查看: 13184|回复: 32
收起左侧

[求助] 没装杀毒软件,怎么查毒杀毒啊?

[复制链接]
quasimodo
发表于 2009-3-13 10:55:31 | 显示全部楼层 |阅读模式
我的机子只装了个风云,没装杀毒软件,以前装过NOD32,后来出了问题就删掉了,好长时间一直没有中毒,后来所幸决定不装杀毒软件了,

不过最近下了一个大的硬盘游戏,想查查毒,没有杀毒软件急的抓耳挠腮的,有什么好办法吗?达人们,前提是不安装杀毒软件
weater
头像被屏蔽
发表于 2009-3-13 10:59:57 | 显示全部楼层
在线扫描
差不多每个杀毒厂商都有地
yeandwo
发表于 2009-3-13 11:02:33 | 显示全部楼层
绿色版杀毒软件,对系统没任何影响
或者去有杀软的朋友家,扫描一下。
一般的游戏文件比较大,在线扫描不大适合。
ramboshen
发表于 2009-3-13 11:06:49 | 显示全部楼层
推荐用绿色杀毒的,小红伞,大蜘蛛都可以啊
iezhaoie
头像被屏蔽
发表于 2009-3-13 11:07:28 | 显示全部楼层
迅雷下载的东西不是都有安全提示吗
sunpmail
发表于 2009-3-13 11:10:16 | 显示全部楼层
绿色的吧 呵呵 大蜘蛛了
quasimodo
 楼主| 发表于 2009-3-13 11:16:29 | 显示全部楼层
谢谢各位了,学习了
play32
发表于 2009-3-13 11:21:14 | 显示全部楼层
百毒不侵的系统让电脑裸奔
在电脑配置并不高的机子上,不安装杀毒软件肯定效率要高得多。本人两年多不用杀毒软件也并没有病毒染身的原因。说白了就是以用户身份上网!而不是管理员身份。下面说一下怎么以用户方式上网。
  1、安装系统后(包括GhostXP),首先把所有分区都转化成NTFS格式,很重要哦。不要说不会啊,就是单击开始按钮——>;运行.输入 "convert c: /fs:ntfs ",可以把C盘转换成NTFS格式,不过要重启才能转换哦,其它盘就把C:改成相应的盘符就行了.

  2、在控制面板中打开"用户帐号",将Administrator修改密码,尽量复杂些,不一定要记得.再创建一个计算机管理员用户和受限用户,管理员用户一定要密码,且也要复杂一些,这个密码要记住.因为以后装软件,游戏要用上.当然,记不住可以在DOS下改.
  3、设置好后,进入创建的计算机管理员用户,打开“我的电脑”,单击“工具”——>;“文件夹选项”,点击第二个选项卡“查看”,把里面的“使用简单文件共享(推荐)”前的勾去掉。这个是以后打开文件夹或文件的属性时会出现“安全”选项卡。

  4、把所有分区属性的“安全”选项卡中“users”用户去掉。这是它默认有一个特殊权限,可以在分区下或文件夹内创建文件夹。再可以创建或保存文件,这可能给病毒可乘之机。所以去掉。还有一个是“everyone".也去掉。添加创建的受限用户进去,权限是”只读”。
  5、个别文件的权限问题:象QQ、游戏都需要完全权限,所以在计算机管理员用户中要给受限用户完全权限。QQ最好把与QQ程序在一起的文件给只读权限,防止木马替换QQ及相关的DLL文件。

  6、在“运行”中输入“REGEDIT”,打开注册表,把里面的 [HKEY_CURRENT_USER\Software \Microsoft \Windows\CurrentVersion\Run] 或 [HKEY_CURRENT_USER\Software \Microsoft \Windows\CurrentVersion \Runonce]的权限设为只读。防止病毒利用此处启动。
  7、清理上网缓存及临时文件,上网时,一般缓存放在 C:\Documents and Settings\用户名\Local Settings \Temporary Internet Files 中,这也是病毒藏匿的地方,还有就是C:\Documents and Settings\用户名 \Local Settings\Temp 下的临时文件。很多程序要用到这个地方。病毒也喜欢藏在这里,所以,在开机时,用批命令清空这两个文件夹。让病毒无处藏身。批命令为:

  del C:\docume~1\用户名\Locals~1\Tempor~1\*.*
  del C:\Docume~1\用户名\Locals~1\Temp\*.*

