双进程守护木马程序怎么用_双进程守护木马程序

hacker|
134

电脑病毒清除不干净 这是为什么

1、未及时打系统补丁或系统帐户登陆密码太弱,病毒会利用系统漏洞或破解弱口令不断入侵,这样会出现反复感染,屡杀不止的情况。

这类病毒典型代表有:爱情后门。解决办法:打系统补丁,给系统帐户设置足够复杂的登陆密码,建议是字母+数字+特殊字符,再查杀病毒。

2、病毒文件在一些特殊的文件夹中,比如系统还原功能所用的文件夹,IE临时文件夹,回收站对应的文件夹等,这些文件夹受到系统的“特殊照顾”,杀毒软件可能无法清除病毒文件。解决办法请参考:【整理】瑞星杀毒时提示“需要解压”怎么办?

;artid=5216854

3、病毒使用了注入进程技术,把病毒代码(一般放在DLL文件中)注入到系统进程(比如explorer.exe进程)中运行。

这类病毒典型代表有:武汉男生。

"Trojan.PSW.Whboy.2005.d(武汉男生)"为"武汉男生"的最新变种,病毒代码放在动态库DLL中,由另一个辅助程序帮助释放和激活;辅助程序文件名为msapi.exe,每次运行都会创建远程线程,将真正的病毒msapi.dll注入到Explorer.exe中,从而增强病毒的隐蔽性。参考:武汉男生清除手记

对于win 2000/xp/2003来说,explorer.exe进程是可以重新加载的,所以我们可以这样处理:

运行杀毒软件主程序

用Windows的任务管理器终止Explorer.exe

切换到杀毒软件主程序窗口,全面扫描系统查杀病毒

用任务管理器菜单:文件--新建任务(运行...),重新加载explorer.exe

4、病毒本身的防护。

有些病毒使用了进程防护技术来保证病毒的运行。

由于病毒进程的存在,病毒文件将无法清除。1)病毒使用了双进程或多进程守护技术,即有两个或多个病毒进程同时运行,如果有一个病毒进程被终止,其他的病毒进程会立即再创建那个被终止的进程。

解决办法:到安全模式下查杀。2)使用上面提到的注入到系统进程的病毒代码来实现对病毒进程的守护功能。

解决办法:同3。3)病毒以系统服务的方式来启动,这样我们无法通过任务管理器来终止。解决办法:先停止病毒服务,再全面查杀病毒。

如果无法看到和停止病毒服务,则需要到安全模式下处理。

5、病毒拦截(hook)有关的API函数,使杀毒软件无法扫描和清除病毒文件。

这类病毒典型代表有:灰鸽子。灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也

就是说你即使设置了“显示所有隐藏文件”也看不到它们。解决办法参考:灰鸽子病毒手工清除方法[多图]

6、病毒样本不全。比如有病毒母体文件a.exe,释放出病毒文件b.exe,我们只找到并上报了病毒文件b.exe,这样杀毒软件只能查杀病毒文件b.exe,而不能查杀病毒母体文件a.exe。

解决办法:在我的电脑或资源管理器中按时间列表显示windows系统文件夹中的文件,找出文件创建或修改时间与已知病毒文件相同或接近的,以及时间为最新的文件,用压缩软件打包备份后删除。

杀毒软件是怎么实现自身进程不被结束的

实现的方式很多。其中最常用的就是服务保护。如360杀毒,金山,瑞星当安装后,都会在服务里有相关的一个或几个服务在运行。都是属于主动防御,而且服务与服务直接有关联。还有一个就是文件或注册表监控保护。这个更好理解了。如果你结束首先注册表就禁止你。因为杀毒软件的进程是EXE文件,所以又存在文件保护,很多杀毒软件都是采用双进程保护,就是说当你试图结束一个进程的时候,另一个进程就会阻止你,有些是调用DLL预先载入内存。所以你结束的时候,因为该DLL文件在内存中没有释放出来,所以你根本结束不掉这宿主EXE进程。像很多软件比如说被加了保护壳的软件,如穿山甲,就是采用双进程保护达到阻止破解人员破解。

什么是木马程序?她是怎么发挥功能?

木马,全称特洛伊木马(Trojan horse),这个词语来源于古希腊神话,在计算机领域是一种客户/服务器程序,是黑客最常用的基于远程控制的工具。目前,比较有名的国产木马有:“冰河”、“广外女生”、“黑洞”、“黑冰”等;国外有名的木马则有:“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木马对计算机系统和网络安全危害相当大,因此,如何防范特洛伊木马入侵成为了计算机网络安全的重要内容之一。

