从名称上,不管是叫手工还是手动,也许是对应自动杀毒,总之是不用杀毒软件的杀毒,但是仍然我会建议在自己清理完后,尽量用杀毒软件或其它各种自动工具再查一遍,因为也许这时候经过病毒库的升级或我们的抢救,它们已经醒转过来、可以干活了,但也很有可能还是一无所获。
从原理上解释杀毒软件杀不了毒的原因就是不认得病毒,只有将病毒的特征加入病毒库,杀毒软件才能够识别病毒,也只有对某种病毒的全部机制研究透彻,杀毒软件才能完美解决病毒(这就是有的杀毒软件虽然能认出病毒却杀不了或只能删除的原因,至于删不删得掉又是另一个问题,涉及杀毒软件本身的能力与对病毒的了解程度)。正因为以上的原因,才有了我们要自己动手处理病毒的需要。
自己动手有个局限,就是水平问题,由于个人知识水平的差异,对于修复被感染文件这样级别的工作,很多群众做不了,即使是高手,如果要面对数量在几百个以上(哪怕只有十几个)待修复的文件也会手软,除非召唤出高高手编写对应的专门程序才能解决工作量的问题(专杀就这么来了)。此外,还有一些可能对普通用户来说是“高精尖”的操作要求无法有短时间内掌握,需要自我积累与学习进步,所以下面我只说最简单的、能够理解的东西,其余的大家以后慢慢摸索吧。
要想手杀,最先要做的和最重要的一点,就是要找到、要认出病毒的文件。怎么认?一个是进程,一个启动项,还有一个临时文件夹,附带一个是根目录。从进程表和启动项中发现可疑的文件,是第一步,怎么发现,首先是要熟悉正常的时候是什么样的,其次是利用一些工具,windows自己的进程还是msconfig都太弱,显示不了比较完整的内容,好在现在很多工具都能显示比较完整详细进程与启动项,比如各种卫士和助手软件、XueTr、PowerTool、SREng等等,冰刃这些老家伙虽然很厉害,可惜已经不更新了,新系统下能不能存活也成了问题,所以大家还是选一些新工具吧,好在大同小异,都差不多。
具体的问题来了,还是怎么识别的问题,我提供一些我以前的思路,不怕打广告,以前在别的论坛也发过,转一圈后也被人贴回来,可惜被改了有些偏离我的原意。下面扩展阅读供大家参考:
通过时间http://www.stormcn.cn/post/17.html、文件名http://www.stormcn.cn/post/18.html、文件信息http://www.stormcn.cn/post/19.html、位置http://www.stormcn.cn/post/20.html来判断是否是病毒,以上方法仅供参考、参照,非绝对必要条件,不可生搬硬套
当然说的很简单,不过真的完全做到还是有点难度,因为需要对系统文件有一些熟悉,甚至是一点英文底子,否则同样是一堆英文文件名字,如何认得哪个是无意义的随机组合,哪个是有规则的有含义的?为了不把内容拉得太多,决定分两节写个这个内容,如果再长,就分三节、四节,写东西真伤脑,没激情就停了下次再续。
首先重申一下一些观点,以下有关判断病毒文件的方法不是百分百准确无误的,只作为参考方法手段,不可生搬硬套,比如时间,我在原文中也说过,文件时间只是我们的参考依据,毕竟有的病毒也可以修改时间属性来达到隐藏目的。
那么除了已说过的,我们还有什么方法来进一步分辨可疑对象呢?搜索引擎是个好东西,我们可以在搜索引擎上搜索我们找到的可疑文件名,看看大家是怎么判定的。就具体使用搜索引擎来说,第一我会略过各种问答网站,比如百度知道、搜搜问问,并不是百度知道们不是没有有用的资料与信息,而是太多了、太杂了,鱼龙混杂,容易影响我们的判断,大量错误的答案夹杂广告推销(什么这一定是病毒,请用XX杀毒软件清除,连优化软件也能来搀和一把的东西,怎么能让人相信呢),还有文不对题的大段复制,真正的答案往往淹没在其中,实在是浪费时间。而一些技术网站、个人博客、论坛,还有安全商网(如杀毒软件的官网)提供的信息相对有用得多,不排除其中一些互相抄袭、甚至抄袭百度知道的页面。
对于一个可疑文件,如果能在网上直接搜索到对它判定的信息当然是好,如果没有直接信息,就得我们自己根据各种蛛丝马迹综合判断,比如有提供单个文件下载的(有的还挺多个下载站),一般都是系统文件,不会是病毒;有的在网上连一条搜索结果也没有的,如果不是你打错了文件名,那它一般不会是系统文件,就算删掉了,至少你的系统不会有事,或者不是知名的软件,是病毒的可疑性直接加大。
