论坛风格切换
  • 12阅读
  • 0回复

分析如何查杀运行状态下的EXE、DLL病毒 [复制链接]

上一主题 下一主题
songjlvshi
用户信息
ID
№.41199
级别
六星会员
经验
36%
性别
保密
荣誉勋章
 

*:tfz*FG$G  
一、对于启动进程的EXE病毒的查杀   1、在进程中可以发现的单进程EXE病毒或木马程序,如:svch0st.exe,有些杀毒软件可以发现且可以停掉进程,杀掉病毒;有些杀毒软件会报警提示用户或形成日志,需要用户作进一步判断后,再手工停掉相应进程,杀掉病毒。   2、在进程中可以发现的双进程EXE病毒或木马程序,由于手工方式不能同时停掉两个进程,当我们手工掉其中一个进程后,另一个进程会将该进程重新启动。针对这种情况杀毒软件也无能为力,若两个都是非系统进程,我们可以通过;任务管理器进程结束进程树;的方式停掉该进程,杀掉病毒;也可以用工具IceSword中;文件设置禁止进线程创建;,来停掉其中一个进程,再停掉另一个进程,杀掉病毒。   3、对于像被;熊猫烧香;感染的EXE文件,上述两种手工处理无效,因为无法手工清除受病毒感染的文件中的病毒,这时只能向杀毒软件厂商提供病毒样本,等待杀毒软件升级后再进行处理,或重新安装操作系统。   二、 对于采用进程插入技术,隐藏了进程DLL病毒的查杀   目前的一些高级病毒或木马程序,采用进程插入技术,隐藏了进程,将其DLL动态链接库文件插入现有的系统进程中,常见的插入explorer.exe和winlogon.exe中,目前杀毒软件针对这种动态链接库的病毒查杀,效果都不理想,有时杀毒软件甚至会出现误判,如;赛门铁克误杀系统两个关键动态链接库文件;事件。   对于插入explorer.exe中DLL文件,大部分可以利用工具IceSword中;模块卸除;,将DLL文件卸载,然后手工删除DLL病毒文件。   对于插入winlogon.exe中DLL文件,少数可以利用工具IceSword中;模块卸除;,将DLL文件卸载,然后手工删除DLL病毒文件;大部分是不可以;卸除;的,   对于上述两种不可以;卸除;的情况,需要在安全模式下,手工删除DLL病毒文件。   另外,目前还有些病毒或木马程序有时还会感染U盘,在U盘产生Autorun.inf和相应的EXE文件。 长期以来网警110报警电话就有着不凡的发展速度,相信未来也是一如既往,势如破竹。
评价一下你浏览此帖子的感受

精彩

感动

搞笑

开心

愤怒

无聊

灌水
快速回复
限44 字节
批量上传需要先选择文件,再选择上传
做人要厚道,看帖要顶帖!
 
上一个 下一个

      鄂公网安备 42062502000001号