1 木马的实现原理及特征

1.1 木马的实现原理

从本质上看,木马都是网络客户/服务模式,它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。

当攻击者要利用木马进行网络入侵,一般都要完成“向目标主机传播木马”,“启动和隐藏木马”,“建立连接”,“远程控制”等环节。

1.2 木马的特征

一个典型的木马程序通常具有以下四个特征:隐蔽性、欺骗性、顽固性和危害性。

(1)隐蔽性:隐蔽性是木马的生命力,也是其首要特征。木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己,进而被杀毒(或杀马)软件,甚至用户手工检查出来,这样将使得这类木马变得毫无价值。木马的隐蔽性主要体现在以下两方面:

a.不产生图标。木马虽然在系统启动时会自动运行,但它不会在“任务栏”中产生一个图标。

b.木马自动在任务管理器中隐藏或者以“系统服务”的方式欺骗操作系统。这也就使得要及时了解是否中了木马带来了一定的困难。

(2)欺骗性:木马常常使用名字欺骗技术达到长期隐蔽的目的。它经常使用常见的文件名或扩展名,如dll、win、sys、explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常常修改几个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中而已。

(3)顽固性:很多木马的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。当木马被检查出来以后,仅仅删除木马程序是不行的,有的木马使用文件关联技术,当打开某种类型的文件时,这种木马又重新生成并运行。

(4)危害性:当木马被植入目标主机以后,攻击者可以通过客户端强大的控制和破坏力对主机进行操作。比如可以窃取系统密码,控制系统的运行,进行有关文件的操作以及修改注册表等。

2 木马入侵手段

木马能不能完全发挥它的功能和作用,关键一步就是能否成功地进入到目标主机。随着网络知识的普及以及网络用户安全意识的提高,木马的入侵手段也随着发生了许多变化。

2.1木马的传统入侵手段

所谓传统入侵手段就是指大多数木马程序采取的、已经广为人知的传播方式,主要有以下几种:

1)电子邮件(E-mail)进行传播:攻击者将木马程序伪装成E-mail附件的形式发送过去,收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。

2)网络下载进行传播:一般的木马服务端程序都不是很大,最大也不超过200K,有的甚至只有几K。如果把木马捆绑到其它正常文件上,是很难发现的。一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。通过Script、ActiveX及Asp、Cgi交互脚本的方法传播:由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者主机进行文件操作等控制。如果攻击者有办法把木马服务端程序上载到目标主机的一个可执行WWW目录夹里面,他就可以通过编制Cgi程序在被攻击的目标主机上执行木马程序。

3)网页浏览传播:这种方法利用Java Applet编写出一个HTML网页,当我们浏览该页面时,Java Applet会在后台将木马程序下载到计算机缓存中,然后修改注册表,使指向木马程序。

4)利用系统的一些漏洞进行传播:如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可把IIS服务器崩溃,并且同时在受控服务器执行木马程序。

5)远程入侵进行传播:黑客通过破解密码和建立IPC$远程连接后登陆到目标主机,将木马服务端程序拷贝到计算机中的文件夹(一般在C:\WINDOWS\system32或者C:\WINNT\system32)中,然后通过远程操作让木马程序在某一个时间运行。

2.2 木马入侵手段的发展

以上的木马入侵手段虽然使用广泛,但也很容易引起用户的警觉,所以一些新的入侵手段也相继出现,主要有:

1) 基于DLL和远程线程插入的木马植入

这种传播技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL植入到本系统中。

DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,所以从系统的进程列表里看不见DLL的运行踪迹,从而可以避免在目标主机中留下木马进程踪迹,因此满足了隐蔽性的要求。将木马程序以DLL的形式实现后,需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间,即利用该线程通过调用Load Library函数来加载木马DLL,从而实现木马的传播。

2)利用蠕虫病毒传播木马

以前的木马传播大都比较被动,而使用E-mail传播效率又太低,系统漏洞很快又被打上补丁,所以在某种程度上限制了木马的传播能力。网络蠕虫病毒具有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性,在网络上大批量地进行传播、复制,这就加快了木马的传播速度,扩大了其传播范围。

3 木马的防范措施

为了减少或避免木马给主机以及网络带来危害,我们可以从两方面来有效地防范木马:使用防火墙阻止木马入侵以及及时查杀入侵后的木马。

防火墙是抵挡木马入侵的第一道门,也是最好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接,防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙的这种阻塞方式还可以阻止UDP、ICMP等其它IP数据包的通讯。防火墙完全可以进行数据包过滤检查,在适当规则的限制下,如对通讯端口进行限制,只允许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到你的系统,因为防火墙把攻击者和木马分隔开来了。但是,仍然有一些木马可以绕过防火墙进入目标主机(比如反弹端口木马),还有一些将端口寄生在合法端口上的木马,防火墙对此也无能为力。因此,我们必须要能迅速地查杀出已经入侵的木马。

daemonu.exe进程是什么啊,怎么每次开机的时候都有啊,怎么解决啊!

