手工查杀病毒入门基本知识简介----学习讨论

墨泉

一款优秀的防火墙并不能防御所有的病毒，一款优秀的杀毒软件并不能查杀所有的带毒程序。在杀毒软件不是很智能的今天，简单的修改木马过几款出色的杀毒软件并不艰难。所以，在杀毒软件不能识别病毒的情况下，我们就有必要手工查杀病毒。


    手工查杀病毒，顾名思义，就是在不使用杀毒软件的情况下人为的使用一些系统自带的或非系统自带的手工辅助工具进行查杀病毒。有些人怀疑手工杀毒是否有必要呢？其实，杀毒软件只是一条看门狗，作为主人的你，理论上应该比那条狗更清楚入屋者是不是贼才对。这只是作为管理者的一种基本意识。引用一位高手朋友的一句话：“只要杀毒软件还要更新病毒库，免杀就依然可以成功。”这也就说明了手工查杀病毒很有必要，因为杀毒软件是没办法识别经过免杀修改了的病毒的，这类病毒只能手工查杀。而手工查杀是不是需要很雄厚的基本功呢？实话实说，是应该对系统有所了解才能做得到，但是，意识都是慢慢培养的，学习也是一个缓慢的过程，接触多了，也就简单了。


    废话至此，下面开始简单介绍一些查杀病毒的的方法：



课程总体分布




#1.任务管理器


#2.命令提示符（CMD）


#3.IceSword（冰刃）


#4.360安全卫士（辅助学习的好工具）


#5.简单应用，免杀灰鸽子手工查杀实例


#6.常用启动项


#7.映像劫持


#8.单挑07年毒王----AV终结者




一.常用工具使用简介

1.任务管理器




    任务管理器是大家最常用的工具，有两种比较简单的打开方式：一种是组合键Ctrl+Alt+Delete，另一种是在任务栏右键→任务管理器。在任务管理器的应用程序栏里面显示的是正在运行的正常程序的，而病毒程序是不会显示出来的， 所以我们一般都查看进程栏。在这里我首先向大家介绍一些主要的系统进程：

QUOTE:
        1.svchost.exe     
　　进程文件:svchost或者svchost.exe
　　描述:svchost host proscess是一个标准的动态链接库主机处理服务

  　　2.iexplore.exe   
　　进程文件:iexplore或者iexplore.exe
　　描述:microsoft internet explorer浏览器用于浏览网页。

  　　3.rundll32.exe   
　　进程文件:rundll32或者rundll32.exe
　　描述:windows rundll32 为了需要调用dlls的程序。

  　　4.ctfmon.exe   
　　名称:alternativeuserinputservices
　　描述:office xp输入法图标。

  　　5.winlogon.exe   
　　进程文件:winlogon或者winlogon.exe
　　描述:windows NT用户登录程序。

  　　6.alg.exe   
　　进程文件:alg或者alg.exe
    描述:这是一个应用层网关服务用于网络共享。

  　　7.smss.exe   
　　进程文件:smss或者smss.exe
　　描述:进程为会话管理子系统用以初始化系统变量，ms-dos驱动名称类似lpt1以及com，调用win32壳子系统和运行在windows登录过程。

     　8.explorer.exe   
　　进程文件:explorer或者explorer.exe
　　描述:windows program manager或者windows explorer用于控制windows图形shell，包括开始菜单、任务栏，桌面以及文件管理。

    　9.csrss.exe   
　　进程文件:csrss或者csrss.exe
　　描述:客户端服务子程序，用以控制windows图形相关子系统。

  　　10.lsass.exe   
　　进程文件:lsass或者lsass.exe
    描述:本地安全权限服务控制windows安全机制。

   　  11.conime.exe   
      进程文件:conime或者conime.exe
　　描述：输入法编辑器相关程序。

  　　12.wmiprvse.exe   
　　进程文件:wmiprvse或者wmiprvse.exe
    描述:用于通过winmgmt.exe程序处理wmi操作。。
　
       13.services.exe   
    进程文件： services 或者 services.exe
    描述：用于管理windows服务系统进程。




