靠人工識別病毒的木馬手工殺毒方法

首先和大家介紹一下手工殺毒

手工殺毒，就是指靠人工識別病毒木馬,然后用一些其他工具將其誅殺,它于傳統(tǒng)的殺毒軟件殺毒方式的區(qū)別，就在于，是否有人工識別的過程,而傳統(tǒng)的殺毒軟件，則只需用戶通過一個按鈕，完成整個殺毒過程，手工殺毒則人工識別某些文件的行為，然后將其清除。

系統(tǒng)安全，方法有很多：影子系統(tǒng)、虛擬機、沙箱...但很多時候真的沒有必要。保持良好的上網(wǎng)習慣和用機習慣，做好適當?shù)?a target='_blank' class='infotextkey' title='備份'>備份就可以了。所以這里不討論那些虛擬技術，主要是真實系統(tǒng)中的一些問題。雖然談的是手工殺毒，但還是要列舉一下平常會用到的可能有關的一些東西：

我們介紹殺毒的處理的方式（一層進一層地處理）：

1、安全模式下全盤查殺。 
2、將硬盤掛接到其它機器上全盤查殺。 
3、重裝系統(tǒng)后，僅操作桌面的情況下，安裝殺毒軟件全盤查殺。
4、依靠殺毒軟件是對的，因為手工來殺意味著麻煩和很可能的失敗，但是完全交給殺毒軟件也不妥當。在病毒成功干擾殺毒軟件之后，我們就要手工盡可能去排除干擾。一旦病毒進來了，難說病毒不會把殺毒軟件先干掉。即使不用，了解下也沒有壞處。

進入手工殺毒的主題：

　　當中毒之后，第一步，就是斷網(wǎng)，并且千萬不能系統(tǒng)重啟(即使重啟也不要正常重啟)。

　　中毒后的癥狀現(xiàn)在也出奇的有一致性，干擾如360這類安全工具，禁用任務管理器等等。平時多注意任務管理器多注意進程，熟悉系統(tǒng)盤里的文件，以及文件的修改時間，會為手工殺毒帶來方便，第一時間知道中毒，第一時間劃定可疑范圍。在殺毒里最開始也是最重要的一步，就是干掉病毒的進程。這就涉及到很多工具。沒有這些工具，手工殺毒根本無從談起。

　　首先是我們平時用的最多的任務管理器。用Ctrl+Shift+ESC調(diào)出(似乎平時人們都更喜歡Ctrl+Alt+Delete)。最大的缺點是不能同時結束兩個以上的進程，而且可以說一直是病毒的首要目標，功能比較雞肋。但是通�？梢允且粋�信號燈，一旦其失效，就要考慮是不是中毒了~

　　我強烈推薦Sysinternals的Process Explorer和Process Monitor，因為這兩個軟件實在是太好了。自從Winternals被微軟收購后，Sysinternals也被并入微軟名下，所以其工具對于windows系統(tǒng)的支持非常好。

　　Process Explorer可以完全取代系統(tǒng)自帶的雞肋般的taskmanager，提供的功能之強，使得這款軟件歷經(jīng)多年仍然難有出其右者。對于進程信息的提供真是應有盡有了，詳細而透徹。雖然近一年時間似乎也逐漸成為病毒屏蔽目標之一，但是強大功能和實用性，我一直無法放棄使用。按Ctrl+H,還可以切換到Handler視圖進行更加高級的操作。

[object Object]

　　早些時候使用process explorer可以說是百試百靈的，可以逃脫的病毒并不多，現(xiàn)在情況就差很多了。下面是我以前碰到的一個例子:U盤上總是會被寫上一個文件，文件大小是655k，刪除之后過會又會重建。在任務管理器中看不出什么問題，但是在process explorer下卻是一目了然。有一個進程作為用戶進程居然沒有父進程，看其行為，居然每隔一定時間就有一次IO操作，大小剛好也是655k。于是找到位置，刪除之。同時用Process Monitor追蹤了一下找到其他一些文件刪除，系統(tǒng)恢復�？梢哉f殺的并不完整，但是病毒已經(jīng)無效化了。

[object Object]

[object Object]

　　Process Monitor實際上是對進程的文件系統(tǒng)和注冊表調(diào)用的監(jiān)視。對于特定進程可以完全跟蹤文件讀寫和注冊表的讀寫，這對于排查病毒極為有用。同時也提供了一個進程查看器，其雖然不如專門的進程查看器process explorer強大，卻也十分實用，特別是存活時間可以說是一目了然。

[object Object]

在熊貓燒香肆虐的時候，可以說是IceSword大顯神威的時候。對于這款軟件就不多說了，到了1.22后軟件作者就沒有再更新了，功能之強大也是沿用至今的利器。但是我一直是用不好的，因為自從用起Sysinternals的工具后，用冰刃的時候就少了很多。強大的工具，要小心使用，不然會危及系統(tǒng)。