一、每天关机前要做的清洗:

双击“我的电脑”— —右键点C盘——点“属性”——点“磁盘清理”——点“确定”——再点“是”——再点“确定”。清理过程中,您可看得到未经您许可(您可点“查看文件”看,就知道了)进来的“临时文件”被清除了,盘的空间多了。对D,E,F盘也要用这法进行。

二、随时要进行的清理 :

打开网页——点最上面一排里的“工具”——点“Internet选项”——再点中间的“Internet临时文件”中的“删除文件”——再在“删除所有脱机内容”前的方框里打上勾——再点“确定”——清完后又点“确定”。这样,可为打开网和空间提高速度。

三、一星期进行的盘的垃圾清理 :

点“开始”——用鼠标指着“所有程序”,再指着“附件”,再指着“系统工具”,再点“磁盘粹片整理程序”——点C盘,再点“碎片整理”(这需要很长时间,最好在您去吃饭和没用电脑时进行。清理中您可看到您的盘里的状况,可将清理前后对比一下)——在跳出“清理完成”后点“关闭”。按上述,对D,E,F盘分别进行清理。

电脑系统越来越慢,怎么删除临时文件啊

1.关闭"休眠"

方法:打开[控制面板]→[电源选项]→[休眠],把"启用休眠"前面的勾去掉

说明:休眠是系统长时间一种待机状态,使您在长时间离开电脑时保存操作状态,如果您不是经常开着电脑到别处去的话,那就把它关了吧!

☆立即节省:256M

2.关闭"系统还原"

方法:打开[控制面板]→[系统]→[系统还原],把"在所有驱动器上关闭系统还原'勾上

说明:系统还原是便于用户误操作或产生软件问题时的一种挽救手段,可以回复到误操作以前的状态.不建议初级用户使用.当然,它采用的是跟踪手段,需要记录大量信息,所消耗的资源也要很大的.

☆立即节省:数百M (根据还原点的多少而不同)

您也可以在不关闭系统还原的前提下,相应的减少系统还原所占的磁盘空间,这只会减少可用还原点的数目,一般还原点有一两个就够了吧.

方法:...[系统还原]-选择一个"可用驱动器"-[设置]-调整"要使用的磁盘空间"

3.关闭"远程管理"

方法:打开[控制面板]→[系统]→[远程],把"允许从这台计算机发送远程协助邀请"前面的勾去掉.

说明:谁会经常用到这种功能呢?它占用的不是磁盘空间,但是会影响系统运行速度.

☆提高系统性能

4.关闭"自动更新"

方法:打开[控制面板]→[自动更新]→选"关闭自动更新"

说明:系统更新占用的也不是磁盘空间,您可以在有可用更新时到微软的更新页面上更新,而不是总需要一个进程监视那是不是有可用更新.

☆提高系统性能

5.关闭"索引服务"

方法:[开始]→[运行]→输入"msconfig"→[服务] 去掉indexing servise前面的勾

说明:索引服务是提高系统搜索速的的,谁没事总在系统里搜来搜去啊

☆提高系统性能

6.减少开机加载的启动项

方法:[开始]→[运行]→输入"msconfig"→[启动] 去掉不必要的启动项

说明:必要的启动项 一般"系统盘\windows\system32下的最好不要去掉;而肯定能去掉的有 TINTSETP IMJPMIG IMSCMIG QQ 等

☆加快开机速度

7.合理设置虚拟内存

方法:打开[控制面板]→[系统]→[高级]-[性能]设置-[高级]-[虚拟内存]更改-在"自定义大小"中填入数值

说明:一般的最小值是物理内存的1.5倍,最大值是物理内存的3倍;如果您经常运行大型软件的话最小值应该设为(物理内存*1.5*0.2+物理内存*1.5),最大值应为(物理内存*3*0.2+物理内存*3)

☆提高系统性能

8.取消系统失败时的日志文件和询问

打开[控制面板]→[系统]→[高级]→[启动和故障恢复]→[系统失败] 去掉"将事件写入系统日志""发送错误警报"

☆提高系统性能

9.删除无用的文件

方法:打开[控制面板]→[文件夹选项]→[查看]→[显示所有文件和文件夹]

C:\Documents and Settings\用户名\Cookies\除index文件外的所有文件(浏览网页产生的记录文件)

C:\Documents and Settings\用户名\Local Settings\Temp\下的所有文件(用户临时文件)

C:\Documents and Settings\用户名\LocalSettings\TemporaryInternet Files\下的所有文件(浏览网页记录的多媒体信息,加速以后浏览)

C:\Documents and Settings\用户名\Local Settings\History\下的所有文件(访问历史纪录)

C:\Documents and Settings\用户名\Recent\下的所有文件(最近浏览文件的快捷方式) C:\WINDOWS\Temp\下的所有文件(临时文件)

C:\WINDOWS\ServicePackFiles下的所有文件(升级sp1或sp2后的备份文件)

C:\WINDOWS\Driver Cache\i386下的压缩文件(驱动程序的备份文件)

C:\WINDOWS\SoftwareDistribution\download下的所有文件(未完成的软件下载)

C:\Windows\下以 $u... 开头的隐藏文件(微软更新安装文件备份)

☆立即节省:数百M

10.磁盘碎片整理

下面该做的就是磁盘碎片整理了,只有整理之后才能获得更多的空间哦^_^

方法:[开始]→[程序]→[附件]→[系统工具]→[磁盘碎片整理]...(记得先"分析"后"整理")

二。 发信人: liushafeng (终结者), 信区: Hardware

标 题: 减少Win XP资源占用的八大技巧

发信站: 紫金飞鸿 (Sun Jun 4 16:25:48 2006)

