手工病毒查杀技术:
通过对目标系统的系统进程、网络连接状态、随机启动项等信息进行综合分析与判断,结合使用各种系统命令与工具,手动确认与清除病毒(木马)的技术
手工病毒查杀的意义:
对于较新的或者做过免杀处理的病毒,杀毒软件无法查杀。杀毒软件事根据病毒的特征码进行查杀的,其病毒库更新较慢,对于新的病毒无法识别。另外黑客们会长期对自己的后门、病毒进行免杀处理。
必备技能:
熟悉windows操作系统的进程管理
熟悉常见端口与进程对应关系
熟悉windows操作系统的启动项以及自带系统服务
熟悉注册表启动项位置
病毒定义:
破坏计算机功能或者数据,影响计算机使用,并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒。
病毒具有破坏性,复制性和传染性。木马基本功能是为黑客留后门,一般不具有破坏性,复制性和传染性。
常用的病毒查杀工具:
病毒一般具有,隐藏进程,隐藏文件,阻止系统工具或者杀毒软件启动等特性,因此要查杀病毒需要反内核工具,常见的反内核病毒查杀工具有:XueTr,火绒剑,冰刃(Ice Sword)和 Wsyscheck(Windows System Check)等。
病毒查杀的核心思路:
首先识别并结束病毒进程,然后删除病毒启动项,然后删除病毒文件。
有的病毒有多个进程且具有互相保护机制,需要同时暂停或者杀掉进程。DLL动态链接库不可以直接执行,只有通过一个宿主程序调用它进行执行,svchost.exe进程是个核心宿主进程。
windows操作系统的常用启动位置:“启动”文件夹,“Load”键值,“Userinit”键值等。
病毒文件通常分布在多个位置且具有隐藏特性,需要同时删除。
手动查杀过威金病毒,qq盗号木马,熊猫烧香病毒等。
知识点:
注册表:整个操作系统的应用层控制信息所在文档
msconfig:服务配置管理程序
sc:系统服务管理机构,能够创建,删除,停止,查询系统服务和驱动服务。
services.msc:服务管理器。