QUOTE:
系统进程路径对照表：

alg.exe            路径为C:\WINDOWS\system32\alg.exe；

conime.exe     路径为C:\WINDOWS\system32\conime.exe；

csrss.exe        路径为C:\WINDOWS\system32\csrss.exe；

ctfmon.exe     路径为C:\WINDOWS\system32\ctfmon.exe；

explorer.exe   路径为C:\WINDOWS\explorer.exe；

iexplore.exe    路径为C:\Program Files\Internet Explorer\iexplore.exe；

lsass.exe         路径为C:\WINDOWS\system32\lsass.exe；

rundll32.exe    路径为C:\WINDOWS\system32\rundll32.exe；

services.exe    路径为C:\WINDOWS\system32\services.exe；

smss.exe         路径为C:\WINDOWS\system32\smss.exe；

svchost.exe    路径为C:\WINDOWS\system32\svchost.exe；

winlogon.exe 路径为C:\WINDOWS\system32\winlogon.exe；

wmiprvse.exe 路径为C:\WINDOWS\system32\wbem\wmiprvse.exe；


上面的大多是一些随着系统启动的系统进程（iexplore.exe除外，如果开机就弹出网页或出现iexplore.exe进程就可以初步判定它是木马或者恶意程序）， 其中有的机子rundll32.exe是不随机启动的，wmiprvse.exe开机启动后过些时间会消失，必要时还会启动。



    对于陌生进程，我们可以考虑到百度搜索，查看一下是否为病毒进程。在此推荐大家遇到危险进程的时候查看一下危险进程速查表：

墨泉

【危险进程速查表】



       在任务管理器我们可以获取很多有用信息，例如进程的PID，所占用的内存、CPU，I/O写入等等，在系统运行不正常时我们可以根据这些信息来判断病毒的所在。


    其中PID和I/O写入项在 查看→选择列里选择显示，默认是不显示的，自己可以配置一下，把PID、I/O写入和I/O写入字节勾选上，即可查看到我们所想要的信息，如下图：



【图3】

【图4】

【图5】

      PID指的是进程的标识号，系统中是不会存在重复PID的，它们在启动的时候随机生成，只有两个例外，如上图：System Idle Process进程的PID为0,System进程的PID为4,它们是固定不变的。



    利用任务管理器，我们可以查看到每个进程所占用的内存和CPU的大小，正常来说，系统进程占用的内存并不多，一般不会超过50M，如果某个系统进程超过了100M的话就要留意了，很有可能已经被病毒注入。当你发觉硬盘灯狂闪时，就应该查看一下哪个进程占用的内存特别多，借以判断问题的源头，但有些时候所有的进程占用的内存并不多而硬盘灯也狂闪，我们就可以查看I/O写入和I/O写入字节的大小，问题一般都出在数值最大的进程上，这就是勾选出I/O写入和I/O写入字节I/O写入和I/O写入字节的作用所在。




    当任务管理器打不开时，可用下面三种方法修复：

QUOTE:
方法一：修改注册表。运行→regedit，展开到：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
找到"DisableTaskmgr"把dword值设置为00000000

方法二：
打开记事本，把下面的内容保存成.reg文件，然后双击导入恢复。
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskmgr"=dword:00000000

(最后一行留一空行)

方法三：利用组策略：
开始/运行/gpedit.msc,
在用户配置-管理模板-系统-CTRL+ALT+DELE选项，在左边找到“删除任务管理器”
双击打开，设置为未配置，或者禁用。


当注册表都被锁上时，可用记事本把下面内容保存成.bat文件，然后双击运行解锁：

QUOTE:
@reg  add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d 00000000 /f
start regedit 2.命令提示符（CMD）