Windows XP被微软称为其历史上最优秀的操作系统,有让你眼花缭乱的各种功能、更快的

速度,当然这一切都对计算机的硬件提出了更高的要求,如果你希望Windows XP能够尽可

能少地占用你有限的

虽然Windows XP被微软自称为有史以来最稳定、功能最强大的Windows操作系统,并且

运行速度飞快——启动速度甚至比同样配置的Win 2000还要快许多,你可能依然不满足于

此,希望

一、使用朴素界面

XP安装后默认的界面包括任务栏、开始选单、桌面背景、窗口、按钮等都采用的是XP

的豪华、炫目的风格,但缺点显而易见,它们将消耗掉不少系统资源,但实用意义不大。

[方法]鼠标右键单击桌面空白处,在弹出选单点击“属性”进入显示属性设置窗口,

将“主题、外观”都设置为“Windows经典”,将桌面背景设置为“无”,按确定保存退出

二、减少启动时加载项目

许多应用程序在安装时都会自作主张添加至系统启动组,每次启动系统都会自动运行

,这不仅延长了启动时间,而且启动完成后系统资源已经被吃掉不少!

[方法]选择“开始”选单的“运行”,键入“msconfig”启动“系统配置实用程序”,进

入“启动”标,在此窗口列出了系统启动时加载的项目及来源,仔细查看你是否需要它自

动加载,否则清除项目前的复选框,加载的项目愈少,启动的速度自然愈快。此项需要重

新启动方能生效。

三、优化视觉效果

[方法]选择“系统属性”中的“高级”标签进入“性能选项”界面,其中“视觉效果

”中可供选择的包括:自动设置为最佳、最佳外观、最佳性能、自定义。选中的效果越多则

占用的系统资源越多,选定“最佳性能”项将关闭列表中列出诸如淡入淡出、平滑滚动、

滑动打开等所有视觉效果。

四、关闭系统还原

默认情况下系统还原功能处于启用状态,每个驱动器约被占用高达4%~12%的硬盘空间

,并且系统还原的监视系统会自动创建还原点,这样在后台运行就会占用较多的系统资源

[方法]鼠标右键点击桌面“我的电脑”中的“属性”进入“系统属性”设置窗口,选

择“系统还原”标签,将“在所有驱动器上关闭系统还原”置为选中状态

五、加快选单显示速度

[方法]运行注册表编辑器,进入“HKEY_CURRENT_USERControl PanelDesktop”,将名

称为MenuShowDelay的数据值由原来默认的400修改为0,修改后XP的开始选单、甚至应用软

件的选单显示速度都会明显加快。

六、启用DMA传输模式

所谓DMA,即直接存储器存储模式,指计算机周边设备(主要指硬盘)可直接与内存交换

数据,这样可加快硬盘读写速度,提高速据传输速率。

[方法]选择“系统属性”中的“硬件”标签,打开“设备管理器”,其中“IDE控制器

”有两项“Primary IDE Channel”及“Secondary IDE Channel”,依次进入“属性→高

级设置”,该对话框会列出目前IDE接口所连接设备的传输模式,点击列表按钮将“传输模

式”设置为“DMA(若可用

七、移动临时文件储存路径

多数应用软件在运行时都会产生临时文件,而且这些临时文件都默认保存于启动分区

C盘,长时间频繁读写C盘极易产生大量文件碎片,从而影响C盘性能,而C盘又是储存系统

启动核心文件的分区,C盘的性能直接影响到系统的稳定性与运行效率。应尽量将应用软件

安装于启动盘以外的分区并定期对硬盘进行整理,此举可最大程度避免产生磁盘碎片,将

启动或读写速度保持在最佳状态。

Internet Explorer临时文件夹

[方法]在IE主窗口中,依次进入“工具→Internet选项→常规”标签,打开“Intern

et临时文件”设置界面,点击“移动文件夹”按钮将原来保存于C盘的临时目录移动至C盘

以外的驱动器中,如果你使用的是宽带,可将“临时文件夹”使用空间设置为最小值1M

刻录时产生的临时文件

[方法]文件在刻录之前都会保存于C盘的刻录临时文件夹中,进入资源管理器,选择刻

录机盘符并单击鼠标右键选单的“属性”项,在“录制”标签下可将此临时文件夹安置于

其它驱动器。

我的文档

[方法]鼠标右键点击“我的文档”,在属性设置项中可将“我的文档”默认的保存路

径修改至其它盘符。

八、增加虚拟内存

[方法]进入“性能选项”的“高级”设置窗口,首先将“处理器计划”及“内存使用

”都调整为“程序”优化模式。点击“更改”按钮进入虚拟内存设置窗口,若你的内存大

于256M,建议你禁用分页文件。默认的分页文件为物理内存的1.5倍。禁用系统缓存需重新

启动系统。如果你的内存低于256M,请勿禁用分页文件,否则会导致系统崩溃或无法再启

动XP!

windows使用时间长了,自然就会产生这样那样的临时文件,影响系统速度,让人烦心。对于老鸟来说,可以通过修改注册表、手动优化系统性能来提高速度,而对新手来说比较困难。这里我们可以下载一些专门的系统优化软件,进行一些简单的设计,就能达到我们想要的效果。这里我推荐一些常用又好使的软件:WINDOWS优化王、优化大师、超级兔子等。其中WINDOWS优化王非常好用,一看就会、功能全面、省时省心。

完全清理[ 毒 ]垃圾

藏在XP中的一个秘密武器,可以完整清除垃圾文件

藏在XP中的一个秘密武器,可以完整清除垃圾文件

你有用过Windows内置的清理磁盘功能吗?