[object Object]

　　也許以上我都是在介紹軟件，但是事實就是這樣。我們必須借助軟件工具找到病毒進程，找到病毒位置。其實很有意思，殺毒的大部分時間都是花在尋找病毒之上的，不論是殺毒軟件，還是手工處理。很多時候也許沒有這么多工具可用，那么就只能考慮CMD了。運行中輸入cmd進入命令行，命令tasklist可以顯示當前進程信息，而命令taskkill則可以殺掉指定PID的進程。詳細的可以鍵入tasklist /?看幫助，說明和用法都很詳細。另外記得還有個tskill，和一個ntsd，記不怎么清楚了，我不常用。

[object Object]

常常還用一些輔助軟件，因為覺得很多時候工具都是不夠用的。比如一個網(wǎng)絡工具——Tcpview，可以查看網(wǎng)絡信息和鏈接，這對于系統(tǒng)診斷也是相當有效�？纯茨膫�進程在做壞事吧，這個工具總是可以給我?guī)�來驚喜，盡管它不僅僅可以用于查毒。
 

與之對應的是，CMD也是又命令可以達到類似效果的，但是比較麻煩。命令netstat，并配合其參數(shù)也可以有比較好的效果。
 

對于這些工具，用著用著就會上手的。即使不精通的話，時間長了觀察熟了抓毒就越快越準了。所以我不打算再講簡單用法了，使用這些工具僅僅只需要一些計算機的知識，或者說想要做高級一點的操作，需要的是編程方面的儲備，特別是操作系統(tǒng)那一塊。

病 毒侵入計算機后，通常都會實現(xiàn)自啟動。找到并清除其自啟動項將極大的限制其危害。通常最簡單的方法是系統(tǒng)自帶的“系統(tǒng)配置實用程序”。在運行里輸入 msconfig回車，在啟動標簽里，顯示了一部分的系統(tǒng)啟動項目，通過簡單的勾選可以選擇要啟動的項目。然而對于系統(tǒng)本身來說，這里沒有一個啟動項是必 須的，可以全部去掉也沒什么關系。通常的做法是保留ctfmon(系統(tǒng)輸入法)，選擇保留其他的自己的程序。
 

　 　更加多的啟動項就要到注冊表里尋找了。運行regedit啟動注冊表編輯器，查找定位到一些啟動位置看看是否又異常。以比較常見的位置來 說，HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion下的Run、RunOnce、 RunOnceEx、RunOnceSetup、RunServices、RunServicesOnce以及HKEY_CURRENT_USER分支下 對應的這些位置，都可以被利用，其中又尤以Run下的改動最為常見。事實上msconfig所列出的也就是注冊表里的東西。另外還有 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionPoliciesExplorerRun及HKEY_CURRENT_USER對應位置等，網(wǎng)上搜索應可以找到一些更加偏的 位置，雖然同樣可以利用，但是通常比較少見。而對于“C:Documents and Settings用戶名開始菜單程序啟動”里的所有快捷方式，系統(tǒng)會自動啟動。這可以方便的先自己希望自啟動的程序。此位置并不常被利用，但還是要留意 下。更詳細的啟動項位置關系可以google下，知道了啟動的順序、作用可以更清楚地了解這個過程，在此不再復述。

對于可疑的自啟動 項，可以直接刪除。并且還要對注冊表全面關鍵字搜索，直接確定的就刪除，無法確定的就上網(wǎng)查找信息。而在修改之前，對于猶如系統(tǒng)數(shù)據(jù)庫般的注冊表，同樣要 本著備份的思想。備份的方法是在注冊表編輯器里右擊要備份的分支，然后“導出”�，F(xiàn)在形形色色注冊表備份工具，也給注冊表的備份和恢復提供了便利。
 

　 　運行services.msc可以啟動系統(tǒng)服務配置。如果病毒成功的獲取了系統(tǒng)權限，成功的注冊成了系統(tǒng)服務，那么這里也是不能放過的。通常在這里優(yōu)化 系統(tǒng)的服務可以減少必要的進程從而達到優(yōu)化系統(tǒng)的目的。這些服務設置為自動則會在開機時自啟動，設置為手動則是在必要是調(diào)用啟動。對于危險項(比如 Remote Registry)則通常是禁用的。
 

病毒注冊成服務后，有些很明顯，沒有描述啟動位置也很可疑，有些則會偽裝。下圖是我以前遇到過的一個例子，這讓人想起了進程里的偽裝，雖然拙劣但是用心良苦。
 

修改服務時，最好也做好備份，可以導出注冊表對應分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices。

還有一個地方值得一看，那就是啟動/關機腳本。運行gpedit.msc啟動組策略編輯器，在位于用戶配置-Windows設置-腳本(登錄/注銷)位置，在這里設置的腳本將會在登錄或注銷自動執(zhí)行。
 

但是很多時候處理問題并不是這么復雜，使用集成工具可以大大簡化這些操作。我用的是功能強大的Autoruns(呵呵，又是一個 Sysinternals的東西)。這個工具把系統(tǒng)的啟動項統(tǒng)統(tǒng)籠絡在一個界面里提供管理和查詢，有用的描述和映像路徑幫助我們找出可疑文件。當然，工具 越是強大也就越是危險，以前我還在琢磨Autoruns的使用的時候就搞的系統(tǒng)崩潰了，以后用的時候格外小心...
 

