亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        巧用腳本,清除未知病毒

        2016-11-26 11:27:12
        網(wǎng)絡(luò)安全和信息化 2016年6期
        關(guān)鍵詞:卡巴斯基腳本木馬

        引言: 提起反病毒,大家都會(huì)想到各種殺毒軟件。殺軟的確是保衛(wèi)系統(tǒng)安全的利器,不過(guò),在很多人印象中,只要裝上了殺軟,并及時(shí)更新病毒庫(kù),就萬(wàn)事大吉了,再也不用擔(dān)心病毒木馬等惡意程序的侵?jǐn)_了。這種觀點(diǎn)存在一定的誤區(qū)。因?yàn)椴《炯夹g(shù)實(shí)際上是領(lǐng)先于殺軟的,往往是出現(xiàn)了新病毒后,殺軟才通過(guò)提取特征碼等手段,將其納入查殺范圍。。如果一種新型的病毒(包括免殺型病毒)來(lái)襲的話,殺軟未必能夠攔截清除。

        提起反病毒,大家都會(huì)想到各種殺毒軟件。殺軟的確是保衛(wèi)系統(tǒng)安全的利器,不過(guò),在很多人印象中,只要裝上了殺軟,并及時(shí)更新病毒庫(kù),就萬(wàn)事大吉了,再也不用擔(dān)心病毒木馬等惡意程序的侵?jǐn)_了。這種觀點(diǎn)存在一定的誤區(qū),因?yàn)椴《炯夹g(shù)實(shí)際上是領(lǐng)先于殺軟的,往往是出現(xiàn)了新病毒后,殺軟才通過(guò)提取特征碼等手段,將其納入查殺范圍。如果一種新型的病毒(包括免殺型病毒)來(lái)襲的話,殺軟未必能夠攔截清除。甚至?xí)霈F(xiàn)殺軟對(duì)該病毒視而不見(jiàn),任其自由“活動(dòng)”的尷尬。其實(shí),很多殺軟已經(jīng)對(duì)此已經(jīng)提供了防御之道,通過(guò)創(chuàng)建系統(tǒng)分析報(bào)告等技術(shù),來(lái)發(fā)現(xiàn)深度隱藏的病毒木馬。例如,卡巴斯基提供的創(chuàng)建系統(tǒng)狀態(tài)報(bào)告,

        圖1 創(chuàng)建系統(tǒng)報(bào)告

        NOD32提供的SysInspector等技術(shù),就可以讓未知病毒露出馬腳。這里,我們以常用的卡巴斯基2014為例,來(lái)說(shuō)明如何通過(guò)其內(nèi)置的AVZ腳本,來(lái)清除未知病毒。

        本例就以清除某病毒為例進(jìn)行說(shuō)明,單位的一臺(tái)電腦最近出現(xiàn)運(yùn)行異常的現(xiàn)象,懷疑是有病毒木馬等惡意程序侵入。但是,使用卡巴斯基2014進(jìn)行掃描,卻沒(méi)有發(fā)現(xiàn)病毒的行蹤。看來(lái)。要么是新型病毒,要么是該病毒針對(duì)卡巴斯基進(jìn)行了免殺處理。在系統(tǒng)托盤(pán)中的卡巴斯基2014圖標(biāo)右鍵菜單上點(diǎn)擊“設(shè)置”項(xiàng),在設(shè)置窗口底部點(diǎn)擊“技術(shù)支持”鏈接,在彈出窗口中點(diǎn)擊“支持工具”按鈕,之后點(diǎn)擊“創(chuàng)建系統(tǒng)狀態(tài)報(bào)告”鏈接(如圖1),卡巴斯基即開(kāi)始分析系統(tǒng)數(shù)據(jù),收集相關(guān)數(shù)據(jù),對(duì)進(jìn)程,加載的模塊,系統(tǒng)服務(wù),驅(qū)動(dòng),自運(yùn)行程序等對(duì)象進(jìn)行分析統(tǒng)計(jì)。