它并不能完全地清洗Windows内不需要的档案,因为它的功能被隐藏了,本篇将会把它被封印了的功能完全打开。适用的窗口板本 除了Win95及Win98外

这个方法阶适用于Win98se、Win2000、WinME、WinXP

现在介绍两个「清理磁盘」工具的指令:

SAGESET 及 SAGERUN

首先在「开始」「执行」 然后输入

cleanmgr /sageset:99

设定:

特别模式「清理磁盘」工具会执行,你会发觉多了很多清理选择,选择你想要清理的档案,通常全部都可以删除,完成你的选择后再按「确定」。然后再打开「开始」「运行」

输入:cleanmgr /SAGERUN:99

杀毒1

这种情况往往表现在打开IE时,在IE界面的左下框里提示:正在打开网页,但老半天没响应。在任务管理器里查看进程,(进入方法,把鼠标放在任务栏上,按右键—任务管理器—进程)看看CPU的占用率如何,如果是100%,可以肯定,是感染了病毒,这时你想运行其他程序简直就是受罪。这就要查查是哪个进程贪婪地占用了CPU资源.找到后,最好把名称记录下来,然后点击结束,如果不能结束,则要启动到安全模式下把该东东删除,还要进入注册表里,(方法:开始—运行,输入regedit)在注册表对话框里,点编辑—查找,输入那个程序名,找到后,点鼠标右键删除,然后再进行几次的搜索,往往能彻底删除干净。

杀毒2

今天在这里为大家提供两则小技巧,以便帮你强行杀死顽固病毒进程。

根据进程名查杀

这种方法是通过WinXP系统下的taskkill命令来实现的,在使用该方法之前,首先需要打开系统的进程列表界面,找到病毒进程所对应的具体进程名。

接着依次单击“开始→运行”命令,在弹出的系统运行框中,运行“cmd”命令;再在DOS命令行中输入“taskkill/imaaa”格式的字符串命令,单击回车键后,顽固的病毒进程“aaa”就被强行杀死了。比方说,要强行杀死“conime。exe”病毒进程,只要在命令提示符下执行“taskkill/imconime。exe”命令,要不了多久,系统就会自动返回结果。

根据进程号查杀

上面的方法,只对部分病毒进程有效,遇到一些更“顽固”的病毒进程,可能就无济于事了。此时你可以通过Win2000以上系统的内置命令——ntsd,来强行杀死一切病毒进程,因为该命令除System进程、SMSS。EXE进程、CSRSS。EXE进程不能“对付”外,基本可以对付其它一切进程。但是在使用该命令杀死病毒进程之前,需要先查找到对应病毒进程的具体进程号。

考虑到系统进程列表界面在默认状态下,是不显示具体进程号的,因此你可以首先打开系统任务管理器窗口,再单击“查看”菜单项下面的“选择列”命令,在弹出的设置框中,将“PID(进程标志符)”选项选中,单击“确定”按钮。返回到系统进程列表页面中后,你就能查看到对应病毒进程的具体PID了。

接着打开系统运行对话框,在其中运行“cmd”命令,在命令提示符状态下输入“ntsd-cq-pPID”命令,就可以强行将指定PID的病毒进程杀死了。例如,发现某个病毒进程的PID为“444”,那么可以执行“ntsd-cq-p444”命令,来杀死这个病毒进程。

杀毒3

Windows任务管理器是大家对进程进行管理的主要工具,在它的“进程”选项卡中能查看当前系统进程信息。在默认设置下,一般只能看到映像名称、用户名、CPU占用、内存使用等几项,而更多如I/O读写、虚拟内存大小等信息却被隐藏了起来。可别小看了这些被隐藏的信息,当系统出现莫名其妙的故障时,没准就能从它们中间找出突破口。

1.查杀会自动消失的双进程木马

前段时间朋友的电脑中了某木马,通过任务管理器查出该木马进程为“system.exe”,终止它后再刷新,它又会复活。进入安全模式把c:\windows\system32\system.exe删除,重启后它又会重新加载,怎么也无法彻底清除它。从此现象来看,朋友中的应该是双进程木马。这种木马有监护进程,会定时进行扫描,一旦发现被监护的进程遭到查杀就会复活它。而且现在很多双进程木马互为监视,互相复活。因此查杀的关键是找到这“互相依靠”的两个木马文件。借助任务管理器的PID标识可以找到木马进程。

