天琊手杀病毒实战

evilrabbit

整个过程有几个步骤
制造测试环境，准备测试相关工具，清理病毒，善后处理。
      测试环境         
实机 windows xp sp2 +sd1.278
测试用到的工具
风云墙，天琊。金山清理专家，sreng。
来梳理一下手杀病毒的思路
一 靠日志类工具来辅助实现
1.扫描日志
准备工具sreng 、360、 费尔进程管理器、 超级巡警工具箱的一种或者几种
2.分析文件
我们仅仅需要是上面工具扫描的日志，方便用天琊处理对应的文件。
3.删除和善后工作
清除文件并用辅助工具修复一下系统。
修复工具推荐 360 金山清理 卡卡助手。
二 一套防毒装备 再配合一个天琊
防毒装备可以为 kis2009 或者是eqs+风云，也可以是费尔套装或者超级巡警. 金山2009套装等等，我们只需要这里面的一个即可。该防毒装备要尽可能包含 网络监控和日志诊断或者程序监控。
我来说明下理由，网络监控是查看联网的程序开放了哪些端口，或者说有哪些程序在联网。日志相关是为了获取必须的信息。
三 文件和注册表对比工具 另加一个ark 这里仅仅以天琊为例。
regmon 和filemon这两个比较流行，强烈推荐使用。
病毒测试和手动杀毒
我采用的方法比较乱，不推荐，大家就凑合看吧。测试的不好大家就多理解一下吧。
我退出eqs和风云 运行样本，样本地址为http://bbs.kafan.cn/thread-468663-1-1.html
用filemon和regmon对比，查看生成了哪些文件。再打开风云墙查看联网程序有哪些？哪些是可疑的？
附件为生成的文件，注册表文件太多了，不上传了。
注：
此次测试有好多不足之处，非法进程没有进行自我保护，映像劫持没有设计成功。
天琊在这次手杀病毒的强悍没有体现出来。次测试只是为了共同研讨一下，如何用天琊手杀病毒。当然xuetr也可以这样实现。希望各位可以见谅。

[ 本帖最后由 wolfwalk888 于 2009-4-26 21:25 编辑 ]

evilrabbit

结束非法进程清理生成物
打开天琊  结束可疑进程。
详细见图 结束掉图中红色方框内的进程。

强度不够时可选用强制结束和超级终止进程。
查看线程，发现一些进程的线程太多，不好排除，先不管。
补充一下，如果进程还会创建的话，可以使用高级菜单中的特征码终止、特征码强制终止和特征码超级终止。
如图

打开天琊的文件管理菜单 清除可疑文件。详细见图
注：由于文件太多仅仅上一个图意思一下。

如果还是不行的话，请执行文件菜单中的破坏功能。这个功能很强悍，可以删除正在运行的进程。
ieload里有active插件清除即可

这个病毒制作者，做的映像劫持很失败。大家看看吧
  
系统文件usernit.exe被修改了，需要用替换工具来替换掉usernit.exe 推荐replacer来替换掉即可。或者使用pluto1313的替换工具SmtRpl。我上传一下smtrpl吧


[ 本帖最后由 wolfwalk888 于 2009-4-26 21:32 编辑 ]

evilrabbit

清理注册表文件并用sreng善后。
大量注册表键值，删除起来很麻烦，不知道病毒做了哪些坏事，用金山清理专家诊断一下吧 。

用regmon跟踪了下 生成了大量的注册表文件，高危的有app的dll和shellexecuthook
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\下面，大量的键值，具体不表
增加一个可疑app项目等等。清理完生成物后，用sreng扫描我们的系统看看是否干净。
这个是注册表主要的危害，最后用注册表清理工具清理一下即可。
当然此法也可以先用sreng扫描，并诊断出日志来，然后根据日志再来删除可疑的注册表项。

最后 检查系统的启动项和进程是否正常，想更一步验证自己的机器是否正常，可疑用sreng诊断一下。看看结果。
教程结束

[ 本帖最后由 wolfwalk888 于 2009-4-26 21:27 编辑 ]

Kevin Garnett

支持民间软件.

Bref

米坐到沙发

你有没有试试直接用天琊替换userinit.exe啊？
这样虽然有点危险。。。
上次我直接替换成功而不用重启

evilrabbit

学习一下，天琊有替换文件的功能？

[ 本帖最后由 wolfwalk888 于 2009-4-27 06:08 编辑 ]

Bref

找到正常userinit.exe 右键选择复制到system32下替换

song-ci

支持楼主的介绍

wcyxj123

支持新产品！

wsmurderer

单用hips如eq也能监控文件和注册表啊，全局读建改删设为允许，建改删记录日志，读不记录。