現(xiàn)如今大家都會(huì)選擇在網(wǎng)絡(luò)上汲取相關(guān)知識(shí)內(nèi)容,比如rootkit,為了更好的解答大家的問(wèn)題,小編也是翻閱整理了相應(yīng)內(nèi)容,下面就一起來(lái)看一下吧!
1、檢測(cè)病毒體文件Norton防病毒軟件報(bào)告c:windowssystem32orans.sys文件為Rootkit型病毒,這里可以看到使用Rootkit代碼的SYS文件是無(wú)法逃過(guò)殺毒軟件檢測(cè)的。
(資料圖片僅供參考)
2、那么是否刪除了該文件就能清除病毒呢,答案是不行的。
3、首先在染毒的系統(tǒng)下該文件是受保護(hù)的,無(wú)法被刪除。
4、即使用戶在安全模式下刪除了文件,重新啟動(dòng)后,另外一個(gè)未被刪除的病毒文件將隨系統(tǒng)啟動(dòng),并監(jiān)控系統(tǒng)。
5、一旦其發(fā)現(xiàn)系統(tǒng)的注冊(cè)表被修改或病毒的SYS文件遭刪除,病毒就會(huì)重新生成該文件并改回注冊(cè)表,所以很多時(shí)候我們會(huì)發(fā)現(xiàn)病毒又重生了。
6、因此需要同時(shí)找到這兩個(gè)文件,一并處理。
7、但在受感染的系統(tǒng)中,真正的病毒體已經(jīng)被Rootkit模塊隱藏了,不能被殺毒軟件檢測(cè)到。
8、這時(shí)就需要從系統(tǒng)中的進(jìn)程找到病毒的蛛絲馬跡。
9、系統(tǒng)帶的任務(wù)管理器缺少完成這一任務(wù)的一些高級(jí)功能,不建議使用。
10、這里向大家推薦IceSword或Process Explorer軟件,這兩款軟件都能觀察到系統(tǒng)中的各類進(jìn)程及進(jìn)程間的相互關(guān)系,還能顯示進(jìn)程映像文件的路徑、命令行、系統(tǒng)服務(wù)名稱等相關(guān)信息。
11、在分析過(guò)程中不僅要留意陌生的進(jìn)程,一些正常系統(tǒng)進(jìn)程也要仔細(xì)檢查,因?yàn)椴《境R宰舆M(jìn)程插入的方式將己掛到系統(tǒng)正常進(jìn)程中。
12、在IceSword軟件中以紅色顯示的進(jìn)程為隱藏進(jìn)程,往往是核型木馬的進(jìn)程。
13、端口分析也是一種常用的方法,因?yàn)椴《境4蜷_(kāi)特殊的端口等待執(zhí)行遠(yuǎn)程命令,部分病毒還會(huì)試圖連接特定的服務(wù)器或網(wǎng)站,通過(guò)進(jìn)程與端口的關(guān)聯(lián),檢測(cè)到病毒進(jìn)程。
14、在上面的例子中我們通過(guò)比對(duì)正常運(yùn)行的系統(tǒng)和染毒系統(tǒng)很快就判斷出系統(tǒng)中的restore進(jìn)程為異常進(jìn)程,該進(jìn)程的映像文件為c:windowsrestore. exe,這樣我們就找到了病毒體文件。
15、而當(dāng)找到這個(gè)文件時(shí),發(fā)現(xiàn)Norton沒(méi)有告警,可見(jiàn)病毒文件躲過(guò)了殺毒軟件。
16、進(jìn)一步分析還發(fā)現(xiàn)病毒在系統(tǒng)中添加了一項(xiàng)服務(wù),服務(wù)名稱為“restore”,可執(zhí)行文件路徑指向病毒文件。
17、手工清除病毒1.關(guān)閉系統(tǒng)還原功能,右鍵單擊“我的電腦”,選擇“性”,在“系統(tǒng)性”中選擇“系統(tǒng)還原”面版,勾選“在所有驅(qū)動(dòng)器上關(guān)閉系統(tǒng)還原”,關(guān)閉系統(tǒng)還原功能。
18、2.重新啟動(dòng)計(jì)算機(jī)進(jìn)入安全模式,在“控制面板”→“管理工具”中單擊“服務(wù)”,病毒在這里添加了“restore”服務(wù),將該服務(wù)禁用。
19、3.手動(dòng)刪除c:windows restore.exe和c:windows system32orans.sys兩個(gè)病毒文件。
20、4.運(yùn)行注冊(cè)表管理器regedt32. exe,查找注冊(cè)表病毒添加的表項(xiàng)。
21、在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHKEY_LOCAL_MACHINESYSTEMControlSet001ServicesHKEY_LOCAL_MACHINESYSTEMControlSet002Services三個(gè)分支下發(fā)現(xiàn)病毒添加的 “orans.sys”和“restore” 注冊(cè)表項(xiàng),刪除該表項(xiàng)。
22、5.重啟動(dòng)系統(tǒng)到正常模式,打開(kāi)系統(tǒng)還原功能,并為系統(tǒng)安裝補(bǔ)丁程序。
23、這類病毒的變種很多,從病毒生成的可執(zhí)行文件到注冊(cè)的系統(tǒng)服務(wù)、傳播及危害方式都有所不同,這里主要提供一個(gè)思路,大家在遇到時(shí)能找準(zhǔn)根源解決問(wèn)題。
24、另外這類病毒多數(shù)是利用操作系統(tǒng)的漏洞或猜解管理員的口令入侵的,有些病毒還能同時(shí)利用多個(gè)漏洞,逐一嘗試。
25、因此大家要充分意識(shí)到打補(bǔ)丁的重要性,同時(shí)避免空或弱的管理員口令,降低病毒入侵的機(jī)會(huì)。
本文到此分享完畢,希望對(duì)大家有所幫助。
今年一季度全國(guó)完成水利建設(shè)投資同比增76 2%(新數(shù)據(jù)新看點(diǎn))數(shù)據(jù)來(lái)源:水利部制圖:汪哲平本報(bào)北京4月17日
導(dǎo)讀:18~21號(hào)大到暴雪大暴雨確認(rèn),局地降溫12℃,谷雨還冷?農(nóng)諺咋說(shuō)氣溫大起大落是天氣變化復(fù)雜的一個(gè)特
每經(jīng)AI快訊,4月17日,券商給予評(píng)級(jí)的個(gè)股數(shù)共有155只,獲得買(mǎi)入評(píng)級(jí)的個(gè)股數(shù)共有114只。在公布了目標(biāo)價(jià)格
西班牙司法公職人員群體開(kāi)始無(wú)限期罷工活動(dòng)
二少美滋滋的抿了一口咖啡,很是享受的接著說(shuō)了下去。”不過(guò)給他安排個(gè)對(duì)手也好,有競(jìng)爭(zhēng)才有動(dòng)力嘛,零組成
X 關(guān)閉
X 關(guān)閉