矛和盾的游戏 小谈病毒免杀和安软原理
来源：pconline 原创&
责任编辑：censi&
病毒的免杀技术　　运行后效果明显的恶意代码很多，但把自己裸露出来的病毒也只能欺负一下同样是遍体无遮的裸奔电脑。对病毒的查杀要经过发现这一环，如何躲过杀软的查找，是一个所有病毒制造者需要思考的问题。1989年第一款软件McAfee诞生，1997年第一款可以自动变异的病毒&千面人&诞生，2005年免杀工具CCL诞生，病毒和杀软的针尖麦芒间一直飞溅着火花。McAfee是最早的杀毒软件　　现在流行的病毒大多数都作了免杀处理，那么主流的免杀技术有什么？我们一起来看看。　　加壳　　什么方式最容易把一个人藏起来？我们可以从偷渡者那里得到答案&&把人装进密不透光的容器中。如果把病毒比作罪犯，把杀软比作警察，把用户的计算机系统比作城池，我们可以得到下面的案例。　　警察通过通缉令（病毒特征库）上面的样貌来查找罪犯。若是罪犯抛头露脸地在路上大摇大摆晃来晃去，简直就是在自寻死路&&恐怕还没进入城门即已被警察击毙。但是，如果罪犯乘搭着一辆看不到里面的车子，情况就大不相同了。一般情况下，警察是无法打开这类车子的&&门上都有锁呢；而警察也无法拦截这样的车子&&因为这种车子实在是太多了 ，开地图炮把这类车子通通炸掉必然也会让一众路人躺着中枪（杀软误杀），如果出现这种情况，你觉得城主（计算机用户）还会请这种比病毒还狂的警察么？没可能一炮把这么多车子轰掉　　就这样，罪犯搭着车子穿过了一层又一层的城墙，进入到城池的核心区域，然后就开始对用户的电脑做奇怪的事情了，这时候警察想阻止也已经太晚了&&病毒往往已经取得了高权限甚至把杀软给干掉了。　　对某段代码进行加壳，其实在我们日常生活中也很常见&&就是一种加壳工具。由于普及率高，对付加壳是否有效，已经成为了检验一款杀软是否优秀的重要标准。一般而言，杀软（嗯，这里说杀软，不说HIPS之类的其他安全软件）对付加壳有以下几种方法：　　一、警察开发出透视、隔空取物之类的功能，能发现车子里的罪犯，并且搞掉。这主要是形容脱壳技术，把已经加壳的代码完全或近似还原到未加壳的状态，此时警察就可以通过通缉令来查找罪犯了。这种方法技术含量比较高，因为壳往往多种多样，原理也大不相同，如何对付各式各样的车子，成为了警察头痛的难题。目前脱壳能力口碑比较好的杀软有俄罗斯的大蜘蛛等。俄罗斯大蜘蛛杀毒软件　　二、虽说从车子外面看不到里面的人的相貌，但是车窗有时候还是会隐隐约约透露出人影。通过经验得知哪种人影其实是罪犯，并把这类影像也加入到通缉令，也是一种方法。不过这种方法十分不灵活，加壳者很容易改变加壳的参数，如此一来特征码也就改变了，收集这类特征码往往吃力不讨好。　　三、统计经常犯事的车子的类型，然后开地图炮，把加了这类壳的车子都轰掉。这就是所谓的&杀壳&，为了确保用户安全把加了某种类型的壳的程序全部视为病毒，采用这种技术的杀软误杀率往往也会比较高。使用&杀壳&技术的著名杀软有等。
键盘也能翻页，试试“← →”键
相关软件：
大小：57.26 MB
授权：免费
大小：791.38 MB
授权：共享在无杀毒软件情况下如何查杀病毒 - 最新电脑技术网
在无杀毒软件情况下如何查杀病毒
/&&发表时间： 14:03:15&&来源：最新电脑技术网&&作者： &&浏览：4276
在病毒肆虐的今天，杀毒软件所向披靡的神话已然不在。在领略了“熊猫烧香”无比疯狂的威力之后，不少病毒已经开始向杀毒软件宣战，不少病毒可以破坏用户计算机中安装的杀毒软件。病毒可以轻松摧毁杀毒软件，这样一个严峻的事实下，要想保障企业网络安全，网管必须具备不用杀毒软件消灭病毒的能力。