        完成后點(diǎn)擊“顯示已收集的系統(tǒng)信息”按鈕,會(huì)自動(dòng)打開(kāi)“C:Document sand SettingsAll UsersApplication DataKaspersky LabAVP14.0.0AVZ”文件夾,在其中看到以“sysinfo.zip”文件,其中包含具體的分析數(shù)據(jù)。注意,該壓縮包受到卡巴斯基的保護(hù),是無(wú)法直接解壓的。可以將其復(fù)制到別的位置,進(jìn)行解壓處理。解壓后得到“avz_sysinfo.htm”和“avz_sysinfo.xml”兩個(gè)文件。雙擊“avz_sysinfo.htm”文件,在瀏覽器中就可以查看分析報(bào)告的內(nèi)容了。

        可以查看關(guān)于進(jìn)程,已經(jīng)加載的模塊,內(nèi)核空間模塊,服務(wù),驅(qū)動(dòng)程序,自動(dòng)運(yùn)行程序,Microsoft Internet Explorr擴(kuò)展模塊,資源管理器擴(kuò)展模塊,打印系統(tǒng)擴(kuò)展,計(jì)劃任務(wù),SPI/LSP設(shè) 置,TCP/UDP端口,Downloaded Program Files,控制面板程序,HOSTS文件,協(xié)議和管理者,共享資源,可能感染的對(duì)象,主要分析腳本等涉及系統(tǒng)方方面面的統(tǒng)計(jì)信息。

        圖2 查閱進(jìn)程報(bào)告信息

        為了便于觀察,卡巴斯基會(huì)使用不同的色彩來(lái)標(biāo)識(shí)相關(guān)信息的危險(xiǎn)等級(jí)。例如,綠色的項(xiàng)目表示合法的系統(tǒng)信息,黃色的項(xiàng)目表示第三方的信息,紅色的項(xiàng)目標(biāo)識(shí)可能對(duì)系統(tǒng)安全造成威脅的對(duì)象。對(duì)于紅色的項(xiàng)目,我們需要特別注意,尤其是與其對(duì)應(yīng)的表格中沒(méi)有版權(quán),銷(xiāo)售商,描述信息等數(shù)據(jù),就說(shuō)明該紅色項(xiàng)目極具危險(xiǎn)性。在每一行信息的下方,都有一個(gè)腳本操作區(qū),包括隔離,刪除,BC刪除,終止等鏈接。例如,在進(jìn)程列表中就發(fā)現(xiàn)兩個(gè)名為“winreport.exe”和“config32.exe”的進(jìn)程可疑,兩者都沒(méi)有具體的描述信息。在上述進(jìn)程的底部分別點(diǎn)擊“中止”,“刪除”和“BC刪除”鏈接,將上述進(jìn)程中止并刪除與之關(guān)聯(lián)的程序?!癇C”為“BootCleaner”,即在重新啟動(dòng)電腦進(jìn)入系統(tǒng)之前將可疑文件刪除之意。對(duì)于加載到內(nèi)存又頑固不化的家伙(例如DLL木馬等),只能使用該方式進(jìn)行刪除。

        在報(bào)告的第二部分“內(nèi)核模塊”欄中發(fā)現(xiàn)了一個(gè)名為“zojsopr.dll”的模塊很可疑,在其描述和版權(quán)信息欄為空白,估計(jì)是一個(gè)免殺的木馬文件,點(diǎn)擊其下方的“刪除”鏈接,試圖刪除該文件,但是卻無(wú)法正常刪除。為此,可以點(diǎn)擊“BC刪除”鏈接,將其發(fā)送到刪除列表中。在查看“驅(qū)動(dòng)程序”信息時(shí),發(fā)現(xiàn)名為“devlview.sys”的驅(qū)動(dòng)文件形跡可疑,應(yīng)該是木馬用來(lái)隱藏服務(wù)端程序所用,同樣點(diǎn)擊“BC刪除”連接將其發(fā)送到刪除列表中。找到并清除了可疑的程序后,在報(bào)告底部的“腳本命令”欄中顯示我們?cè)O(shè)計(jì)的清除腳本:

        接下來(lái)繼續(xù)分析系統(tǒng)報(bào)告,發(fā)現(xiàn)了用來(lái)啟動(dòng)該木馬的服務(wù)項(xiàng)目,病毒服務(wù)的名稱為“Syssndrv”。另外Hosts文件也被修改了。但若干,在具體的清理過(guò)程中,需要您過(guò)仔細(xì)檢查系統(tǒng)報(bào)告的各個(gè)部分,將發(fā)現(xiàn)的可疑文件全部刪除。例如,病毒文件“Ald2790.dll”插入到了進(jìn)程“explorer.exe”中,就是通過(guò)對(duì)注冊(cè)表中的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks”分支下創(chuàng)建非法鍵值名來(lái)實(shí)現(xiàn)的。

        在系統(tǒng)報(bào)告中只需在對(duì)應(yīng)文件或者啟動(dòng)項(xiàng)位置點(diǎn)擊刪除鏈接,就可以將其清除。利用最后在上述腳本欄尾部有添加了“ExecuteSysClean;”,“BC_Active;”,“RebootWindows(true);”等語(yǔ)句,分別表示刪除所有和病毒關(guān)聯(lián)的啟動(dòng)項(xiàng),激活BootCleaner并立即重啟系統(tǒng),最終的腳本為:

        返回技術(shù)支持窗口,點(diǎn)擊“運(yùn)行腳本”鏈接,在腳本窗口中輸入上述代碼,之后點(diǎn)擊“執(zhí)行”按鈕,系統(tǒng)就會(huì)自動(dòng)重啟,在下次進(jìn)行系統(tǒng)之前,卡巴斯基就會(huì)執(zhí)行該腳本,來(lái)清除木馬程序了。當(dāng)病毒清除完畢后,在打開(kāi)系統(tǒng)路徑下的“HOSTS”文件,將其中雜亂的地址信息刪除恢復(fù)其原貌即可。

        猜你喜歡
        卡巴斯基腳本木馬
        酒駕
        小木馬
        騎木馬
        安奇奇與小cool 龍(第二回)
        小木馬
        數(shù)據(jù)庫(kù)系統(tǒng)shell腳本應(yīng)用
        旋轉(zhuǎn)木馬
        快樂(lè)假期
        卡巴斯基安全軟件榮膺AV—Test2014年度大獎(jiǎng)
        卡巴斯基企業(yè)級(jí)產(chǎn)品榮膺歐洲SC雜志權(quán)威獎(jiǎng)項(xiàng)
        男女18视频免费网站| 亚洲综合网站精品一区二区| 久久人妻少妇中文字幕| 最新国产激情视频在线观看| 中国精品18videosex性中国| 国产成人麻豆精品午夜福利在线| 国产精品av在线| 无码人妻少妇色欲av一区二区 | 极品视频一区二区三区在线观看 | 亚洲旡码a∨一区二区三区| 视频国产精品| 中文字幕人妻激情在线视频| 亚洲国产亚综合在线区| 国产精品无码a∨精品影院| 国产乱子伦精品免费女| 中文无字幕一本码专区| 日韩精品人妻中文字幕有码| 国模无码一区二区三区| 日韩精品一区二区三区在线观看| 无码av专区丝袜专区| 亚洲中文字幕高清av| 久久久久久久综合综合狠狠| 亚洲av无码av在线播放| 一区二区三区在线观看日本视频| 极品av一区二区三区| 4399理论片午午伦夜理片| 精品少妇大屁股白浆无码| 麻豆av在线免费观看精品| 欧美拍拍视频免费大全| 国产特级毛片aaaaaa高清| 高清国产美女av一区二区| 国产成人色污在线观看| 综合色免费在线精品视频| 欧美粗大猛烈老熟妇| 乱人伦中文字幕在线不卡网站| 精品不卡视频在线网址| 中文字幕人妻熟女人妻| 亚洲欧美日韩精品高清| 精品人妻一区二区三区蜜臀在线| 老鲁夜夜老鲁| 熟妇人妻无码中文字幕|