很多系統(tǒng)優(yōu)化工具也提供啟動項的管理，包括360在內(nèi)的很多軟件的這種功能也很好用。但是關鍵之一就是中毒之后，360很多時候都不能用（當然也可以選擇修360），那個時候就是有什么能用就用什么的境地了，多幾種方法絕對有好處。

說 完了自啟動，下面就要殺毒了。其實所謂的殺毒或者說刪除是在是殺毒過程中的一小部分。通過上面的方法——不論是在進程中還是啟動項里查到或者是跟蹤得到的 位置信息(總之尋到蛛絲馬跡是上面的主要任務)，現(xiàn)在就是找到那個位置，把病毒delete。直接刪除，很少可以成功，即使刪除成功，病毒也大多不會終 結。

無法刪除，不管是由于進程沒有清理完整，或者驅動級病毒的文件保護以及系統(tǒng)進程的注入等都會導致這種情況。借助于Unlocker這種解除鎖定的工具

　　再配合如文件粉碎機或 者文件強行刪除工具強制刪除，效果較好。同時在安全模式下操作可以保證成功率，盡管很多時候安全模式都被破壞，但是應該盡可能地使用安全模式。實在無法解 決只能訴諸于DOS，或者WinPE，系統(tǒng)之上的系統(tǒng)可以干掉所有非底層病毒。DOS下相對操作較為繁瑣，PE系統(tǒng)則易用很多，許多PE系統(tǒng)還提供很多有 用的工具。但是關于刪除，我想我還又別的思路，那就是在定位病毒文件磁盤扇區(qū)后，強制使用MHDD調(diào)硬盤直接把那個地方erase掉！對此我嘗試過，但是 步驟顯得太繁雜，還不如純DOS，所以只能說是一種噱頭。

另一個問題是如何揪出病毒的殘余？對此我個人的方法十分有限，除了盲目地跟 蹤加載項(很少有人對此有興趣并且擅長)，以及沒頭沒腦地使用各種工具尋找蛛絲馬跡外，沒有很好的方法。平常還用一種手段，就是編寫一小段腳本找出系統(tǒng)可 疑的近期創(chuàng)建的文件。如果是在中毒后立即發(fā)現(xiàn)并查殺的話，此方法尤其奏效。但是局限于程序員和對系統(tǒng)環(huán)境熟悉并且敏感的人。所以說，手工殺毒，并非是推薦 方法。

最后的步驟，我想說，讓殺毒軟件來解決吧......雖然本文寫的是手工，但是作為非專業(yè)殺毒的區(qū)區(qū)網(wǎng)管，我感覺自己所能做的 實在是很有限的。盡可能地阻止病毒的進程和啟動，解除病毒體對于殺毒軟件的干擾，我認為是作為手工殺毒的主要任務，這是由于我個人能力比較有限。雖然已經(jīng) 過了牛人輩出的時代，但是牛人的數(shù)量卻是驚人，如果是他們的話，一定可以妙手摘毒的吧。

本文的最后，我再寫一些個人感想和建議。

感想：

重裝系統(tǒng)作為最后的手段，效果其實最好。如果不是有什么麻煩的情況的話，不如直接重裝。因為手工殺個把病毒的時間通常超過重裝，而且面臨失敗的危險從而 浪費了寶貴的時間（當然喜歡研究就不一樣了）。必須權衡時間上的利弊，干脆重裝，然后在不點擊盤符的情況下，安裝殺毒軟件后全盤掃描。

備份，還是備份！如果數(shù)據(jù)珍貴，千萬不可偷懶�？瘫P很安全，磁盤的話也要分開放置。所謂真正的數(shù)據(jù)備份，必然是存儲介質(zhì)相分離的。

　　建議：

及時打上所有系統(tǒng)必要補丁，使用FF瀏覽網(wǎng)頁，并及時清理臨時文件夾，將大大減少中毒幾率。
平時使用時開一個低權限的用戶，做什么操作使用什么權限，將大大降低中毒后的危害。麻煩和安全通常唱反調(diào)~
保持系統(tǒng)精簡高效的運行，將會在最快時間發(fā)現(xiàn)中毒癥狀，使破壞和感染都減到最低的同時方便查殺。
備份，再提備份！無論是windows自帶的還原(雖然有點雞肋)還是ghost的快速犀利，甚至是動用veritas等等,總之備份是計算機使用者最好的習慣！