Windows下病毒木馬基本防禦和解決方案
來源:互聯網
上載者:User
一.基本防禦思想:備份勝於補救。
1.備份,裝好機器之後,首先備份c盤(系統硬碟)windows裡面,和C:\WINDOWS\system32下的檔案目錄。
運行,cmd命令如下;
dir/a C:\WINDOWS\system32 >c:\1.txt
dir/a c:\windows >c:\2.txt
這樣就備份了windows和system32下面的檔案清單,如果有一天覺得電腦有問題,同樣命令列出檔案,然後cmd下面,fc命令比較一下,格式為,假如你出問題那一天system32列表為3.txt,那麼fc 1.txt 3.txt >c:/4.txt
因為木馬病毒大多要調用動態串連庫,可以對system32進行更詳細的列表備份,如下
cd C:\WINDOWS\system32
dir/a >c:\1.txt
dir/a *.dll >c:\>2.txt
dir/a *.exe >c:\>3.txt
然後把這些備份儲存在一個地方,除了問題對比一下列表便於察看多出了哪些DLL或者EXE檔案,雖然有一些是安裝軟體的時候產生的,並不是病毒木馬,但是還是可以提共很好的參考的。
2.備份進程中的DLL, CMD下面命令
tasklist/m >c:/dll.txt
這樣正在啟動並執行進程的DLL列表就會出現在c根目錄下面。以後可以對照一下,比較方法如上不多說,對於DLL木馬,一個一個檢查DLL太麻煩了。直接比較方便一些。
3.備份註冊表,
運行REGEDIT,檔案——匯出——全部,然後隨便找一個地方儲存。
4.備份C盤
開始菜單,所有程式,附件,系統工具,備份,然後按這說明下一步,選擇我自己選擇備份的內容,然後把系統備份在一個你選定的位置。
出了問題,同樣開啟,選擇還原,然後找到你的備份,還原過去就是了。
二,基本防禦思想,防病勝於治病。
1.關閉共用。關閉139.445連接埠,終止xp預設共用。
2.關閉服務server,telnet, Task Scheduler, Remote Registry這四個。(注意關閉以後定時殺毒定時升級之類的計劃任務就不能執行了。)
3.控制台,管理工具,本地安全性原則,安全性原則,本地策略,安全選項給管理員和guest使用者從新命名,最好是起一個中文名字的,如果修改了管理員的預設空命令更好。不過一般改一個名字對於一般遊戲心態的駭客就足夠了對付了。高手一般不對個人電腦感興趣。
4.網路連接屬性裡面除了tcp/ip協議全部其他的全部停用,或者乾脆卸載。
5.關閉遠端連線,案頭,我的電腦,屬性,遠程,裡面取消就是了。也可以關閉Terminal Services服務,不過關閉了以後,工作管理員中就看不到使用者名稱字了。
三,基本解決方案,進程服務註冊表。
1. 首先應該對進程服務註冊表有一個簡單的瞭解,大約需要3個小時看看網上的相關知識應該就會懂得了。
2.檢查啟動項目,不建議使用運行msconfig命令,而要好好察看註冊表的run項目,和檔案關聯,還有userinit,還有shell後面的explorer.exe是不是被改動。相關的不在多說,網上資料很多,有詳盡的啟動項目相關的文章。我只是說出思路。以下列出簡單的35個常見的啟動關聯項目
1. HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Curr entVersion\Run\
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\.
4. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
5. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
6. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
7. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
8. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
9. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
10. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
11. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
12. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\
13. HKEY_CURRENT_USER\Control Panel\Desktop
14. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager
15. HKEY_CLASSES_ROOT\vbsfile\shell\open\command\
16. HKEY_CLASSES_ROOT\vbefile\shell\open\command\
17. HKEY_CLASSES_ROOT\jsfile\shell\open\command\
18. HKEY_CLASSES_ROOT\jsefile\shell\open\command\
19. HKEY_CLASSES_ROOT\wshfile\shell\open\command\
20. HKEY_CLASSES_ROOT\wsffile\shell\open\command\
21. HKEY_CLASSES_ROOT\exefile\shell\open\command\
22. HKEY_CLASSES_ROOT\comfile\shell\open\command\
23. HKEY_CLASSES_ROOT\batfile\shell\open\command\
24. HKEY_CLASSES_ROOT\scrfile\shell\open\command\
25. HKEY_CLASSES_ROOT\piffile\shell\open\command\
26. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
27. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\
28. HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline
29. HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline
30. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
31. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\
32. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
33. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
34. HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\
35. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\
3.檢查服務,最簡單的吧,服務列表太長,我估計你也不一定能全部記住。說一個簡單的,運行msconfig,服務,把“隱藏所有的microsoft服務”選中,然後就看到了不是系統內建的服務,要看清楚啊,最後在服務裡面找找看看屬性,看看關聯的檔案。現在一般殺毒都要添加服務,我其實討厭殺毒添加服務,不過好像是為了反病毒。
4.進程,這個網上資料更多,只說明兩點,1.開啟工作管理員,在“查看”,“選項列”中把“pid”選中,這樣可以看到pid。2.點一個進程的時候右鍵有一個選項,“開啟所在目錄”,這個很明顯的,但是很多哥們都忽略了,這個可以看到進程檔案所在的檔案夾,便於診斷。
5.cmd下會使用,netstat –ano命令,覺得這一個命令對於簡單的使用就可以了,可以查看協議連接埠串連和遠程ip.
6.刪除註冊表{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
{0D43FE01-F093-11CF-8940-00A0C9054228}
兩個項目,搜尋到以後你會看到是兩個和指令碼相關的,備份以後刪除,主要是防止一下網上的惡意代碼
四,舉一個簡單的清除例子。
1.對象是包含在一個流行BT綠色軟體裡面的木馬,殺毒可以殺出,但是錯誤判斷為灰鴿子。有的殺毒殺不出來。以下說的是不用任何工具的判斷和清除,當然任何工具中包括殺毒。
2.中毒判斷:使用時候,忽然硬碟燈無故猛烈閃爍。系統有短暫速度變慢。有程式不正常的反映,懷疑有問題。
2.檢查,服務發現多了一個不明服務,檔案指向C:\Program Files\Internet Explorer下面的server.exe檔案,明顯的這不是系統內建的檔案,命令列下察看連接埠,有一個平常沒有得連接埠串連。進程發現不明進程。啟動項目添加server.exe.確定是木馬。
4.清除:開啟註冊表,關閉進程,刪除啟動項目,註冊表搜尋相關服務名字,刪除,刪除源檔案。同時檢查temp檔案夾,發現有一個新的檔案夾,裡面有一個“免殺.exe”檔案,刪除,清理緩衝。當然最好是安全模式下進行。
5.對照原來備份的system32下面的dll列表,發現可疑dll檔案,刪除,也可以在查看選擇“選擇詳細資料”選擇上“建立日期”(這個系統預設是沒有添加的),然後查看詳細資料,按建立日期顯示,可以發現新建立的檔案。這個木馬比較簡單,沒有修改檔案日期。
在那裡的,有時候忘記了清理,病毒如果關聯在這個檔案上,刪除後還會出現的。)