    命令提示符是在OS / 2 ， Windows CE与Windows NT平台为基础的操作系统（包括Windows 2000和XP中， Vista中，和Server 2003 ）下的“MS-DOS 方式”。
    命令提示符是一个容易被大家忽略的强大的病毒查杀工具，在本课程只介绍命令提示符里几个简单的命令。


1.Dir命令

QUOTE:
DIR [drive:][path][filename] [/A[[:]attributes]] [/C] [/D] [/L] [/N]
[/O[[:]sortorder]] [/P] [/Q] [/S] [/T[[:]timefield]] [/W] [/X] [/4]

[drive:][path][filename]
指定要列出的驱动器、目录和/或文件。

/A 显示具有指定属性的文件。
attributes D 目录 R 只读文件
H 隐藏文件 A 准备存档的文件
S 系统文件 - 表示“否”的前缀
/B 使用空格式(没有标题信息或摘要)。
/C 在文件大小中显示千位数分隔符。这是默认值。用 /-C 来
停用分隔符显示。
/D 跟宽式相同，但文件是按栏分类列出的。
/L 用小写。
/N 新的长列表格式，其中文件名在最右边。
/O 用分类顺序列出文件。
sortorder N 按名称(字母顺序) S 按大小(从小到大)
E 按扩展名(字母顺序) D 按日期/时间(从先到后)
G 组目录优先 - 颠倒顺序的前缀
/P 在每个信息屏幕后暂停。
/Q 显示文件所有者。
/S 显示指定目录和所有子目录中的文件。
/T 控制显示或用来分类的时间字符域。
timefield C 创建时间
A 上次访问时间
W 上次写入的时间
/W 用宽列表格式。
/X 显示为非 8dot3 文件名产生的短名称。格式是 /N 的格式，
短名称插在长名称前面。如果没有短名称，在其位置则
显示空白。
/4 用四位数字显示年

墨泉

Dir命令主要用来查看隐藏的病毒文件，就例如盘符下的autorun.inf文件等.
假如想显示e:\zhouzhou\  下的所有文件则输入命令dir e:\zhouzhou\  ，让文件夹按时间顺序排列就在后面加  /od ,按大小排就加 /os  .........
如图：

【图6】   

2.Netstat

QUOTE:
netstat命令的功能是显示网络连接、路由表和网络接口信息，可以让用户得知目前都有哪些网络连接正在运作.

netstat [选项]

命令中各选项的含义如下：

-a 显示所有链接和监听窗口。

-b 显示包含于创建每个链接或监听端口的可执行文件。

-c 每隔1秒就重新显示一遍，直到用户中断它。

-i 显示所有网络接口的信息.

-n 以网络IP地址代替名称，显示出网络连接情形。

-r 显示核心路由表。

-t 显示TCP协议的连接情况。

-u 显示UDP协议的连接情况。

-v 显示正在进行的工作。


一般建议使用 netstat -nba  ，它显示的内容比较全面，连带进程所调用的dll文件都可以显示出来：

【图7】

用 netstat -an 所获得的信息相对少一点：

【图8】

netstat 命令主要用于查找木马，通过查看连接端口以及连接状态，可以较为准确的判断出木马进程。如下图：

【图9】

除了一个IE和QQ链接外，其他的正常链接我都断掉了，此时可以发觉还有另一个IE链接正处于Established状态，我只开了一个IE，为什么会有两个链接呢？显然，它是个木马。

【图10】

墨泉

注释：

QUOTE:
1、LISTENING:
    LISTENING表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。
　　
2、ESTABLISHED：
   ESTABLISHED的意思是建立连接。表示两台机器正在通信。

3、CLOSE_WAIT：
   CLOSE_WAIT对方主动关闭连接或者网络异常导致连接中断，这时我方的状态会变成CLOSE_WAIT 。

4、TIME_WAIT：
   TIME_WAIT的意思是己方结束了这次连接。说明某端口曾经有过访问，但访问结束了。


3.Tasklist

QUOTE:
TASKLIST [/S system [/U username [/P [password]]]]
         [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]

