rock827
级别: 绿色
精华:
0
发帖: 760
威望: 3 点
金钱: 1509 RMB
贡献值: 0 点
在线时间:84(小时)
注册时间:2007-09-12
最后登录:2009-01-05
|
KV2008——反毒的剑
现在进入KV2008的核心部分----病毒查杀。杀毒软件的杀毒能力是一项评价杀毒软件非常重要的指标,也是杀毒软件的核心部分。杀毒能力不足的杀毒软件就像一个只有空壳的人一样,没有实质的东西,当然这样的软件也不能称之为杀毒软件。通过实用,可以看出江民杀毒软件独自核心杀毒技术的有效性,而且它在多方面都胜过某些同类软件。下面就以蠕虫病毒“魔波”和木马“上兴”为例来阐述江民强大的反病毒能力。 iPTQqx-m$7
1.剑斩“魔波”。“魔波”是利用微软的漏洞进行传播的蠕虫病毒,其破坏性不亚于当年的“冲击波”病毒,但是现在人们的防范意识逐渐提高,才导致“魔波”没有像当年的“冲击波”那样肆意扩散。但是“魔波”的攻击力依然不容小视,所以现在就用KV2008以“魔波”为例来斩杀强悍病毒。 =0�=�#M(
w
中了“魔波”病毒变种之后,病毒会在%systemroot%\system32目录中生成"wgareg.exe"病毒文件,并且会将自身加入系统服务中,使系统自带的“任务管理器”无法结束其进程。 ?�8-!hU@QC
 �XMuZ�}u[U
经过在虚拟机上的病毒行为分析之后,传统查杀方法如下:右击“我的电脑”进入“计算机管理”中,选择“服务和应用程序”中的“服务”,选中病毒创建的服务"Windows Genuine Advantage Registration Service",将其“启动类型”设置为“已禁用”,下次计算机启动的时候就不会加载该服务;再定位到%systemroot%\system32目录下,将"wgareg.exe"程序删除;最后进入注册表,将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wagreg键值全部删除即可 _]`�7�et\=
@'R)$:I%L
虽然这样可以杀除“魔波”病毒,但是对于很多计算机用户来说,毕竟还不是很容易。KV2008完全考虑到了这一点,使用其自带的“进程查看器”可以非常快捷、方便地查杀掉“魔波”病毒。 a{]�=BY oL
打开KV2008,在菜单栏中选择“系统安全”,选择“进程查看器”,再定位到"wgareg.exe"这个进程上,可以清楚地看到,江民的“进程查看器”将"wgareg.exe"这个进程的危险度标记为80%。 _�6�NUtU�
 v|%41x�Osr
这样可以明确的让用户判断一个进程是正常进程还是可疑进程。右击该进程,选择“结束进程”即可将该进程结束,之后进入该病毒的文件夹中,将其删除即可彻底查杀该病毒。值得一提的是,江民的“进程查看器”不仅仅是简单的结束一个可疑的进程,它还会将这个可疑进程的服务给关闭掉(这就是为什么系统自带的“任务管理器”无法结束掉“魔波”进程,而江民却可以的原因)。再进入%systemroot%\system32文件夹下将病毒文件删除,最后清理注册表即可。 �xm{]|~^JG
从这里可以看出,江民的杀毒能力堪称一流,即使是一款附带的“进程查看器”都有这样强大的功能,不难看出江民强悍的杀毒能力! �m^��D��'p
%":3xj'EEI
2.剑斩木马。木马在这个时代是越来越猖獗,灰鸽子、上兴、守望者、黑洞等等木马软件在网上横行霸道,给信息安全带来了极大的隐患。它们所使用的技术也是不断更新,有的使用系统文件名漏洞来隐藏自身,有的是使用与其它程序进行捆绑来隐藏自身,还有的使用Rootkit技术或是采用NTFS流隐藏技术等等……但不管病毒使用怎样的手段,江民杀毒软件都可以有效查杀这些木马!
