手動查殺病毒流程
手動查殺病毒木馬有一套“固定”的流程,總結如下:
1、排查可疑進程。
因爲病毒往往會創建出來一個或者多 個進程,因此我們需要分辨出哪些進程是由病毒所創建,然後刪除可疑進程。
2、檢查啓動項。
病毒爲了實現自啓動,會採用些方法將自己添加到啓動項中,從而實現自啓動,所以我們需要把啓動項中的病毒清除。
3、刪除病毒。
在上一步的檢查啓動項中,我們就能夠確定病毒主體的位置,這樣就可以順藤摸瓜,從根本上刪除病毒文件。
4、修復被病毒破壞的文件。
這一步般來說無法直接通過純手工完成,需利用相應的軟件,不是我們討論的重點。
實驗環境及說明
Windows 7 x86
樣本“panda”
查殺病毒
基本信息:
MD5:3520D3565273E41C9EEB04675D05DCA8
SHA-1:BB1D8FA7EE4E59844C1FEB7B27A73F9B47D36A0A
修改時間:星期二 09 一月 2007,
09.06.10 語言:Borland Delphi 6.0 - 7.0
1、排查可疑進程。
運行病毒程序之前,先記錄當前進程信息。
然後運行病毒程序。
然後我們再去打開任務管理器查看進程,已經打不開了(也關閉了其他程序窗口)。說明病毒已經對我們的系統產生了影響,而這第一個影響就是使得“任務管理器”無法打開。
然後我們使用cmd命令查看進程。我們可以在cmd中利用tasklist命令進行查看:
通過對比可見這裏多出了一個名爲spoclsv.exe的進程,那麼我們可以通過命令
taskkill /f /im 3756 (強制刪除PID值爲3756的文件映像)
從而將這個進程結束掉。
關閉之後,也能重新打開任務管理器。
2、檢查啓動項。
我們工作的第一步是成功的。然後需要對啓動項進行排查,可以在“運行”中輸入msconfig:
C:\WINDOWS\system32\drivers\spoclsv.exe
然後是註冊表位置:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
然後將這個啓動項前面的對勾取消,來到註冊表相應的位置,將Run中的spcolsv.exe刪除,並且刪除病毒文件本體:
使用cmd命令刪除,或者直接從文件夾中刪除。
以上工作完畢後,重啓系統,再次打開“任務管理器”,可以被正常打開,說明我們的工作是成功的。
重啓系統後,所有手動查殺病毒的工作完畢,我們的系統就又恢復正常了。
總結:
實際上現在很少手動查殺了,因爲有很多專業的工具,所以本篇文章僅作我學習所用,可以看出,我們通過手動查殺,可以看出熊貓燒香的一些危害,但是卻還有很多功能看不出來,這是手動查殺的侷限。