调出Windows任务管理器,首先在“查看→选择列”中勾选“PID(进程标识符)”,这样返回任务管理器窗口后可以看到每一个进程的PID标识。这样当我们终止一个进程,它再生后通过PID标识就可以找到再生它的父进程。启动命令提示符窗口,执行“taskkill /im system.exe /f”命令。刷新一下电脑后重新输入上述命令,可以看到这次终止的system.exe进程的PID为1536,它属于PID为676的某个进程。也就是说PID为1536的system.exe进程是由PID为676的进程创建的。返回任务管理器,通过查询进程PID得知它就是“internet.exe”进程。

找到了元凶就好办了,现在重新启动系统进入安全模式,使用搜索功能找到木马文件c:\windows\internet.exe ,然后将它们删除即可。前面无法删除system.exe,主要是由于没有找到internet.exe(且没有删除其启动键值),导致重新进入系统后internet.exe复活木马。

2.揪出狂写硬盘的P2P程序

单位一电脑一开机上网就发现硬盘灯一直闪个不停,硬盘狂旋转。显然是本机有什么程序正在进行数据的读取,但是反复杀毒也没发现病毒、木马等恶意程序。

打开该电脑并上网,按Ctrl+Alt+Del键启动了任务管理器,切换到“进程”选项卡,点击菜单命令“查看→选择列”,同时勾选上“I/O写入”和“I/O写入字节”两项。确定后返回任务管理器,发现一个陌生的进程hidel.exe,虽然它占用的CPU和内存并不是特别大,但是I/O的写入量却大得惊人,看来就是它在捣鬼了,赶紧右击它并选择“结束进程”终止,果然硬盘读写恢复正常了。

小技巧1

1、以Windows XP系统来说,按“开始”-“运行”,输入“CMD”回车后,再在DOS窗口下输入“systeminfo”命令,就可以查看到您的Windows XP出生日期了(指Windows XP初安装日期)。如果利用GHOST重装系统后,还是会以以前的时间为准。 除此之外,还可在此看到系统的所有信息,如主机名、处理器、网卡、以及系统打了多少补丁等等。是不是很有意思呢?

2、删除文件时,按shift 键可以直接删除。不经过回收站

3、稍微对计算机熟悉点的朋友,都知道CTRL+Z键是撤消键.

其实基本所有的大程序都是选择这个快捷键撤消键,包括计事本、IE浏览器等系统自带程序。

其实很多老鸟常常都犯了这样一个错误,在一些设计软件里都知道用这个键,可在一些菜单里没有撤消选项的软件里(比如IE)反而忘了有撤消这么个功能了.

我们用电脑写东西(例如在51群里发表帖子、qq聊天打字)时,可能都遇到过这样的事情,因为失误操作,不小心把刚刚写的字删除掉了,如果删除一两个字还可以重新打过,但如果是一大段的文字呢,这时只有干着急啊。其实,这时,我们只要按下CTRL+Z刚才不小心删除掉的东西就又会回来了。(朋友们可以做个测试,请在本帖后回帖的地方随意打一个字,再把这些字删除,然后再按CTRL+Z键,怎么样,这些字又回来了吧)

这里我只是举了最简单的一个例子,其实在很多时候,我们都可以通过CTRL+Z快捷键来实现,对刚刚误操作的恢复。

4、上网时在地址栏内输入网址,系统会记录下来,虽然方便以后不用再重复,不 过如果是公用的机子,又不想让别人知道自己到过哪些地方,可以用“CTRL+ O(字母O,不是0)”,这时对弹出一个“打开”对话框,在其中的地址栏内 输入网址,就不会被记录下来了.

5、如果浏览的页面中应用了javascript禁用了鼠标右键,解决的方法:(1)、先按住鼠标左键,然后将鼠标移动到目标处,点击 鼠标右键,一两秒之后,快捷菜单出现.(2)、单击鼠标右键,(不要放开鼠标右键),将鼠标移到警告窗口处,点击鼠标 左键,关闭窗口,再将鼠标移回目标处,放开鼠标右键,快捷菜单出现.

6、系统文件检查器——Sfc(system32文件夹下)

使用Windows难免不会出现系统文件损坏或丢失的毛病,而如果为了几个小小的文件就去重装系统,又显得稍微麻烦了一些。通过系统文件检查器Sfc.exe,一切都会变得非常简单。

7、关机、重启只要1秒钟

如果你想让Windows XP瞬间关机,那么可以按下CTRL+ALT+DEL,接着在弹出的任务管理器中点击“关机”→“关机”,与此同时按住CTRL,不到1秒钟你会发现系统已经关闭啦,简直就在眨眼之间。同样道理,如果在“关机”菜单中选择“重启”,即可快速重启。

8、快速拷贝文件

我们一般都是过一段时间就把硬盘上的文件分类整理一下,把图片放在picture文件夹中,mp3文件放在music文件夹中等等,但来回复制、粘贴真的很烦琐,现在让我们用一个简单的方法快速拷贝文件。选中一个文件夹如music,点鼠标右键创建一个快捷方式,复制这个快捷方式,在 C:\Documents and Settings\用户名\SendTo文件夹中粘贴此快捷方式。

SendTo是WindowsXP的系统文件夹,“发送到”功能就是由它来实现的。现在我们选中任意一个mp3,点鼠标右键在发送到中选择“快捷方式到 music”,这个mp3文件就被复制到了music文件夹中,是不是很方便!我们还可以根据自己的需要制作software、txt等等。

9、快速锁定计算机

Winkey+L键即可快速锁定计算机。

10、简单一招,严禁迅雷偷偷上传!