　　参数含义

　　/S system　指定连接到的远程系统。
　　/U [domain\]user　指定使用哪个用户执行这个命令。
　　/P [password]　为指定的用户指定密码。
　　/M [module]　列出调用指定的DLL模块的所有进程。如果没有指定模块名，显示每个进程加载的所有模块。
　　/SVC　显示每个进程中的服务。
　　/V　显示详细信息。
　　/FI filter　显示一系列符合筛选器指定的进程。
　　/FO format　指定输出格式，有效值：TABLE、LIST、CSV。
　　/NH　指定输出中不显示栏目标题。只对TABLE和CSV格式有效。


查到木马进程，我们可以通过Tasklist /svc 来查看所有进程以及木马的服务项，进而抑制木马启动。






4.Taskkill

QUOTE:
　　TASKKILL [/S system ]]]
　　{ [/FI filter] [/PID processid | /IM imagename] } [/F] [/T]
　　描述:
　　这个命令行工具可用来结束至少一个进程。
　　可以根据进程 id 或图像名来结束进程。
　　参数列表:
　　/S system 指定要连接到的远程系统。
　　/U [domain\]user 指定应该在哪个用户上下文执行这个命令。
　　/P [password] 为提供的用户上下文指定密码。如果忽略，提示输入。
　　/F 指定要强行终止进程。
　　/FI filter 指定筛选进或筛选出查询的的任务。
　　/PID process id 指定要终止的进程的PID。
　　/IM image name 指定要终止的进程的图像名。通配符 '*'可用来指定所有图像名。
　　/T Tree kill: 终止指定的进程和任何由此启动的子进程。
　　/? 显示帮助/用法。


遇到双进程或多进程保护的病毒，我们可以使用taskkill /f /pid 来结束“狼狈为奸”的病毒进程，因为任务管理器一次只能结束其中的一个，一个病毒进程被结束，另一个进程又会将它启动，使得你无法用任务管理器切底关闭病毒程序。此时我们可以用taskkill /f /pid来达到结束它的目的，格式如下图：

【图11】

5.Ntsd

QUOTE:
同taskkill命令一样，可以用来结束命令：

　　方法一：利用进程的PID结束进程
　　命令格式：ntsd -c q -p pid
　　命令范例： ntsd -c q -p 4440

　　方法二：利用进程名结束进程
　　命令格式：ntsd -c q -pn ***.exe （后缀.exe不能省）
　　命令范例：ntsd -c q -pn QQ.exe


6.Attrib

QUOTE:
　　attrib指令的格式和常用参数为
　　ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[drive:] [path] filename] [/S [/D]]
　　+ 设置属性。
　　- 清除属性。
　　R 只读文件属性。
　　A 存档文件属性。
　　S 系统文件属性。
　　H 隐藏文件属性。
　　[drive:][path][filename]
　　指定要处理的文件属性。
　　/S 处理当前文件夹及其子文件夹中的匹配文件。
　　/D 也处理文件夹。


本命令可以用来显示出隐藏的病毒文件，例如autorun.inf之类的文件。假如要查看D盘根目录下有没有autorun.inf，则可输入attrib d:\autorun.inf -s -h把隐藏着的autorun.inf给显示出来，并且去掉它的系统属性。






7.Del

QUOTE:
    Del命令用于删除一个或数个文件。

    DEL [/P] [/F] [/S] [/Q] [/A[[:]attributes]] names
　　names 指定一个或数个文件或目录列表。通配符可被用来
　　删除多个文件。如果指定了一个目录，目录中的所
　　有文件都会被删除。
　　/P 删除每一个文件之前提示确认。
　　/F 强制删除只读文件。
　　/S 从所有子目录删除指定文件。
　　/Q 安静模式。删除全局通配符时，不要求确认。
　　/A 根据属性选择要删除的文件。


要删除C盘根目录下的123.exe文件，则在cmd输入del /f c:\123.exe命令即可，借此命令删除一些病毒文件。3.IceSword（冰刃）
网上比较详细的冰刃实用教程是在是太多了，在此我就不班门弄斧了，只稍微简单的介绍一下它的部分功能.

