|
|
殺毒軟件失效別擔心 手工驅逐病毒 |
已閱[2816]次[2009/3/28] |
|
內容摘要:
|
|
正文:
電腦如同我們的家一樣,在使用一段時間之后就需要清理維護。特別是在病毒橫行的今天,如何做好安全維護,在電腦出現問題的時候如何將問題找出并解決問題,是想成為安全工程師和電腦高手的朋友應該掌握的基本技能。也只有這樣,我們才能夠在電腦工作異常時,臨危不亂處變不驚,防止因為盲目的誤操作,出現本不應該出現的數據損失。
現在絕大多數電腦用戶都會安裝殺毒軟件,他們對于殺毒軟的依賴程度相當高,如果懷疑電腦中毒了,就會想到用殺毒軟件。而如果殺毒軟件也同時出現故障,很多用戶就不知道該怎么辦了。
以我個人遇到的情況來看,有些病毒會直接關閉殺毒軟件進程,有些會停止殺毒軟件后臺服務,還有一些會悄悄地更改用戶的網絡協(xié)議與關鍵文件,讓殺毒軟件升級功能失效。而當用戶察覺系統(tǒng)有異樣后,再次安裝殺毒軟件往往也會失敗,甚至更換另一種殺毒軟件也會遇到阻礙。失去了防御病毒的武器會讓許多用戶束手無策,這時正好是我們安全工程師大顯身手的時候。
用戶難處理的癥狀 癥狀1:無法上網,殺毒軟件主動防御關閉或無法執(zhí)行
癥狀解析:這種情況比較多見。病毒通常是修改了IE中的代理選項,讓用戶無法正常上網。所以用戶如果遇到這樣的問題,應該即時檢查IE瀏覽器中的“Internet選項”,病毒可能修改了“連接→局域網設置”中的代理服務器一項,用戶只需要將代理服務器的勾選去掉皆可(圖1)。也有部分病毒會刪除用戶電腦中的網絡協(xié)議,讓用戶的網絡操作徹底失效。
而讓殺毒軟件主動防御失效,病毒常采用的招數是,通過修改系統(tǒng)默認加載的DLL 列表項來實現DLL 注入(),在注入后設置全局鉤子。然后根據殺毒軟件的關鍵字,找到殺毒軟件的窗口,往目標窗口發(fā)送大量的垃圾消息,是它無法處理而進入假死狀態(tài)。這時殺毒軟件的主動防御功能就失效了(圖2)。
殺毒軟件無法執(zhí)行,極有可能是由映像劫持造成的。病毒通過修改注冊表將殺毒軟件程序重定向,可以導致殺毒軟件無法運行。此外,也有可能是因為病毒刪除了殺毒軟件的服務或者程序。
癥狀2:僅殺毒軟件和安全輔助工具無法升級 癥狀解析:這種情況的迷惑性更大一些,許多用戶都是隔了一段時間才反應過來的。病毒修改了Windows操作系統(tǒng)中的HOSTS文件,阻止了殺毒軟件和安全輔助工具的升級。用戶在Windows訪問網站首先要輸入在瀏覽器中輸入域名,此時這個域名會通過DNS服務器解析成為網站的IP地址,例如我們輸入網址www.ruijia.cn,就將會被解析為122.156.44.155的IP地址后,電腦才能夠正常訪問。 根據Windows系統(tǒng)規(guī)定,在進行DNS請求以前,Windows系統(tǒng)會先檢查自己的HOSTS文件中是否有這個地址映射關系,如果有則調用這個IP地址映射,如果沒有再向已知的DNS服務器提出域名解析,也就是說HOST文件的請求級別比DNS高。因此一旦病毒修改了HOSTS文件的內容,用戶就無法訪問殺毒軟件網站
剖析案例掌握技巧 現實中的中毒癥狀往往比較復雜,有可能出現癥狀1和癥狀2雜糅的情況。下面的這個案例就是非常典型的。
現場狀況:有一次,領導派我去幫其他部門處理一下電腦故障。趕到現場后,立即詢問了電腦癥狀,得知他在啟動電腦時,發(fā)現殺毒軟件沒有出現在桌面的右下角,他試圖重新啟動殺毒軟件,但是沒有成功,后來又嘗試重新安裝殺毒軟件也不行,于是就向我們救助。
我在故障電腦中打開網頁,發(fā)現可以上網,但打不開殺毒軟件相關的網站。重新啟動后,嘗試進入安全模式,不過沒有成功。此外,我還發(fā)現注冊表無法進入,這就增大了解決問題的難度。
解決方法:檢查完完用戶電腦后,我已經大致明白了造成這些癥狀的原因,主要原因就是映像劫持,而HOSTS文件也被竄改了。身為一名安全工程師,自然備有一些安全分析工具。當時我選用的是ATools(下載地址:http://www.shudoo.com/bzsoft),大家也可以挑自己順手的安全分析工具。
我把閃存插入用戶電腦護,運行了ATools,首先檢查的就是進程與線程,軟件會用黃色標明異常的進程與線程。我在“Explorer.exe”進程下發(fā)現了黃色標明的DLL文件注入。接著,我結束了Explorer.exe進程。然后在ATools中調用注冊表工具,找到HEKEY-LOCAL-MACHINE\software\microsoft\windows\currentversion\explorer\advanced \folder\hidden\showall,將Checkedvalue的的鍵值改為“00000001”(圖3)。
再在注冊表中中找到HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options,將以殺毒軟件和安全工具命名的項刪除,再運行殺毒軟件就成功了。 隨后定位到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options;在Image File Execution Options上,選擇“安全→權限”,將出現的用戶列表內所有帶有“寫入”的權限去掉,確定退出。最后,我用安全輔助工具還原了HOSTS文件,之后,再上網就正常了。
全國統(tǒng)一咨詢熱線: 400-808-8566
|
|
熱門標簽:
|
|
|
網上報名(請詳細填寫聯系方式,專業(yè)老師會盡快與你聯系,做詳細的解答!) |
|