每次使用迅雷下载东西,它都会生成一个文件:c:\windows\system32\cid_store.dat

删除c:\windows\system32\cid_store.dat文件,然后在c:\windows\system32\目录下,新建一个文件夹,名称为 cid_store.dat,这样就没办法再生成任务记录文件啦,大功告成,简单吧。

能手动清除“AV终结者”吗?

“帕虫”(瑞星),AV终结者(金山命名)病毒的几种解决方法

最近“帕虫”(瑞星),AV终结者(金山命名)蛮流行的,其实就是7、8位字符病毒。我们民间的菜鸟管它叫“随机字母、数字病毒”。貌似反病毒论坛每天都有人因为这个病毒求助,我也跟该病毒打过几次照面了,觉得没什么特别的,现在将它们病毒的技术做简单介绍,并附上几个破解方法。

Autorun.inf

一个暗藏杀机的文本格式,以至于有些杀软都加入病毒库,传播U盘病毒的罪魁祸首,很多情况下我们把它视为敌人,如果配合系统默认的"自动播放"功能,那激活病毒的机率将会是100%。

关闭自动播放功能:计算机配置—管理模板—系统—停用自动播放—设置为“已启用”—选上所有驱动器—确定,至于Autorun.inf,可以下载U盘免疫工具。

线程插入

全名叫“远程创建线程”。这样的病毒通常是Dll格式的文件,可能依附系统服务\EXE载体\Rundll32.exe\注册表插入进程。那么除非用第三方工具,否则无法发现宿主内的dll病毒,因为进程管理器里毫无异常。这种技术在木马界应用非常广泛,具有一定的隐蔽性。8位字符病毒就是利用这个技术,使得无法在进程里直接发现,给查杀工作带来难度。

我们可以下载第三方工具,可以查看进程模块的,推荐用冰刃。主要检测Explorer进程模块,该进程是木马常聚集的场所,应当特别留意。最好可以配合SREng日志查看,那样会更容易辨认。

另:增强版的冰刃该病毒并无法关闭,同时IFEO劫持亦无效。

IFEO重定向劫持

最近被滥用的技术,在知名的安全工具就Autoruns能追踪到(新版本的SREng同样具有IFEO检测能力),为此我还曾写过一篇防御方法。可惜的是并没有人愿意去看```

IFEO其实是位于注册表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

下的Image File Execution Options(简写为IFEO)

这个项主要是用来调试程序(防止溢出),一般用户根本用不到。默认是只有管理员和local system能读写修改。假设在这个项新建个“Filename.exe”,键值为Debugger,指向的是另一个程序(virus.exe)路径的话,那么运行A程序的时候,会执行B,这就是重定向劫持。

打开注册表,展开到IFEO,设置权限,只读不允许写入就可以了。(如果程序运行提示找不到的话,不妨改个名字试试)

HOOK

这个是类似于“监听”的技术,翻译意思为“钩子”,我遇到的一个变种使用的是WH_CALLWNDPROC钩子,由常驻进程的8位随机数字.dll释放的钩子,通过拦截一些敏感的信息并在程序调用中做了修改。不过它并不是修改信息,而是直接关闭一些过滤的“关键字”。

直接删掉对应的Dll病毒就可以了,一般用SREng日志可以检测出来。

Rootkit

在我发现的AV变种中,发现一个木马群使用这个(Rootkit)技术,是7位随机病毒带来的,并实现三进程守护!

这个技术在木马界更多的是应用在隐藏上,最典型的应属灰鸽子(也可能是Hook),一个合格的RK可以让属于自己的文件(包括进程)人间蒸发。最常见的是修改枚举进程API,使API返回的数据总是“遗漏”(病毒)自身进程的信息,那么在进程里当然就不能发现了。也有一种类似的技术,通过抹杀“进程信息表”的自身信息进行隐藏。从而也达到隐藏的目的,不过该技术设计上缺陷和平台的通用,貌似相当稀少。(至少我没遇到过)

我们可以通过一些反RK的工具,居于RK的技术,反RK工具不一定能盖过对方,最好的方法只能预防。一些常用的反RK有偌顿的RootkitRevealer,IS、Gmer和AVG的Anti-Rootkit Free。

ARP挂马

这个不是重点,简单说了。是在一个AV变种的木马群发现的,由CMD调用,驻进程,其实是个类似嗅探器的东西,隔秒刷新,监听网络,在经过自身的数据包上挂一段恶意代码(JS),那么这些数据包返回时,收到被修改数据包的用户在浏览每个网页上可能都有病毒。