最后说一下搜索引擎方法的局限,我们只是搜索文件名,虽然文件名也算是文件特征,显然对于完全判断一个文件来说还是不够的,比如这个文件被病毒感染(可执行文件要特别注意这一点),或者被冒名顶替,那么就要结合其它方法来检查,比如查查签名、文件版权、文件时间等等,或者我们可以使用上传文件样本的方法来验证,比如一些多引擎在线查毒网站(我不列举了,在置顶的常见问题汇总帖的最后一部分有收录这些网站,或者我签名档中的蓝色链接),或者向杀毒软件官网的可疑文件提交地址提交可疑样本(各家地址:http://bbs.icpcw.com/viewthread.php?tid=1969218),与在线查毒不同,这些样本提交网址不会马上给出结果,需要等待,也许几分钟几小时,也许几天几周,甚至一直没回应,相对而言官网的样本提交比在线查毒的准确度要高些,但不是说就一定正确,比如某X,在我等待一周后,回复我上传的样本是安全的,而同时提交的其它杀软已经判定为病毒。
误报是可能的,这里的误报不是杀毒软件的误报,而是我们自己的判断的失误,连专业的都会误报,何况我们凡人呢。误判不可怕,只要有备份,所以大胆的玩去吧。
再说两个手杀时应该关注的位置,一个是临时目录,另一个根目录。估计不少同学从买来电脑后就没打开过“我的电脑”或“计算机”看看里面的文件是什么样的,所以让他们去找文件路径可能都不知道什么叫路径。路径就是文件存放的位置。那么临时文件在哪,默认的情况下有两处,可以打开系统的环境变量去查看(右击我的电脑-属性-高级-环境变量),里面的temp/tmp后面的路径就是临时文件夹,如“%USERPROFILE%\Local Settings\Temp”(可以把前面这串字拷到地址栏或运行里直接回车就打开了,然后就可以看到好多的文件和文件夹在TEMP文件夹中,这些都是临时文件(如果你在环境变量中有改过临时文件的位置,比如我改成d:\temp,那就不是%USERPROFILE%\Local Settings\Temp了,则在D:\temp),此外还有一个在c:\windows\temp(如果你的系统装在c盘),不过里面东西没有前面那个temp的多。
上面说的temp就是所谓的垃圾文件,各种卫士们喜欢这么说,每次不论有没有清理干净,都会抢着告诉你又清理了多大空间,甚至要你在扫描检查前清除这些文件,但他们其实并不是垃圾,有时清除了临时文件反而会使程序运行速度变慢。不过我不讨论这个问题,我要说的是很多病毒木马可能会释放自己的文件在临时目录中,不管是临时的还是长期的,建议在杀毒时把TEMP文件夹清空。另外还有一个临时文件就是IE的临时缓存文件,在internet选项中可以看到,建议在internet选项的高级选项中,设置安全-关闭浏览器后清空internet临时文件夹,如果有意外,可以直接在internet选项的常规页中手动删除浏览的历史纪录(选项可以全选,如果有插件也被删了,重新安装就是,在此不多说)
同理,一个急具悲剧色彩的windows系统还原(不是GHOST一键还原),很多杀毒软件在杀毒时都会建议关闭系统还原(关闭即是清空),和上面的意义类似,也不多说了,反正很多人也是关闭还原的,只是看作业吧。
要讲的另一个位置是根目录,就是一打开各个硬盘分区后所看到的地方,以前很多autorun.inf文件及其亲密的病毒战友都爱呆在这里,现在自从微软决心关闭自动播放应该会安全多了(关闭补丁kb971029),当然还是有很多人没关,所以也看看吧,一般情况下根目录下文件不多,C盘系统盘除外,打开显示隐藏文件、系统文件的选项,可以看得很清楚(如果无法显示,说明你中毒了),系统盘下文件不多,多看看就记得差不多了,关注的主要是执行文件、如exe/com/dll,其它的可以忽略,其它盘默认是没什么文件(文件夹有,或者可能还有什么杀U盘病毒时生成的autorun.inf文件夹),装好系统自己先看看,以后就好对比。注意系统盘下的系统文件如果不认的不要乱动,确实有没事找事的洁癖爱好者为使C盘更好看,把系统文件全塞进某个文件夹或直接删除、结果导致系统无法启动的悲剧,所以慎重。
