如何利用一些小工具快速判斷電腦是否中毒

標籤：電腦   病毒   殺毒   工具   

在這個網上支付流行的時代，人們最害怕的事情莫過於電腦病毒了。以前不裝殺毒軟體“裸奔”是一件再平常不過的事情。現在估計很少有人敢這麼幹了，生怕自己網銀裡的錢被別人神不知鬼不覺的偷走了。今天，我就寫一篇新手小白文來告訴大家如何快速判斷自己的電腦是否已經中毒。

在討論如何判斷電腦是否中毒之前，我們先來說一下病毒常見的一些的特徵。

1. 計算機裡啟動並執行各種程式我們都可以找到相對應的進程。病毒的進程名通常會比較奇怪。比如一串奇怪的隨機名，再比如偽裝成一些系統進程名。舉個栗子，svchost.exe是一個系統進程，很多病毒常常會起名成scvhost.exe，以偽裝自己。

2. 病毒為了保證自己能夠正常運行，通常會把自身加入開機自動運行程式。稍後我會對這部分進行介紹。

3. 自我複製，這時蠕蟲的一個典型特徵，為了保證自己能夠在後期依然被執行並感染別的機器。病毒會進行自我複製並且自動執行。

4. 連網下載別的程式或者開啟本地監聽連接埠。

5. 更進階一點的病毒會通過Rootkit技術隱藏自己。包括註冊表，進程以及檔案。

接下來開始介紹工具吧。:)

1. Process Explorer

  : https://technet.microsoft.com/en-us/sysinternals/bb896653/

  Process Explorer是微軟官方發布的一個進程查看工具，能夠查看當前系統的進程樹以及進程相關的調用。

  650) this.width=650;" src="http://s3.51cto.com/wyfs02/M00/73/C3/wKioL1YGpADBjt8kAAT-2IJJoOc338.jpg" title="PE.jpg" alt="wKioL1YGpADBjt8kAAT-2IJJoOc338.jpg" />

  這是windows XP進程數的一個正常情況的例子。這裡我開啟了wireshark程式，因此進程數裡多出了一個wireshark.exe。這裡面我們可以關注的是“Company Name”一欄。很多時候病毒開發人員會忽略這裡的細節。比如微軟的進程叫“Microsoft Corporation”. 病毒程式可能會命名為“Microsoft Corp.” 或者“Microsoft Corporation, Inc.”遇到這樣的進程名時就要小心了。

  接下來給大家舉一個病毒程式的例子。

  650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/73/C3/wKioL1YGprGRlJgCAAVasEb04zc695.jpg" title="Mal3.jpg" alt="wKioL1YGprGRlJgCAAVasEb04zc695.jpg" />

  在這個例子中，我們看到有一個進程名叫: malware3.exe, 這個進程最可疑的地方就是Description欄和Company Name是空的。很多病毒程式編寫者常常會忽略這些細節。當你看到這些線索時，往往就需要進行深入的分析了。

2. Autoruns

  : https://technet.microsoft.com/en-us/sysinternals/bb963902

  Autoruns 也是微軟官方發布的一個工具，正如我之前所說，病毒為了保證自己能夠正常運行起來，常常會把自己加入開機自動運行程式。而微軟開機能進行開機啟動的項目又很多。光註冊表就有很多項目。此時，如果一個個尋找無疑是一個浩大的項目，這時，運用Autoruns工具就是個不錯的選擇。

  650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/73/C6/wKiom1YGsD_Q7-QOAAZmSz68EoE921.jpg" title="QQ20150926222954.jpg" alt="wKiom1YGsD_Q7-QOAAZmSz68EoE921.jpg" />  如果發現程式把自己加入的自啟動項，而且是在系統目錄下，這時，可以到Google上搜尋該檔案名稱尋找相關線索，很有可能並不是系統程式。

3. Virus Total

  網頁地址: https://www.virustotal.com/

  該網頁可以掃描檔案樣本查看該檔案是否是病毒，也可以上傳檔案hash值進行查詢。比如剛剛所說的可疑程式，在autoruns中我們看到該程式目錄是c:\windows\system32\svchost.scr. 我們可以將其提交到virustotal上進行查詢。

  

650) this.width=650;" src="http://s3.51cto.com/wyfs02/M01/73/C3/wKioL1YGs3HxIiccAAOLK_QU26M910.jpg" title="QQ20150926230141.jpg" alt="wKioL1YGs3HxIiccAAOLK_QU26M910.jpg" />  可以看到絕大多數防毒軟體廠商都將該軟體判定為惡意軟體，那麼就八九不離十了。

4. TCPview

  : https://technet.microsoft.com/en-us/sysinternals/bb897437

  TCPview也是一款微軟提供的查看本網串連情況的工具。可以用其查看本地連接埠監聽情況以及向外串連情況等資訊。這通常是木馬和殭屍網路的特徵。以下是一個例子:

  650) this.width=650;" src="http://s3.51cto.com/wyfs02/M01/73/C3/wKioL1YGtZHSxKjQAALtifif4n4774.jpg" title="QQ20150926231030.jpg" alt="wKioL1YGtZHSxKjQAALtifif4n4774.jpg" />

  這裡可以看到所有進程的網路訪問情況，通過簡單的搜尋可以發現，這裡的boot.ext進程監聽在本地的1234連接埠是十分可疑的一個行為。然後你就可以用process explorer找到該進程及其位置，上傳virustotal進行分析。

5. 最後給大家介紹一個進階一點病毒自我隱藏技術: Rootkit. Rootkit是病毒進行自我隱藏的一種技巧。其原理可疑這麼解釋。作業系統可以分為兩個模式: User Mode 和 Kernel Mode。我們瀏覽檔案也好，查看進程及註冊表也好，實際上都是從user mode向kernel mode的一種調用，並接受kernel mode的返回結果，從而將資訊展現在我們的螢幕上。

  如果病毒採用了Rootkit技術，那麼就會通過嵌入kernel mode來隱藏自己，這時想要找出他就不是那麼容易了，我們可以通過以下的工具來幫忙。

  RootkitBuster: http://free.antivirus.com/us/rootkit-buster/

  這時一款趨勢科技提供的公開免費的Rootkit掃描軟體，可以通過他來判斷自己的電腦是否感染了Rootkit病毒。

650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/73/C6/wKiom1YGufOTo8CKAALoJAqiPZ0373.jpg" title="QQ20150926232924.jpg" alt="wKiom1YGufOTo8CKAALoJAqiPZ0373.jpg" />

  可以看到這裡病毒隱藏了很多檔案及註冊表。可以通過選中這些工具並點擊“Fix Now”來清除。

  注意: 此工具不適用於Win8及其以上的作業系統。

最後，給大家介紹幾款免費的輕便型的殺毒工具（用360的請繞過）:

1. Housecall: http://housecall.trendmicro.com/apac/

  輕型免費的病毒查殺工具，簡單易用。

2. Hijackthis: http://sourceforge.net/projects/hjt/

  需要一定的作業系統知識，該工具可以列出系統進程，註冊表，服務，網路動作等相關資訊，但是需要人工進行分析。

3. RUBotted: http://free.antivirus.com/us/rubotted/

  免費的殭屍網路專殺小工具。

今天就先到這裡了，以後有空會給大家寫更多的有關係統安全相關的文章，希望能給大家帶來協助。

本文出自 “稻草人” 部落格，請務必保留此出處http://shjrouting.blog.51cto.com/4390576/1698502

如何利用一些小工具快速判斷電腦是否中毒