  当然还可以把History和Cookies都清空。
  做一个批命令文件,放到开始菜单中的“启动”项中。

  这样也就做好了受限用户上网的准备工作,网上的病毒已经无法感染你的系统,也无法更改系统文件,对其它分区也无权更改,这样U盘病毒也无关紧要,因为病毒无法写入分区根目录下。网页病毒无法更改系统文件,再凶的网页病毒也无能为力了。当然,此种方式对狂安装软件的人不适合,要想试用软件,如果不安装杀毒软件,最好利用虚拟机,象VMware和Virtual PC。对于只下音乐或电影的,没什么影响。
用户有讲究,系统设置技巧
  想必大家都为网上的病毒和木马头疼,如果大家使用的是windows2K或WindowsXP的话。今天就教大家一招金蝉脱窍——而且只需要这一招克就能死所有病毒!

  如果你是新装的系统(或者是你能确认你的系统当前是无毒的),那就再好不过了,现在就立即就打开:

  “开始→程序→管理工具→计算机管理→本地用户和组→用户”

  首先就是把超级管理员密码更改成十位数以上,然后再建立一个用户,把它的密码也设置成十位以上并且提升为超级管理员。这样做的目的是双保险:如果你忘记了其中一个密码,还可以使用另一个超管密码登陆来挽回,免得你被拒绝于系统之外;再者就是网上的黑客无法再通过猜测你系统超管密码的方式远程获得你系统的控制权而进行破坏。

  接着再添加两个用户,比如用户名分别为:user1、user2;并且指定他们属于user组,好了,准备工作到这里就全部完成了,以后你除了必要的维护计算机外就不要使用超级管理员和user2登陆了,只使用user1登陆就可以了。

  巧改IE浏览,隐藏活动用户

  登录之后上网的时候找到ie,并为它建立一个快捷方式到桌面上,右键单击快捷方式,选择“以其他用户方式运行”点确定!要上网的时候就点这个快捷方式,它会跟你要用户名和密码这时候你就输入user2的用户名和密码!!!

  好了,现在你可以使用这个打开的窗口去上网了,可以随你便去放心的浏览任何恶毒的、恶意的、网站跟网页,而不必再担心中招了!因为你当前的系统活动的用户是user1。而user2是不活动的用户,我们使用这个不活动的用户去上网时,无论多聪明的网站,通过ie得到的信息都将让它都将以为这个 user2 就是你当前活动的用户。

  如果它要在你浏览时用恶意代码对你的系统搞搞破坏的话根本就时行不通的,即使能行通,那么被修改掉的仅仅是 use2的一个配置文件罢了,而很多恶意代码和病毒试图通过user2进行的破坏活动却都将失败,因为user2根本就没运行,怎么能取得系统的操作权呢?既然取不得,也就对你无可奈何了。

  而他们更不可能跨越用户来操作,因为微软的配置本来就是各各用户之间是独立的,就象别人不可能跑到我家占据我睡觉用的床一样,它们无法占据user1的位置!所以你只要能保证总是以这个user2用户做代理来上网(但却不要使用 user2来登陆系统,因为如果那样的话,如果user2以前中过什么网页病毒,那么在user2登陆的同时,他们极有可能被激活!),那么无论你中多少网页病毒,全部都将是无法运行或被你当前的user1用户加载的,所以你当前的系统将永远无毒!

 金蝉脱壳之术


  不过总有疏忽的时候,一个不小心中毒了怎么办???不用担心,现在我们就可以来尽情的表演脱壳的技术了!

