操作系统和常用软件使用技巧
用户:分为超级用户和受限用户,超级用户可以访问所有的机器资源,受限用户则无权应用某些服务,如软件安装服务,无法访问一些文件夹,无法访问一些注册表值,但用户受限制的同时,病毒也受到了限制,所以建议用户一般运行于受限用户下,可以有效阻止病毒。受限用户的权限,可由超级用户进行设置,一般为右击该对象中有设置,比如文件夹的属性/安全标签。
文件:exe/dll/ocx/scr/pif都包括了二进制执行代码,成为病毒的主体或寄生体。doc/ini/bat/vbs/htt等文件是文本形式,但也可以被执行,所以也可以成为病毒主体。病毒尤其是木马文件一般存在于c:\windows c:\windows\system32 c:\windows\system及c:\program files等所有操作系统安装既有的文件夹中,流氓软件则除了以上文件夹,一般还是存在于program files内自建文件夹中c:\windows\system32\drivers\etc\hosts文件,指定了操作系统在进行域名解析时优先采用的IP地址,会被病毒用来屏蔽杀毒软件网站,或者当用户访问知名网站时引向病毒网页。
注册表:操作系统硬件、软件的配置信息的集合。开始菜单运行regedit打开
需要关心的:
其中指定了包括了大量系统启动时、浏览器启动时或者打开文件夹,打开“我的电脑”,右击文件后各菜单项,对图片进行预览时等等系统会执行或加载的文件,所以成为非感染正常文件型的病毒进行执行的主要途径,此类病毒必然修改或影响这里。
EXE/DLL/TXT等的关联,如有关EXE文件的有关两个:
HKEY_CLASSES_ROOT\.exe
这一项的默认值指定了.EXE的具体处理方法在exefile处
继续:
HKEY_CLASSES_ROOT\exefile
打开,其下的shell\open,就指定了一个EXE文件的具体打开办法。
所以HKEY_CLASSES_ROOT\.exe和HKEY_CLASSES_ROOT\exefile共同决定了EXE打开方式,其中一个被修改都会出现偏差。如果用户机器出现了所有EXE打开异常,就需要看这里。
同样的DLL/TXT/scr关联亦如此。
注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock
和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
包括了操作系统的网络数据的处理结构链表,病毒可以修改该链表将自己加入其中
进程:EXE/SCR/PIF文件执行后在内存中的映象,DLL/OCX只能以模块形式被嵌入其中。进程包括若干线程,操作系统的多任务其实可以理解为多线程,每个线程完成不同的任务,比如同一个进程QQ,视频聊天、
传文件的同时进行既是两个线程同时进行工作的结果。
端口:进程或线程通过网络进行通信的管道,不同的应用被标以不同的端口号,比如QQ使用4000,浏览器会使用80,FTP使用21,而系统也会保留一部分端口,如135 139用于网络邻居等用途。一个进程可以打开若干端口进行不同的用途。线程也可以拥有若干端口,但显然同时只能通过一个端口进行通信。
服务:操作系统用以完成系统基础功能,如自动更新,文件共享、打印、即插即用等应用。可以在开始菜
单运行services.msc打开服务列表(或从控制面板,管理工具),服务可以被设置为禁止或自动(手动),禁止则服务永不可打开,自动则系统启动时既打开,手动指可以由用户和程序在需要时打开,对于普通用户,多余的服务可能带来危险性,服务有单独的进程或依附于SVCHOST.EXE中。可以参考网上资料对一部分服务禁止或设为手动。
驱动:硬件设备的驱动程序或者软件系统最核心功能(比如TCP/IP网络、文件系统),运行在CPU的最0级,拥有直接操作硬件设备和访问操作系统所有核心数据的能力,所以ROOTKIT病毒便存在于此,在开始菜单运行msinfo32,软件环境,已加载驱动程序中看到列表。但可以被ROOTKIT绕过。
服务和驱动,都位于注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum和
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services键下。
病毒知识
现在的病毒概念,包括病毒、木马和流氓软件。
病毒感染EXE/DOC/硬盘分区的引导表并寄生其中,另包括蠕虫病毒,病毒的目的往往包括对硬盘的文件和网络的机器进行大量感染。
木马一般有单独的文件,会和黑客机器进行通信,窃取用户信息或接受指令对用户机器进行全面控制。既存在网络通信功以及和黑客进行通信。
流氓软件一般指合法的公司为了达到扩大巩固知名度,抢占用户群目的,通过捆绑在别的软件中,在用户不知的情况下被安装到用户机器上(一般在控制面板,添加/删除程序可见)的软件。有一定的使用价值,但会影响用户机器性能。一般可在控制面板可卸载,若不能,
用后面介绍的SRENG/KILLOBX等工具去除
病毒是计算机上可执行的代码,所以必须有执行的机会。
病毒代码的存在形式可以是单独的病毒文件,也可以是寄生在别的执行文件中或者以宏的形式寄生于WORD文档中。若采用寄生方式,只要该寄生文件被执行或者打开,病毒便会发作,而且往往开始大量感染别的同类文件,一般需要专杀工具或者杀毒软件,手工杀太烦琐。
蠕虫病毒:被感染的机器,对干净系统的某些包含漏洞的网络服务程序对应端口发送特殊的数据包,由于数据包的特殊性,比如超长,使服务程序出现逻辑错误,将数据包内本仅当作数据的部分获得了执行的机会,从而使干净机器感染。中蠕虫后的机器,会建立大量网络连接,每个连接连向另外一台未感染机器。大量此类连接的存在,往往使网络陷入瘫痪。
病毒还存在于网页上的HTML代码中,因为浏览器设置上的漏洞,也可以使病毒代码获得执行机会。
单独的病毒文件取得执行的方法:
修改注册表的相关值,在开机时或者系统执行某种操作时获得执行。
U盘或硬盘的某个分区上,加入auoturn.inf,并在该文件中指向病毒文件使其执行。分区被感染的标志:右击菜单的第一项不是“打开”。
修改每个文件夹下的desktop.ini和folder.htt,在其中加入VBS脚本,在用户打开该文件夹时就会执行。执行后往往会感染每个文件夹下的这两个文件,需要工具软件清除。
病毒运行后的表现:
病毒进程,使用任务管理器ctrl-alt-del可见,但如果病毒使用ROOTKIT等技术,可以隐藏进程
病毒端口,开始菜单运行cmd再运行netstat -a 可见,木马用端口和黑客进行通信,发送用户信息或者接受黑客的指令,若是蠕虫病毒,会通过大量端口向可连通的网络机器上发送病毒数据包,利用这些机器上的操作系统或应用软件漏洞感染该机器。同样可以被ROOTKIT技术隐藏。
另:利用ROOTKIT,在“我的电脑”中,将列不出病毒文件。
系统设置异常,如注册表编辑器(regedit)不能打开,任务管理器不能打开,文件夹选项消失。系统速度变慢,跳出不明网页。
重点:工具SRENG/HIJACKTHIS/ICESWORD
SRENG是一个注册表值的信息搜集软件,把病毒可能用来启动自身的注册表键都搜集来,甚至可查看包括病毒服务和病毒驱动,因此可以发现病毒的踪迹。
启动项目/注册表,里面包括了操作系统本身的程序,如输入法项cftmon.exe/imjpg*/phime*等,单击,会看到它们都含有MICROSOFT CORPORATION信息,即微软公司生产的合法程序。还有各种系统设备的项目,比如soundman、soundmax、vm_sti等,都可以看到它们的版权信息,分别属于相应的硬件生产商;还有各种合法程序,比如QQ,SKYPE,POPO,d-daemon及杀毒软件,都可以通过其生产商信息进行识别,如果没有把握,可以通过GOOGLE来确认是否为病毒。注意有些病毒往往在这里冒充系统正常程序,如lsass.exe/svchost.exe,但这些正常程序应存在于c:\windows\system32,病毒往往就在c:\windows或者c:\windows\system,以图混过关。有的项目,部分正确,后半部分却可能是病毒项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [Microsoft Corporation]
<Userinit><C:\WINNT\System32\userinit.exe,> [Microsoft Corporation]
如以上两项为正常,若后面多出部分却要删除掉。但绝不可直接删除该键。
启动项目/服务/WIN32服务、驱动,可以通过隐藏微软服务后,通过生产商,所在文件夹及经验,判断哪些是病毒服务,进行删除,其中驱动部分,需要注意的是驱动部分,只注意蓝色项即可。
启动项目/启动文件夹,即开始菜单的启动文件夹。
系统修复/关联,修复被病毒修改的关联。
系统修复/浏览器加载项,IE启动时,被加载的项目,如搜索拦,工具拦,一些流氓软件,如百度,中文上网,YAHOO助手就在这里,通过所在文件夹和GOOGLE及以往经验,判断是否病毒项,删除。
智能扫描:除了以上项目,还列出了系统正在运行的进程及进程加载的模块文件,同样的,通过其生产商,所在文件夹和GOOGLE的结果,判断其是否为病毒文件。
SRENG分析出的病毒修改的注册表项和病毒文件,注册表项有的可以在SRENG中进行删除,有的不可以,病毒文件打开“我的电脑”,有的可以删除有的不可以,是因为病毒在SRENG运行时也存在于内存中,会进行自我保护,所以应该采用的方法:使用一个KILLBOX程序,设置为重启后删除,然后将找到的病毒文件依次填入,分别点红叉,询问重启时选否直至全部填完再重启,然后SRENG中删除或修改掉病毒项目。重启后删除的原因时,这个工具进行文件删除时整个操作系统尚未启动,所有的病毒也便没有执行机会,所以可以从容删除。
HIJACKTHIS类似于SRENG,但有时修改更简便,点选病毒项目,然后修复即可,一般其所列的不包含文件的项目都是要修复的。
HIJACKTHIS所列的010 开头的项目,就是前面所说的LSP链表修改病毒,但也可能是防火墙等正常程序,请慎重区别。若认定后,使用一个LSPFIX的程序,删除病毒项,然后运行另一软件:WINSOCKXPFIX,若
LSPFIX提示错误:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
\Parameters\Protocol_Catalog9不可读,则需设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2的权限,将所有超级用户的权限加上允许,如果仍有问题,则需打开权限的高级部分,单击超级用户HKEY_LOCAL_MACHINE\SYSTEM,并勾选“用在此显示的可以应用到子对象....",然后应用,再使用LSPFIX/winsockxpfix,典型案例为xboxcenter.dll。
ICESWORD,本身采用系统内核技术,所以可以用来发现ROOTKIT病毒。看到SRENG和任务管理器/NETSTAT等普通工具不能看到的隐藏进程,隐藏端口、隐藏服务、隐藏驱动等。
gpedit.msc,一些关于系统注册表项的修改方法,比如关闭U盘的自动播放,可以用来保护机器不感染插入的U盘上的病毒。
U盘病毒的杀除方法:删除U盘根目录的AUTORUN.INF和其他相关文件,但之后要清除被感染机器硬盘和内存中的病毒,防止再感染U盘。
杀毒软件:绝不可以同时安装两个。若原来的卸载不成,可以使用SRENG删除掉有关的启动项目/服务/驱动程序/浏览器加载项。然后再删除有关文件夹
技巧:若操作系统一直无法启动到用户选择界面,则开机时按F8,使用上一次的正确配置,一般能正常启动了