IceSword在进程查杀强大且方便，在IceSword前，所有的隐藏端口、隐藏进程、隐藏文件一览无遗，可同时选中的多个任意进程一并杀除（System Idle Process、System、csrss.exe进程除外），不过，若错误关闭了其他主要的系统进程就有可能会引起系统崩溃，所以在结束进程前请确认是否是重要的系统进程，避免差错。

冰刃查杀病毒的一般步骤是：
1、查找病毒进程  2、结束进程  3、删除病毒文件  4、清理注册表


冰刃的主界面：

【图12】

进程项：
冰刃可以查看所有的隐藏和非隐藏进程，其中隐藏进程以红色显示出来（这里没有），它还显示了进程的PID以及路径，在其右键菜单中有结束进程等几个选项，支持一次结束多个进程，只要同时选中多个进程右键结束即可。

【图13】

端口项：
冰刃可以显示所有正在连接中的端口，及其所对应的本地、远程地址，状态，进程PID以及进程路径，当你把所有的正常连接都关闭之后，刷新，理论上就剩下非正常的连接，对比一下即可轻易找出处于连接中的木马进程及其他信息，进而准备木马的删除工作。

【图14】

启动组：
用于查看是两个RUN子键的内容，包括项目所对应的注册表路径以及文件路径，在这里常常可以找到不法进程的启动项目，根据相应的注册表路径，找到其注册表，删掉即可抑制某些不法程序的启动。

【图15】

BHO:
BHO  全名Browser Helper Object，浏览器辅助对象,说的简单点，就是网上常常提到的IE插件。比较下面两个图，就可以发觉病人的插件检测功能并不比在这方面下了大力气的360安全卫士要弱，在想删除的插件上右键即可看到删除菜单。

【图16】

【图17】

监视进程创建：
顾名思义，监视进程创建就是监视一个进程创建另一个进程，这功能可以发现木马后门创建了什么进程和线程，尤其是远线程。红色显示的即是进程创建(目标进程TID为0时为进程创建，紧接其后的红色项是它的主线程的创建)和远线程创建(应该注意)。另外，病毒程序被结束后有可能会再被重新启动，用监视进程创建功能就可以简单追踪到病毒的“朋党”，然后把它们的同伙一起消灭。

【图18】

         


监视进程终止：
与监视进程创建进程相对应，监视一个进程结束另一个进程。

【图19】

注册表：
与系统注册表用法类似，它有权限打开或修改任何子键，使用时务必谨慎，不要一不小心激动起来把系统文件的注册表也删掉了，那样就有麻烦了，要知道，删掉了不可恢复的。

【图20】

4.360安全卫士（辅助学习的好工具）
众所周知，360不失为一款优秀的木马、插件查杀工具。但在这里，我所介绍的并不是它的木马、插件查杀功能，而是通过360与上述的软件作对比以达到更好的掌握基础知识的目的。



进程项：
可以查看到所有正在运行的进程的有关描述以及其他详细信息。

【图21】

启动项：
在下拉菜单中很轻易就可以找到以下各项，它与msconfig以及regedit那几个run子键中的启动项是对应的，但360提供了更为详细的信息，选中某进程，即可在右边文件大小、路径等信息。

【图22】

BHO：
浏览器辅助插件查看功能，可在右边获取更为详细的信息。

【图23】

系统服务：

【图24】

启动项状态：

【图25】

系统服务状态：

【图26】

系统进程状态：

【图27】

网络连接状态：

【图28】

墨泉

5.简单应用，免杀灰鸽子手工查杀实例


一.用系统工具查杀



1.断掉正常链接（这里例外，必须留下H3C上网认证程序和QQ程序），打开任务管理器，检查可疑进程，就表面来说，发觉除了几个正常软件进程外就找不到别的非系统进程了，如图：