  开始金蝉脱壳:

  重新启动计算机,使用超级管理员登陆——进入系统后什么程序都不要运行。

  你会惊奇的发现在的系统竟然表现的完全无毒,那就再好不过了,现在就立即就打开:

  “开始→程序→管理工具→计算机管理→本地用户和组→用户”

  把里面的user1和user2两个用户权删掉吧,你只需要这么轻轻的一删就可以了,那么以前随着这两个用户而存在的病毒也就跟随着这两个用户的消失而一起去长眠了——(好象是陪葬,呵呵!)。这么做过之后我保证你的win2k就象新装的一个样,任何系统文件和系统进程里都完全是没有病毒的!

  好!现在再重复开始的步骤从新建立user1和user2两个用户,让他们复活吧。他们复活是复活了,但是曾跟随了他们的病毒却是没这机会了,因为 win2k重新建立用户的时候会重新分配给他们全新的配置,而这个配置是全新的也是不可能包含病毒的!!!建立完成之后立即注销超级管理员,转如使用 user1登陆,继续你象做的事吧,你会发现你的系统如同全新了。

  以上方法可以周而复始的使用,再加上经常的去打微软的补丁,几乎可以永远保证你的操作系统是无毒状态!只要你能遵循以下几条规辙:

  一、任何时间都不以超级管理员的身份登陆系统——除非你要进行系统级更新和维护、需要使用超级管理员身份的时候或是你需要添加和删除用户的时候。

  二、必须使用超级管理员登陆的时候,保证不使用和运行任何除了操作系统自带的工具和程序之外的任何东西,而且所有维护都只通过开始菜单里的选项来完成,甚至连使用资源管理器去浏览硬盘都不!只做做用户和系统的管理和维护就立即退出,而决不多做逗留!(这也是微软的要求,微软最了解自己的东东,他的建议是正确的。浏览硬盘的事,在其他用户身份下你有大把的机会,在超级管理员的身份下还是不要了!这应该事能完全作到的)。

  如果上面的都做到了,那么排除了硬件和误操作原因、病毒跟系统瘫痪都将与你彻底无缘了。
赤手空拳,熟练WINDOWS自带工具保安全
真正的武林高手不仅能用自己的剑或刀击败对手,在困难的时候也能用信手拈来的物品比如:桌椅,树枝,石子等等杀人于转瞬!所以要想成为反毒沙场的优秀战士不仅仅要掌握专业的安全软件,还要熟悉各种系统自带的工具,实现专业和辅助相结合,多种工具互相配合。达到即使手中无利器,但处处是宝剑的境界。下面我们就来介绍一些WINDOWS系统自带的防毒杀毒的利器。
核心兵工厂—CMD
CMD是command的缩写,是windows环境下的虚拟DOS窗口,提供有DOS命令,功能强大,如果你以前学习过DOS操作,那就小儿科了。是基于Windows的命令行窗口,在开始——运行中键入,确定,就能看到了。
给电脑磁盘换上多功能安全作战服—CONVERT

有些用户电脑磁盘格式还是FAT32吧,想要在杀毒战斗中取得胜利,首先你得给电脑换上防护能力强悍,功能完善的多功能战斗服吧,所以抛弃FAT32,使用 NTFS。NTFS文件系统一种能够提供各种FAT版本所不具备的性能、安全性、可靠性与先进特性的高级文件系统。能提供诸如文件与文件夹权限、加密、磁盘配额以及压缩之类的高级特性!
如何查看磁盘现在的格式呢?很简单,右击目标磁盘选择属性,在“文件系统“那栏即可看到。

NTSD命令
经常我们知道了某个非法进程,但是又无法通过任务管理器终止,难道眼睁睁的看着它的存在却无计可施吗?
在命令提示符下输入下列命令:
ntsd –c q -p 1150
回车后可以顺利结束病毒进程。

让隐藏的病毒文件现行的夜视镜—DIR/A,tasklist /m, NETSTAT
病毒都在挖空心思处处隐藏自己,而文件隐身术是最有迷惑性的了,病毒文件可以伪装成文件夹图标欺骗用户打开,也可能伪装扩展名获得用户信任,或直接在磁盘里隐藏自身,使用户查找不到.有攻即有防.对于这些骗术只要系统自带的一个命令就能让病毒通通现行.

