熊貓燒香之手動查殺
電腦已經走進我們的生活,與我們的生活息息相關,感覺已經離不開電腦與網路,對於電腦安全防範,今天小編在這裡給大家推薦一些電腦病毒與木馬相關文章,歡迎大家圍觀參考,想了解更多,請繼續關注。
一、前言
作為本系列研究的開始,我選擇“熊貓燒香”這個病毒為研究物件。之所以選擇這一款病毒,主要是因為它具有一定的代表性。一方面它當時造成了極大的影響,使得無論是不是計算機從業人員,都對其有所耳聞;另一方面是因為這款病毒並沒有多高深的技術,即便是在當時來講,其所採用的技術手段也是很一般的,利用我們目前掌握的知識,足夠將其剖析。因此,我相信從這個病毒入手,會讓從前沒有接觸過病毒研究的讀者打消對病毒的恐懼心理,在整個學習的過程中開個好頭。
本篇文章先研究如何對“熊貓燒香”進行手動查殺。這裡所說的手動查殺,主要是指不通過編寫程式碼的方式對病毒進行查殺。說白了,基本上就是通過滑鼠的指指點點,有時再利用幾條DOS命令就能夠實現防毒的工作。但是不可否認的是,採用這種方法是非常粗淺的,往往不能夠將病毒徹底查殺乾淨,但是從學習手動查殺病毒起步,有助於我們更好地理解反病毒的工作,從而為以後更加深入的討論打下基礎。
需要說明的是,手動查殺病毒並不代表在什麼軟體都不使用的前提下對病毒進行查殺,其實利用一些專業的分析軟體對於我們的查殺病毒的還是很有幫助的,這些工具我會在對不同的病毒的研究中進行講解。另外,出於安全考慮,我的所有研究文章,都不會給大家提供病毒樣本,請大家自行上網尋找,我只會給出我所使用的病毒樣本的基本資訊。
二、手動查殺病毒流程
手動查殺病毒木馬有一套“固定”的流程,總結如下:
1、排查可疑程序。因為病毒往往會創建出來一個或者多個程序,因此我們需要分辨出哪些程序是由病毒所建立,然後刪除可疑程序。
2、檢查啟動項。病毒為了實現自啟動,會採用一些方法將自己新增到啟動項中,從而實現自啟動,所以我們需要把啟動項中的病毒清除。
3、刪除病毒。在上一步的檢查啟動項中,我們就能夠確定病毒主體的位置,這樣就可以順藤摸瓜,從根本上刪除病毒檔案。
4、修復被病毒破壞的檔案。這一步一般來說無法直接通過純手工完成,需利用相應的軟體,不是我們討論的重點。
三、查殺病毒
我這裡研究的“熊貓燒香”病毒樣本的基本資訊如下:
MD5碼:87551e33d517442424e586d25a9f8522,
Sha-1碼:cbbab396803685d5de593259c9b2fe4b0d967bc7
檔案大小:59KB
大家在網上搜索到的病毒樣本可能與我的不同,但是基本上都是大同小異的,查殺的核心思想還是一樣的。
這裡我將病毒樣本拷貝到之前配置好的虛擬機器中***注意要備份***,首先開啟“工作管理員”檢視一下當前程序:
因為我的虛擬機器系統中沒有安裝任何軟體,是很純淨的,所以一共有18個程序***包含工作管理員程序***,可以認為這18個程序是系統所必須的。有時我們就需要這樣的一個純淨系統,來與疑似中毒的系統進行程序的對比操作。然後我們執行病毒,再次嘗試開啟“工作管理員”,發現它剛開啟就立刻被關閉了,說明病毒已經對我們的系統產生了影響,而這第一個影響就是使得“工作管理員”無法開啟。不過沒關係,我們可以在cmd中利用“tasklist”命令進行檢視。
通過對比可見這裡多出了一個名為spoclsv.exe的程序,那麼我們可以通過命令“taskkill /f /im 1820”***強制刪除PID值為1820的檔案映像***,從而將這個程序結束掉:
這時就可以發現“工作管理員”可以被打開了,說明我們工作的第一步是成功的。然後需要對啟動項進行排查,可以在“執行”中輸入“msconfig”:
這裡很快就能夠鎖定“spoclsv.exe”這一項,我們首先需要記下其檔案位置:
C:\WINDOWS\system32\drivers\spoclsv.exe
然後是登錄檔位置:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
然後將這個啟動項前面的對勾取消,來到登錄檔相應的位置,將Run中的“spoclsv.exe”刪除,並且刪除病毒檔案本體:
以上工作完畢後,重啟系統,再次開啟“工作管理員”,可以被正常開啟,說明我們的工作是成功的。然後開啟“我的電腦”,用滑鼠右鍵點選一下各個碟符***我的系統只有C盤***。
我們在手動查殺病毒的時候,就應該養成一個習慣,那就是使用右鍵來開啟碟符,而不是通過雙擊左鍵的方式。在這裡我們可以看到,滑鼠右鍵選單中多出來了一個“Auto”項,那麼很明顯C盤中存在autorun.inf的檔案。可以在cmd中檢視一下。
因為我已經確定C盤中存在autorun.inf檔案,而使用dir命令卻沒有看到,說明它應該是被隱藏了,所以這裡要使用“dir /ah”***檢視屬性為隱藏的檔案和資料夾***命令。而我們也確實發現了autorun.inf與setup.exe這兩個可疑檔案***因為正常檔案是不需要隱藏的,特別是EXE檔案更加不需要隱藏自己,所以這個setup.exe屬於可疑檔案***。因為這兩個可疑程式的屬性是隱藏的,所以這裡可以先去掉其隱藏屬性,然後再進行刪除。
重啟系統後,所有手動查殺病毒的工作完畢,我們的系統就又恢復正常了。
四、小結
事實上,“熊貓燒香”對於我們的電腦的危害遠不止於此,只是說在不使用任何輔助工具的前提下,我們能做的基本上就是這些了。對於“熊貓燒香”病毒的手動查殺部分就到這裡,在以後對於別的病毒的研究中,由於它們比“熊貓”要強大,我們不得不使用一些專業工具作為輔助。也希望大家能夠親自去嘗試,勤動手,由這裡開始,不再懼怕病毒。
簡單木馬分析與防範