不是自家进程，全部红色表示，插入模块的，用紫色表示，一目了然阿。
打开360安全卫士，同时选中Wsyscheck的禁止进程与文件创建这一选项。现在的木马病毒，拥有守护能力的，比比皆是，如果不选中这个选项的话，你一旦卸载了一些病毒模块，它又会马上创建，使其周而复始的不被你查杀。
开始卸载模块，把所有紫色表示的进程选中，依次卸载掉一些可疑模块。切换回360安全卫士，点击恶意软件扫描，果然，一会结果就出来了
立即清理，HOHO~~~
想不到清理结果，却有两个不能查杀，说是要重新启动才能删除。查看了一下那两个木马的详情，一个是在drivers里面生成了SYS驱动文件，一个只是生成了些服务垃圾项。不管它，切换回360的查杀木马项，升级病毒库到最新，快速查杀了一下，依然没能干掉那两个东东，有点失望~~~~~~~~~~
切换回Wsyscheck，利用文件管理，定位到刚刚那个SYS文件，直接删除，再用服务管理，定位到刚刚那个垃圾服务，选中卸载并删除文件。查看一下HOST文件和端口状态，一切正常，再检查一下内核的SSDT和系统模块，全部正常。
接下来清除些注册表垃圾项，开启工具autoruns，查看一下是否映像劫持和一些常规则启动项，可疑项目，全部删除。搞定。重新启动电脑。
启动后，运行一切正常，用冰刃也看不出有什么可疑进程。
好了，终于可以打扫战场了，选中arswp2清理助手，升级到最新病毒库，执行一下C盘扫描，清除些残留的木马文件，搞定，收工。
后记：一切搞定之后，开启大蜘蛛绿色版对病毒样本进行测试一下，发现不能启动，提示注册日期失效，这才发现，原来我的系统时间被改了，HOHO，系统时间被改成了2004年的了，怪不得不能注册。
第一次试毒，实机测试，心情还真有点绷绷的，自我PF一下~~~~~~~~~

[ 本帖最后由 向东 于 2008-9-27 18:20 编辑 ]

不错，继续努力！

5886574

厉害

·男人·

不错，努力

ahzsmzkf

实机测试有胆量，赞

bill361410

好 样的  支持啊！！

向东

实机测试也没什么，我认为，只要不格化硬盘，修改分区表，修复起来，不会很麻烦的。找个机会，测试一下传闻中的熊猫烧香去，看看牛到什么程序~~~~~~

asinasina

...... ，换虚拟机吧....前人有过经验教训

向东

谢谢提醒，以后一定虚拟机测试，以防不测。
不知楼上大哥，能推荐一下虚拟机不？VirtualBox和vmware，哪个更好？
VirtualBox占用资源比较少，但是网络测试能力不强，反之则vmware。
正在徘徊中~~~不知选哪个好

1e3e

好厉害，希望楼主继续发这样的教程