击碎病毒伪装的穿甲弹—regsvr32 /u,ATTRIB
有时候,狡猾的病毒会隐藏自己不给用户发现,也会把自己寄存在其它进程里让用户找不到自己的进程而束手无策,对于这种伪装就要打出一颗穿甲弹击碎其伪装。
regsvr32 /u “DLL文件名字”其作用是停止dll文件运行,不过对于顽固病毒有时候可能未必有效,这样就wsyscheck等工具帮忙了,选中进程再卸载此DLL

微软给我定制的恶意工具清除器—MRT
mrt.exe是微软增强安装技术相关程序,用于监视间谍软件和其它系统进程在你不知情的情况下访问网络。
在运行栏键入: MRT.EXE 就可以打开的,并随时查杀系统。

查看各个进程路径辨真伪的放大镜—Msinfo32

  点击开始菜单,选择运行,输入Msinfo32,找到‘软件环境“下的“正在运行任务”。或开始-程序——附件——系统工具——系统信息——软件环境——正在运行任务
在这里可以看到任务管理器里所看不到的当前正在运行的程序所在路径不过VISTA系统的任务管理器似乎可以查看了

证明程序是否合法的身份证—版本信息

每个程序都有记录自己主要信息的身份证,通过它我们可以了解此程序的详细情况,以辨别它是否冒牌货。要程序掏出证件的方法很简单,右击程序选择属性,点击版本,看到没它的名字,家长,种类等等都一览无余了。不过身份证也是可以伪造的,恶意程序往往都很狡猾,如果它出示假证件怎么办呢?别担心,指纹识别检验它

每个程序都唯一的指纹—数字签名

通常,软件发行时,为向用户证明该程序未经篡改,会在发布版本时使用数字签名。确保传输电子文件的完整性、真实性和不可抵赖性。
这里我们就可以通过一些数字签名查看工具查看一些可疑程序是否有签名,而一般的病毒是不具备的。不过指纹技术虽然可靠但也不是无懈可击,如果病毒破坏了数字签名或与正常程序捆绑在一起那可很糟糕了,所以对安全要求很高的我们遇到这种厉害的恶意程序时,也要用厉害的方法—DNA检测来一查到底

不可抵赖的文件DNA—MD5值

MD5 的实际应用是对一段Message(字节串)产生fingerprint(指纹),可以防止程序被他人“篡改”。 通俗地说MD5码就是个验证码,通过 MD5验证即可检查文件的正确性,例如可以校验出下载文件中是否被捆绑有其它第三方软件或木马、后门(若是校验结果不正确就说明原文件已被人擅自篡改)。
现在越来越多的网站提供的软件下载包里也附加了该软件的MD5值,当你下载回来后可以再用MD5校验工具(可以在网上搜索一下有很多)检测该软件的MD5值

网页守关大将--Hosts文件
C:\Winnt\System32\Drivers\Etc ,这里就是守关大将的办公室
windows漏洞补丁重要的一定要补全,可以安装微点基本不影响电脑智能hips,也可以单独安装其他国外优秀的hips系统防火墙软件免费的很多!
手工查杀电脑病毒
在WINDOW系统下,任何一个程序一定,肯定会有一个进程,病毒也不例外.在进程管理器中看不见,并不代表没得哦.灰鸽子就是靠隐藏进程出名的.先来给大家讲一下病毒的几种表现形式:
第一种.DLL动态链接库注入型木马:
什么是DLL呢?扩展名为.DLL是动态链接库,当某一进程需要实现某一功能时,此功能可能是放在某一动态链接库文件中的,所以,当进程需要使用时就要将动态库文件加载到自己的进程中.一个无进程的木马很有可能就是DLL注入型的,注入的方法可以通过注册表.还可以通过另一个进程,来打开现有的进程,来将 DLL注入到被打开的正常进程中,然后,执行注入的进程退出,这样,在进程列表中仍然看不到木马的进程。
查杀方法:
使用工具查看每一个进程加载的模块,发现可疑或者名字特别奇怪的就是病毒注入到正常进程中的DLL,这种DLL注入型病毒通常会通过服务加载到每一个正常的进程中,注入的DLL都是一个文件,删除病毒的DLL文件后,重启电脑就OK了.