【图29】

2.打开命令提示符，输入netstat -an，发觉还有程序正处于连接状态，如图：

【图30】

3.输入netstat -nba查找端口为8000的进程项和服务项，可以看到，进程PID为7852的路径下，有个路径为c:\windows\system\svchost.exe ,很明显，这是个伪装的系统进程，因为真正的svchost.exe应该在system32文件夹下的，如下图：

【图31】

4.输入tasklist /svc，查找PID为7852的进程的服务项，可以看到，所要查找的服务项名称为svchost，如下图：

【图32】

5.在运行处输入services.msc，启动服务，找到名称为svchost的服务项，右键将其禁用，如下图：

【图33】

6.在任务管理器中结束PID为7852的进程，再进入c:\windows\system\  ，找到 svchost.exe 文件，备份，删除。残留的注册表用超级兔子清理即可。由于灰鸽子木马的生存能力不像恶意病毒那么强盛，至此即可收工了，灰鸽子不会再启动。



二.用非系统工具查杀（这里用冰刃）


1.断掉正常链接（这里例外，必须留下H3C上网认证程序和QQ程序），打开冰刃，在 端口 项里查看
正在链接状态的端口，一下就可以发觉PID为7852的可疑进程了，为了确认，再看右边的路径，立刻可以完全确认该进程就是木马进程，因为真正的svchost.exe应该在system32文件夹下的，如下图：

【图34】

2.打开 服务 项，查找名称为svchost服务项，右键把它禁用，如下图：

【图35】

3.打开 进程 项，把病毒进程关闭，如下图：

【图36】

4.在冰刃 文件 里打开c:\windows\system\  ，找到 svchost.exe 文件，备份，删除。至此，灰鸽子木马完全失效。残留的注册表用超级兔子清理即可。（留意该文件的创建时间，20081119，说明该木马进程是不久前安装进去的）

【图37】

墨泉

    6. 常用启动项



      而对于一些恶意病毒，我们应该先断网，记录可疑文件路径，再查看启动项：

1.msconfig中设置开机启动项，留下ctfmon.exe，其他的都去掉（当然，如果你对某些进程比较熟悉的话也可以考虑留着）。

2.去掉开始菜单启动项：

对应文件路径：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Documents and Settings\你的用户名\「开始」菜单\程序\启动

3.regedit中各个Run子键：（可疑的导出再删除）

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

4.服务：

         可疑服务先到网上搜索查找信息，再做禁用的定夺。


     然后重启。如果病毒不再启动，可直接到它的安装文件进行备份删除。如果病毒依然启动，可调出任务管理器或冰刃，结束可疑进程，再进行备份删除，然后清理注册表，重启。

  7.  映像劫持：


       全名：Image File Execution Options




       位于注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options   下。




    映像劫持原理：NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在...如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确"等等....



        IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。它对一般用户意义不大，相反，它容易被病毒利用。



    被病毒利用之后的症状：防火墙、杀毒软件和一些出名的杀毒辅助工具没法运行，当你双击运行它们时，启动的反而是病毒。




    07年的毒王------AV终结者就会来这套，它把大量的杀毒软件以及工具给屏蔽掉了，以致被感染的机子几乎完全失去防御能力。





    当然，我们也可以适当加以利用让它为自己服务。假如你不希望cmd.exe在你电脑上运行，你只要在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options  路径下添加名为cmd.exe的项，再在右边新建一个字符串值，命名为Debugger，再在里面填上一个空路径即可。





       拓展思维：有些病毒利用这招来对付我们的杀毒软件，我们也可以以牙还牙，用这招来对付病毒，让病毒无法启动，但前提是该病毒的名称不能与系统的主要进程的名称相同，如果相同的话用了映像劫持会使得系统无法正常工作，甚至崩溃，这点务必要注意。