��b/'bhE=
� $+*n�b�4
这里就以典型的“上兴”木马为例来介绍KV2008的反木马能力。 �}`"}eN @,
如果中了最新的“上兴”木马之后,它会冒充iexplorer.exe和calc.exe进程(当然,对于不同的木马配置,这两个进程会有所改变),并且使用Rootkit隐藏这两个进程,在用户系统自带的“任务管理器”中是无法查出蛛丝马迹的。打开KV2008中的“进程查看器”立即就可以看见这两项进程 n�[3z_Q�I
$o[-xNn�1�
 FU3�K?A
B�
但是如果直接将其结束进程之后,并不会得到想要的结果,结束进程之后不一会儿它们的进程会再次启动。由此可以知道,“上兴”木马是使用双进程保护技术的,如果其中一个进程被结束了,而另一个进程就会立即检测到并且马上开启这个进程。经过分析确认“上兴”木马是使用系统服务将两个进程保护,导致江民的“进程查看器”无法将其结束。 cE]z �Tu?!
但是和上面的“魔波”同样是系统服务,为什么这次江民的“进程查看器”在结束进程之后没有自动关闭“上兴”的服务呢?分析之后认为,“上兴”木马是使用的进程插入技术,将自身插入到iexplorer.exe和calc.exe中,而作为系统自带的IE浏览器和“计算器”程序本身是没有系统服务的,所以即使是结束了iexplorer.exe和calc.exe也不能真正关闭幕后黑手的服务。因此,iexplorer.exe和calc.exe就会不断的被启动,并且相互保护对方的进程。 D\Ak-�$kJ^
6��8tyWd}
既然“上兴”使用的是系统服务来保护自身,那么就可以找出“上兴”的服务,从而对症下药。单击“开始”菜单,选择“运行”(快捷键是Win+R),输入“msconfig.exe”(不含外边中文引号),打开“系统配置实用程序”,之后切换到“服务”选项卡,再将“隐藏所有的Microsoft服务”复选框选中,就可以清楚的看到哪些服务不是系统服务了。 YX����A@
c
jrib"�Bh3,
 Q|(}rIWOQA
很明显,"Windows_Rejoice2007_45"是一个非常可疑的服务,之后再右击“我的电脑”选择“管理”,进入“服务”,再找到"Windows_Rejoice2007_45"服务,将其“启动类型”设置为“已禁用” ;
I>nA6A��
 u��H[�WlZ4
再打开KV2008,打开“任务查看器”,将iexplorer.exe和calc.exe结束,最后进入Windows目录,将病毒删除即可。 Ptf�G~$�h?
rqamBm� �5
3.斩杀特殊目录中的病毒。有很多病毒利用系统文件路径漏洞来保护自己,比如Auto等一些顽固性病毒。这些病毒利用在Windows图像界面下没法进入带有非法字符的文件夹这一特点,使普通用户难以清除这类顽固性病毒。比如在D盘点Lab文件夹中有一个"Virus."的文件夹,双击打开之后就会出现错误的提示, �C]ss�'�
 ?2<�)
Jw�
这样我们就无法进入这个文件夹中清除病毒了。 \�"�O5li3n
�%SmOP sz�
但是KV2008却可以非常轻松地查杀这类利用系统文件路径漏洞的病毒,清理起来非常简单。直接扫描后杀毒就可以清除了, :�a�N�j�h�
�]�v
�$�{k
 [DaAv�N^0A
路径,是D:\Lab\Virus.\wgareg.exe)。不仅如此,KV2008也可以直接查杀SYSTEM帐户控制的文件夹(通常情况下,这类文件夹是Administrator类型的帐户无法访问的),比如系统还原文件夹。不得不说KV2008的查杀能力之强大!
|
|
|
|
[楼 主]
|
Posted: 2008-02-15 12:37 |
| |
五颜六色论坛 -> 电脑学校 -> KV2008——反毒的剑