第二种.无进程,线程注入型木马
相对于进程,线程就是一个进程中的一个个执行单位。线程注入又是咋回事呢?线程注入,就是木马程序将一个恶意线程放到了正常进程的线程序列中去执行,就像在工厂中多增加了一组自己的工人,这一组工人与其它的正常的几组工人没有什么关系,但却借用了人家的工厂去从事着非法的勾档.
线程注入与 DLL 注入的区别是,线程注入只是增加了一组工人,这组工人是在以工厂的名义在工作,对外的名义也是工厂的名字,出了问题是由工厂负责的。而DLL 注入呢,是外包,可能会增加一组工人也可能会增加多组,是以DLL自己的名义在工厂内工作的,出了问题是由DLL来负责的。当然了,如果问题大了,工厂也会受牵连的.
查杀方法:
相比较起来,查杀线程注入型的木马,就比较困难了,我们上面说了,线程注入的没有自己的文件,只是一段注入的代码。也就是说他只是混入工厂内的一组工人,并没有自己的工厂也没有自己招牌,想把他与正常的工人区分开,是很困难的。同样,也要借助于专门工具,进程占用CPU高的是首先查看的目标, 查看线程的时候,基址越大的,就是启动越晚的线程,通常对付线程注入型病毒,要从它的启动源来着手,关键在于阻止病毒向进程中写入代码.

