.jpg)
大家好,农企新闻小编来为大家解答以上问题。熊猫拜香病毒,熊猫烧香之手动查杀很多人还不知道,现在让我们一起来看看吧!
一.导言
作为这一系列研究的开始,我选择了“熊猫烧香”这一病毒作为研究对象。我选择这个病毒主要是因为它具有代表性。一方面在当时影响很大,让计算机专业或者没听说过的人。另一方面是因为这种病毒没有先进的技术。即使在当时,它采用的技术手段也很一般,我们目前掌握的知识也足以分析它。所以我相信从这个病毒入手,会帮助从未接触过病毒研究的读者打消对病毒的恐惧,在整个学习过程中有一个好的开始。
本文首先研究如何手动杀死“熊猫烧香”。这里的手动查杀主要是指不写代码查杀病毒。说白了,基本上就是通过鼠标的指点,有时候用几个DOS命令就可以实现杀毒的工作。但不可否认的是,这种方法非常肤浅,往往无法完全杀死病毒。但是,学习手动查杀病毒,有助于我们更好地理解反病毒工作,为进一步讨论打下基础。
需要注意的是,手动查杀病毒并不意味着不使用任何软件查杀病毒。其实使用一些专业的分析软件来查杀病毒,对我们是很有帮助的。我将在不同病毒的研究中解释这些工具。另外,出于安全考虑,我所有的研究文章都不会给你提供病毒样本。你自己上网搜吧,我只给你我用的病毒样本的基本信息。
二、手动查杀病毒流程
手动查杀病毒木马有一套“固定”的流程,可以总结如下:
1.调查可疑流程。因为病毒经常会创建一个或多个进程,所以我们需要识别哪些进程是由病毒创建的,然后删除可疑的进程。
2.检查启动项目。为了实现自启动,病毒会采用一些方法将自己添加到启动项中,从而实现自启动,所以我们需要将病毒从启动项中移除。
3.删除病毒。在前面检查启动项的步骤中,我们能够确定病毒主体的位置,以便最终删除病毒文件。
4.修复被病毒损坏的文件。一般来说,这一步不能直接用手工完成,需要使用相应的软件,这不是我们讨论的重点。
第三,杀病毒
我在这里研究的“熊猫烧香”病毒样本的基本信息如下:
MD5编码:87551 e33d 517442424 e 586d 25 a9 f 8522,
Sha-1编码:cbbab 396803685 D5 de 593259 c 9 B2 Fe 4d 0d 967 BC 7
文件大小:59KB
你在网上搜到的病毒样本可能和我的不一样,但基本上是一样的。杀人的核心思想还是一样的。
在这里,我将病毒样本复制到之前配置的虚拟机中(注意,应该对其进行备份)。首先,打开“任务管理器”检查当前进程:
因为我的虚拟机系统没有安装软件,所以很纯粹,所以有18个进程(包括任务管理器进程),可以认为是系统必备的。有时候我们需要这样一个纯粹的系统,将过程与疑似中毒的系统进行对比。然后我们运行病毒,再次尝试打开任务管理器,发现一打开就立刻关闭,说明病毒已经影响到我们的系统了,第一个效果就是让任务管理器打不开。然而,这并不重要。我们可以使用cmd中的“tasklist”命令来查看。
通过对比,我们可以看到这里还有一个名为spoclsv.exe的进程,我们可以通过命令“taskkill /f /im 1820”(强制删除PID值为1820的文件镜像)来结束这个进程:
这时候我们可以发现“任务管理器”可以打开,说明我们工作的第一步是成功的。然后需要对启动项进行故障排除。您可以在“运行”中输入“msconfig”:
我们很快就可以在这里锁定“spoclsv.exe”项了。首先,我们需要记下它的文件位置:
c : WINDOWS system32 drivers spoclsv . exe
然后是注册表位置:
HKCU 软件微软 Windows 当前版本运行
然后取消这个启动项前面的复选标记,转到注册表中相应的位置,删除运行中的“spoclsv.exe”,删除病毒文件本体:
以上工作完成后,重启系统,再次打开“任务管理器”,可以正常打开,说明我们的工作成功了。然后打开“我的电脑”,用鼠标右键点击每个盘符(我的系统只有c盘)。
当我们手动杀毒时,我们应该养成一种习惯,然后
因为我已经确定C盘中存在autorun.inf文件,而使用dir命令却没有看到,说明它应该是被隐藏了,所以这里要使用“dir /ah”(查看属性为隐藏的文件和文件夹)命令。而我们也确实发现了autorun.inf与setup.exe这两个可疑文件(因为正常文件是不需要隐藏的,特别是EXE文件更加不需要隐藏自己,所以这个setup.exe属于可疑文件)。因为这两个可疑程序的属性是隐藏的,所以这里可以先去掉其隐藏属性,然后再进行删除。
重启系统后,所有手动查杀病毒的工作完毕,我们的系统就又恢复正常了。
四、小结
事实上,“熊猫烧香”对于我们的电脑的危害远不止于此,只是说在不使用任何辅助工具的前提下,我们能做的基本上就是这些了。对于“熊猫烧香”病毒的手动查杀部分就到这里,在以后对于别的病毒的研究中,由于它们比“熊猫”要强大,我们不得不使用一些专业工具作为辅助。也希望大家能够亲自去尝试,勤动手,由这里开始,不再惧怕病毒。