其实还有一些目录,如windows目录及其中的system32目录,甚至是用户配置文件夹(不多说,越说就越多了),是很多木马病毒的最爱,隐藏性特别的好,但对很多人来说,这是一个危险地带,和上面说的系统盘根目录下的系统文件一样,建议不了解的话不要动,如果一定要动,请结合前面几课说的内容进行辨认(强烈建议处理前备份),时间属性、文件名特征是唯一的武器,如果杀毒软件继续装傻的话(当然时间判断也会出错,参考http://bbs.icpcw.com/viewthread.php?tid=2078857),结合启动项判断倒是比较靠谱,不过有的并不出现在启动项中,不过从启动项中逮出一个,再查同时间文件也许可靠性会大一些(要改时间会全改)。如果启动项干掉,没有启动激活,一般来说剩下的也就是死马了,无威胁,除了看着不爽,至少可以安心等待杀毒软件醒来工作(一般来说是这样,但我不打包票)。
自己动手处理病毒,包括比较复杂高级的,也有简单低级,前者如修复被感染文件、分析病毒代码(这样就更详细,稍简单一点的可以利用在线沙盒或虚拟机和监控软件、快照软件),后者就只有简单的删除了。相信很多人还达不到,或做不到前者的程度,作为提起兴趣与入门的课程而言,我就说后者,如果你对前者感兴趣了,或发觉后者已不能满足你的需要,可以自己去学习更多的知识。
删除,DEL,说的简单,做可能有些困难。删不掉是最大的障碍。遇到删不掉怎么办?找个强制删除的工具来删,如unlocker(解锁后再删)、冰刃(强制删除,但注意冰刃可能在你的系统上运行不了)、xuetr、powerrmv、xdelbox,还有很多粉碎机之类的软件,只要能删我们都能用,我们的目标只有一个,删掉它!不用工具可不可以删?也可以,第一结束待删除对象的进程,只要你能找得到它并不让它再运行起来,正在运行的程序是删不了的;第二的获得权限,获得最大的权限,查看看你是不是拥有“完全控制”的权限(文件属性),没有就加上去;第三看看是不是有人在保护它,干掉保镖。安全模式、在PE系统(光盘U盘启动)、在双系统中的另一个系统中、把硬盘挂到另一台电脑上,这些方法能让前面三点的影响降到最低,是比较好的删除场所,切记。
处理病毒的另一个问题是删掉的文件再次生成,反复折腾,杀而不尽,用杀毒软件也同样有这种问题。出现这种情况,一个是还有没找到的病毒文件,另一个病毒正在运行。对付这种情况可以有多个建议:1、删掉它们的启动项马上重启,甚至是强制断电关机,不让病毒有写回的机会(较极端的作法,可能损伤机器,不到万不得已不建议这么做),等重启后再处理剩余的文件;2、删除文件后,在删除文件的位置建立同名文件或文件夹,抑制同名病毒文件再生(以前一些免疫autorun.inf的工具就这么做的),一些工具也带有此功能,如xedlbox、powerrmv、xuetr等(不过注意,如果病毒是假冒正常文件、系统文件,如假冒explorer.exe,而正牌的explorer.exe则转移到另一个位置,此时此法就不适用,应恢复原有文件才是正途,另外随机文件名也不适用,因为文件名不固定,但有时在随机文件名的情况下却暂时有用,在新的随机文件产生前可以奏效)。建议综合采用以上方法。抑制措施可以在一定程度上抵挡病毒的再次攻击,为进一步清除查杀或救醒杀毒软件赢得时间,有时这种抑制会使残余的病毒失去威胁能力,更容易剿灭,但有时这种抑制只是临时措施,将勉强维持直到杀毒软件终于可以杀掉病毒,或永远临时直到重装系统的那一天。
如果误删怎么办?强烈建议删除文件前先备份,宁可放过不可错杀,实在没把握请放生。
其实除了删除外,处理应该还包括修复,如恢复主页、修复注册表、修复文件关联、修复安全模式、重置winsock或lsp和hosts等,比较复杂,建议用一些急救箱或其它工具软件(如sreng)代劳。
最后,在删除和修复后,除非你对这种病毒很了解,否则一般还会有残留在你的电脑上,很多时候(很高兴这一点),残留的文件已经失去危害,但仍有时候(很不高兴这一点),潜在的威胁还有,那么在我们赢得主动权时间后,就需要清除残留,看看上一课讲的几个位置吧,IE缓存、临时文件夹TEMP,建议清理,杀毒软件醒了,也让它工作一下吧,全盘扫描,建议升级后再扫,更建议如果有保留病毒样本先上交给杀毒软件厂商分析后升级再执行此操作。如果技术不够不会做或杀毒软件什么也没有扫出来,那么扫尾工作可以直接结束,并坚决告诉自己本次杀毒已经完成、电脑没事了,如果还有问题,那一定是另一次中毒。如果你不满足本话题就这么结尾,建议进行更深入的学习,欢迎前来交流与探讨,分享你的经验。
|