第三种.驱动型木马.
什么是驱动型木马呢?就是全部功能放到了驱动程序中去完成.什么又叫驱动程序呢?驱动程序顾名思义就是驱使设备动起来的程序。其作用是让特殊的硬件和 Windows操作系统可以交换数据,比如我们按下了键盘的A键,那键盘驱动就要告诉 Windows 系统“这家伙按下了A键,你看咋办吧”,它只是告诉一声,后面的工作就由系统来处理了,系统会根据不同的情况进行不同的处理,如果你是在打字,那就把A这个字符显示在你的输入页面中,如果你用的是五笔,显然直接显示个A是不行的,Windows系统就会把你输入A的这个信息转给了输入法程序……最终实现你按A的目的。
为什么要用驱动来完成木马的功能呢?因为在WINDOW中驱动程序是以最高权限在运行,相当于公司的股东或董事的权力,而且进程中是不会显示驱动程序的进程.国产吹得厉害的瑞星和金山等,它们的权力就像公司内部的审记部门,你可以审查和开除公司其它员工,但就是没权力审查或开除公司的股东或董事吧.HEHE.可想而知,病毒一但获得这种权力,就算你知道它是病毒,你也无法清除它了.何况病毒并不傻,有了这种权力我为什么要让你发现呢?我可以利用这种特权悄悄的做我自己想做的事.WINDOW系统下,你装了驱动程序,哪么你就要多一个设备出来吧.HEHE.我们进入设备管理器中可以看到系统所有已经安装的驱动程序,当然也包括木马驱动了,通常木马驱动程序都是安装在"非即插即用驱动程序"这项里面.数目太多判断难度大.
查杀方法:
还是要利用专门的工具,驱动程序都会加载.SYS文件,哪么正常的驱动文件是微软认证或是第三方认证的,排除了这些正常的驱动,剩下的就是可疑驱动程序了,为什么这里不说剩下的就是木马驱动了呢?因为有一些正常的驱动程序,比如说TCPIP.SYS文件,WINXP默认是10个连接数.你修改了系统连接数.哪么这个驱动文件就会有所改变,当然不能通过认证了.
第四种.利用技术手段隐藏进程的木马
上面介绍的都是无进程,只是利用其它进程实现病毒自己的功能.而这种技术型隐藏进程的木马,你无法破解它的隐身方法,看不到它的进程.查杀无从谈起.
WINDOW 系统给软件开发人员提供了几种列出系统中所有进程.模块和驱动的方法.最常见的也是最常用的方法就是调用系统 API:CreateToolHelp32Snapshot、EnumProcess、EnumProcessModules等,我们调用这几个函数其实就是在告诉系统,我们需要进程列表,然后系统就会按照我们的要求,把列表返回给我们.这几个API接到请求后,调用 ZwQuerySystemInformation,接着ZwQuerySystemInformation会调用KiSystemService切入内核进入R0权限,然后自SSDT表中查取得NtQuerySystemInformation的地址,并调用其指向的实际代码,而 NtQuerySystemInformation的作用则是自系统的数据结构中取相应的数据,再顺原路返回去,在中间任何一个环节进行拦截进行修改都可以实现隐藏进程的目的.这种方法被称为"HOOK".
正常调用API的时候,系统会根据SSDT表正确的指向系统的API函数,但是病毒修改了SSDT表后,当你调用结束进程 NtTerminateProcess函数时,SSDT表指向的地址就不是这个真正 NtTerminateProcess函数的地址了,而是指向病毒自己的函数,用户想结束病毒的进程,使用的函数却是病毒的函数,你认为它会听你的话吗? 这只是一种,还有一种更厉害的就是"LINEHOOK",这种类型的病毒修改的不是SSDT表,而是修改的函数代码.从原理上可知,修改SSDT表导致函数地址被HOOK的病毒,只要恢复SSDT表,然后清除病毒主程序就完了.而这种LINEHOOK修改代码的技术,更是难以防范.因为它并没有修改 SSDT表,而是修改系统中正常的API函数,添加自己想要的功能进去,举个例子,用户查向系统发出查询系统进程的命令,系统按照要求在SSDT表中找到对应函数的地址,对函数进行调用,比如这个函数名为A.接着函数A把返回的结果传回系统中显示出来,这是正常的情况下.非正常的情况下,病毒并不是修改 SSDT表,而是修改函数A中的内容,加上自己的功能,比哪说隐藏自己.在返回系统进程的信息中,把病毒自己的进程名给删除了,用户最终在进程管理器中看到的进程,理所当然的不包括病毒进程了.明白了吧.
以上这些都是我多年杀毒总结出来的经验,当然引用了一些专业名词,能看懂的尽量看懂吧,将会对你有很大的帮助.我平常都把一些常用的辅助工具软件用U盘存放起来,方便随时使用,武林高手在怎么说手上总得有把利剑吧...
什么是系统漏洞?修复有什么好处?
所谓系统漏洞,就是微软Windows操作系统中存在的一些不安全组件或应用程序。黑客们通常会利用这些系统漏洞,绕过防火墙、杀毒软件等安全保护软件,对安装Windows系统的服务器或者计算机进行攻击,从而控制被攻击计算机的目的。一些病毒或流氓软件也会利用这些系统漏洞,对用户的计算机进行感染,以达到广泛传播的目的。这些被控制的计算机,轻则导致系统运行非常缓慢,无法正常使用计算机;重则导致计算机上的用户关键信息被盗窃。
手工杀毒辅助工具
冰刃 IceSword
这是一斩断黑手的利刃,它适用于Windows 2000/XP/2003 操作系统,其内部功能是十分强大,用于查探系统中的幕后黑手-木马后门,并作出处理。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword 使用了大量新颖的内核技术,使得这些后门躲无所躲。使用前请详细阅读说明。
第一次使用请保存好数据,需要您自己承担可能的风险,特别是多处理器机器的朋友。

评分

参与人数 1经验 +5 收起 理由
jeccci5 + 5 感谢解答: )

查看全部评分

quasimodo
 楼主| 发表于 2009-3-13 11:22:35 | 显示全部楼层
楼上高人,又学习了
play32
头像被屏蔽
发表于 2009-3-13 11:24:53 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-30 03:11 , Processed in 0.124980 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表