如果在局域的话,那么可以在任意一台主机上用抓包工具检查数据包的异常并定位。

破防

前几个版本中的8位数字病毒就是使用了这个技术,通过拦截FindWindowExA、mouse_event、SendMessageA等函数,捕捉瑞星注册表监控和卡吧主动防御的监控窗口,发送“允许”、“Yes"命令。(不经过用户操作),后来作者发现,把杀软关闭了,这功能不是多余的么。貌似后面的版本都没有再加入该技术。

这种技术比较卑劣,只能通过预防为上。另:HIPS可以拦住。

自身防护

“随机字符”病毒的自我保护方法是破坏安全模式和“显示隐藏文件”,那么这给查杀工作带来相当大的难度,因为这些病毒属性都是隐藏的。也不能进安全模式杀毒。

修复安全模式和“显示隐藏文件”都可以借助相应的注册表导入修复,另SREng带有修复安全模式的功(SREng—系统修复—高级修复—修复安全模式—确定)

破解方法:

1、忽视联防

首先是针对7位数字的双进程守护,可以通用哦。打开冰刃(增强版),按Ctrl选上两个随机7个字母的进程(通过路径辨别)。同时结束掉,然后再删除对应的文件和启动注册表项就可以了。也可以设置冰刃“禁止线程创建”功能,挨个结束。

2、重命名

把“随机数字.dll”改名为“随机数字lld”那么重启后它还可以插入进程吗?答案是不可以的。

3、扼其要道

一个Dll文件如何实现电脑重启后再次加载呢?(1)通过EXE载体释放。(2)通过系统服务加载。(3)跟随Rundll启动。(4)由注册表隐蔽加载(非常规Run启动项)。这里随机8位数字.dll使用的是第4种方法。附在HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\ShellExecuteHooks下启动。那么好,如果我把这键锁了,你还能启动?这不需要工具。 上次我就是锁住这个键,实现随机病毒全手动删除。(好像40多个病毒这样子)

4、删除工具

这个我就不多说了,等作者开窍,去更新吧,鄙视你。常用的是PowerRMV、KillBox、IS等。只需要删除掉那个随机数字.Dll,那么一切迎刃而解。(其实很有很多工具并没有禁,这里我不说了:D)

5、还施彼身

IFEO?我也会用!这个病毒是依靠插Explorer进程的,如果我们把下面的代码导入注册表并重启,那么等着看随机数字.dll“无家可归”吧

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]

"Debugger"="C:\\Windows\\system32\\CMD.exe"

这样启动时候不会显示桌面,当然病毒也无法插入进程了。而是显示DOS命令行哦,我们就可以为所欲为了~~~^_^

小聪明:其中C:\\Windows\\system32\\CMD.exe路径如果改成是冰刃或其他安全工具的启动路径话,效果更佳。

6、断电大法

以前对付一个病毒(ByShell),蛮厉害的,实现三无技术(无文件、无启动项、无进程)。后来就是靠这招险胜的(汗了半个月)。这个方法原理以突发断电法防止病毒从内存回写。我们知道,如果把属于病毒“同党”删除的话,那么驻进程的随机数字.dll会将其再生成。我们可以先使用Autoruns这个工具(记得先改名字哦)删除掉随机数字.dll的注册表项,删除后马上把电源关闭。

如果机子卡或者动作慢的话,这招就不要试拉!

7、借尸还魂

上面提到了,随机数字.dll是依靠宿主Explorer.exe内的,以前是枚举TIMPlatform.exe"(如果有)和"Explorer.exe"后插入进程。后来作者发现,进程里肯定是有Explorer的,在后面的版本中就没有加入枚举TIMPlatform.exe"了。而是直接插入"Explorer.exe"。嘿嘿,思路又来了。如果我们把Explorer.exe进程从任务管理结束掉,那么随机数字.dll不是流露街头?哈哈,看看吧:

这招需要有点DOS知识,配合去病毒的附加属性从而达到目的。你可以直接调用CMD强行删除。这招在前几个版本都有效,后面的我就不知道了。(没有新样本呀,5555~~~~)

8、遗忘的DOS

这里指的是纯DOS啊,不是命令行!找个安装盘并设置CR第一启动项。这样的安装盘一般都有集成DOS的工具,进入之,执行强行删除命令就可以拉,附上命令:

Del 随机数字.dll /f/s/a/q

不过要到它的目录喔,它“老人家”在C:\Program Files\Common Files\Microsoft Shared\MSINFO\

还有个同名的dat病毒。(顺手删了哈)。

9、重返安全模式

AV病毒能破坏安全模式,达到无法进入安全模式清除的效果,其实这是个软肋。只要我们修复安全模式,然后进安全模式把病毒文件删除掉就可以了。

我网盘有专门修复工具(注册表),其中SREng也可以修复,方法在上面。

我的网盘:(如果不能下的话,自己去网上找吧!)

10、挂盘杀

没什么技术含量了,鄙视我吧。(BIOS要设置主从盘,要谨慎,另小心母机不要中标了)

参考资料:

0条大神的评论

发表评论