  8.单挑07年毒王----AV终结者

    刚刚写完上面的入门基础课程，现在就把它给放出来，做个实例课程大家看看吧，希望对大家能有所启发。

    好了，AV终结者已经安装到电脑里去了。可以发觉杀毒软件无法启动了，包括其他一些手杀工具，例如冰刃、UnLocker等,还好，可以打开任务管理器，

【图38】

       首先，断网！因为它会自动下载木马到你的电脑上。打开任务管理器，在任务管理器我们没能发觉什么异常，可以看到，系统没有创建新的进程，也没能发觉哪个系统进程占用内存特别大的，但我们可以判断，病毒要不就把进程给隐藏了，要不就注入到系统进程中去了，想确认，借用工具（方便点....^_^....）！
    上面的课程已经简单介绍映像劫持了，就直接找到IFEO键下吧。看，大量的杀毒工具的主程序给写进来了，如下图：

【图39】

【图40】

【图41】

【图42】

【图43】

【图44】

       AV终结者的编写者可谓用心良苦，齐集了几乎所有的出名杀毒软件以及手杀工具，没几款能幸免于难的。不过，想使用，也很简单，直接把image file execution options子键删掉就行，至此杀毒软件和手工杀毒工具都可以正常启动了，注意，别重启，一旦重启，它们将会被重新劫持！

    在查看被映像劫持的多个项里，发觉一个共同点，就是Debugger下的数据保持一致，根据映像劫持里所提及的只是，可判断这就是病毒文件的路径所在。如下图：

【图45】

       打开冰刃，在进程里查看是否有红色的进程，

【图46】

墨泉

这里没发现红色进程，这是可以判断，病毒进程插入到系统进程里去了，插入在哪个进程呢？不知道！...o(∩_∩)o...从以前获得的信息知道，AV终结者病毒进程会注入到explorer.exe里面，所以，我们必须在explorer.exe关闭的情况下杀毒，这样病毒进程也会暂时处于关闭状态，就不会出现没法删掉病毒文件的情

况....

       先打开注册表（用冰刃的也可以），再在冰刃 文件 里的 设置 选上禁止进程创建和禁止协件功能，再关闭explorer.exe，防止它被非法启动：

【图47】

       由以上的图可见，病毒生成的随机名字为4020DE24，为此我们就可以通过搜索功能找到它的相关注册表和病毒文件。
    这里先从注册表入手，搜索相关注册表，删除！如下图：

【图48】


【图49】


【图50】


【图51】

      搜啊~~~删啊~~~~~再搜啊~~~~~~~再删啊~~~~~~~~~直到搜完为止，如下图：

【图52】

       好，注册表清理完了，就接着清理文件吧，先按照图片上的路径把病毒相关文件删掉，如下图：

【图53】

       再查看各根目录，发觉D盘下有4020DE24.exe和AutoRun.inf，直接删除！

【图54】

【图55】

       搜索病毒残留文件，不用客气，删！

【图56】

【图57】

【图58】

       检查启动组，有异常，把那两个desktop.ini删除：

【图59】

【图60】

       刷新一下，查看原病毒路径，发觉不再生成 4020DE24.exe和AutoRun.inf 之类的文件，重启电脑，映像劫持已经解除，再检查根目录，已经不再生成病毒文件了，至此，病毒查杀完毕。

【图61】

墨泉

      一不小心就把它杀掉了.....(*^__^*).....



       在此再处理一下其它小问题吧，可以发觉，你不用工具的话就没办法查看隐藏文件了，你选“显示所有文件和文件夹”确定后还是查看不了，再回到 文件夹选项 看，可以发觉，它又自动的选上了“不显示隐藏的文件和文件夹”选项：

【图62】

    这个很容易解决，在注册表里搜索showall项，把右边的CheckedValue键值改为1即可。

【图63】

    此外，还多了个插件，不知道是不是它送的见面礼，一起送它们上路吧..

【图64】

    至此，收工！




       本人技术低迷，还望各位多多赐教，欢迎提出宝贵意见，你的意见是我们进步的动力，谢谢大家的支持！

墨泉

终于搞好了，希望对大家有用

Beloved

有时间再研究下icesword，wsyscheck