手工防毒

手工防毒,就是指靠人工識別病毒木馬,然後用一些其他工具將其誅殺,它於傳統的防毒軟體防毒方式的區別,就在於,是否有人工識別的過程,而傳統的防毒軟體,則只需用戶通過一個按鈕,完成整個防毒過程,手工防毒則人工識別某些檔案的行為,然後將其清除。

優點:通過人工識別,能更主動的防禦病毒,而且誤殺極其低(因人而定)、其防毒方式自由。能自由的對付各類的病毒,即使是新類型的病毒,也會很快有解決方案,解決了傳統防毒軟體,依靠“庫”來識別病毒臃腫的缺點。

缺點:電腦知識要求較高,必須對病毒手段,和方式,類型有一定的了解。

基本介紹

  • 中文名:木馬病毒
  • 外文名:Trojan virus
  • 作用:破壞
  • 起源:荷馬史詩
手工清除,手殺工具,

手工清除

對於常見的木馬病毒,可通過以下方法找出木馬病毒檔案並進行清除:
一、註冊表清除
利用註冊表載入運行如下所示的註冊表位置是木馬的藏身之處:
HKEY_LOCAL_MACHING\Software\Windows\Current Version下所有以“run”開頭的鍵值。
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version下所有以“run”開頭的健值。
HKEY_USERS\Default\Software\Microsoft\Windows\Current Version下所有以“run”開頭的健值。
二、系統檔案
在System.ini中啟動,System.ini位於Windows的安裝目錄下,其“boot”欄位的Shell=Explore.exe是木馬的隱蔽載入場所,木馬通常的做法是將該句變為Shell=Explore.exe,注意這裡的Window.exe就是木馬服務端程式。
、啟動命令
在Win.ini中啟動,在Win.ini的“Windows”欄位中有啟動命令“load=”和“run=”,在一般情況下“=”後面是空白的,如果後面跟著程式,內有可能是木馬。
四、修改檔案關聯
修改檔案關聯是木馬常用手段,比如說下沉情況下TXT檔案的打開方式為Notepad.exe檔案,但一旦中了檔案關聯木馬,則TXT檔案的打開檔案就會被修改為用木馬程式打開。
五、在Autoexec.bat和Config.sys中載入運行
在C糟根目錄下的這兩個檔案也可以啟動木馬。但這種載入一般都需要控制用戶與服務端建立連線後,將已添加木馬啟動命令的同名檔案上傳到服務端覆蓋這兩個檔案才行,而且採用這種方式不是很隱蔽,容易被發現。所以在Autoexec.bat和Config.sys中載入木馬程式的並不多見,但也不能因此而掉以輕心。
六、在Winstart.bat中啟動
Winstart.bat具有系統特殊性,也是一個能啟動並被Windows載入運行的檔案。它多數情況下為應用程式及Windows自動生成,在執行了Win .com並載入了一些驅動程式之後開始執行。由於Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被載入運行。
七、反覆感染木馬的檔案
實現這種觸發條件首先要控制端和服務端已通過木馬建立連線,然後控制端用戶用工具軟體將木馬檔案和某一應用程式捆綁在一起,上傳到服務端覆蓋原檔案。這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程式,木馬又會安裝上去。如綁定到系統檔案,那么每一次Windows啟動均會啟動木馬。

手殺工具

常用的手殺工具有:xuetrpowertool、冰刃。
xuetr:推出的一款廣受好評的ARK工具。如果您對window系統不甚熟悉,您還是不要使用本工具,即使要使用,也不要用本工具胡亂操作。
powertool:一款免費強大的進程管理器,支持進程強制結束,可以Unlock占用檔案的進程,查看檔案/資料夾被占用的情況,核心模組和驅動的查看和管理,進程模組的記憶體的dump等功能。最新版還支持上傳檔案線上掃描病毒。支持離線的啟動項和服務的檢測和刪除,新增註冊表和服務的強刪功能,可在PE系統下清除感染MBR的病毒(如鬼影等),通過Windows7 SP1的測試。

相關詞條

熱門詞條

聯絡我們