&&& 查找病毒原程序。无论是凶悍无比的“熊猫烧香”，还是肆虐疯狂的“AV终结者”，其查杀方法无非是发现病毒原程序，删除病毒原文件及其变种，删除病毒在操作系统的加载选项这几个标准步骤，这也是杀毒软件查杀病毒的基本流程。无论病毒如何狡猾，如何变化，总会在操作系统中留下蛛丝马迹，这也是我们查找病毒原程序的宝贵线索。
1、通过进程找病毒原程序：病毒只要运行，肯定会有一个进程，通过“任务管理器”或“360安全卫士”等，我们可以查看到系统中当前运行的进程。一旦发现特别占用内存或CPU资源的进程，可以初步判断为病毒的原程序。进程名字通常是扩展名为.exe或.com的可执行文件，可以通过操作系统自带的“搜索”功能，查找该可疑进程的位置。由于一些病毒或进程会伪装成系统进程，这样会迷惑用户。例如，一些病毒通常会生成名字为“svch0st.exe”，与系统进程“svchost”的差别在于数字“0”和字母“o”，用户在查找时一定要注意。
　　说明：如果在系统进程中查找到了可疑的进程，可利用系统的“搜索”功能却没有找到病毒原程序，通常是要查找的进程文件是隐藏文件，可以在搜索选项中查找系统或隐藏文件，这样就能查找到病毒原程序。
　　2、通过注册表找病毒原程序：病毒一旦感染操作系统，会在注册表中的启动项加载一些进程。在注册表的键值中，自动加载的选项中有文件的路径，这大大方便用户查找病毒的原程序。
通常情况下，病毒原程序的加载位置在注册表的如下位置：
①HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；
　　②HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；
　　③HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
　　查找到病毒的原文件之后，便可以对病毒举起屠刀，结束其生命了。但有时用户删除了病毒原程序后，病毒无意之间又冒了出来，其实之所以会出现这种情况，是因为没有彻底删除病毒原程序及其相关的加载选项。
　　彻底删除病毒原程序和加载选项
　　一些病毒通常会感染系统文件，用户在删除该病毒原程序时，系统会弹出“文件正在使用，无法删除”的提示，这种情况之下，要想彻底删除病毒原程序，只能使用特殊方法。下面介绍一下两种常用的删除病毒原程序的方法。
1、安全模式删除：如果遇到病毒原程序无法被删除的情况，用户可以进入安全模式下删除。如果病毒原程序感染了系统文件，必须将感染了病毒的系统文件删除，在删除之前，可以从其他没有感染病毒的机器中复制一个正常的文件替代被感染的病毒文件。
　　2、终止进程再删除：有些病毒无法删除是因为该文件已经被加载到正常的进程中，要想删除病毒原文件，可以将该进程强行中止，然后删除。
　　另外，用户可以借助一些第三方的工具删除病毒原程序，经常使用而且效果不错的第三方软件有：killbox、Icesword和unlocker，其中 Icesword当属最得力助手。删除了病毒原程序后，切记不要忘记删除病毒在注册表等处的一些加载选项。病毒除了注册表的Run键值之外，还需要检查以下几个位置并一一删除。
1、启动组：在“开始”菜单的“程序”中有一个启动组，这也是病毒的一个加载地方。一定要删除此处的病毒加载文件。
　　2、注册表：上文中已经提及，病毒会加载在注册表的Run键中，用户需要一一检查。如病毒原文件名字为loveyou.exe，可以使用注册表的“查找”功能进行查找并一一进行删除。
　　3、系统文件：win.ini和system.ini两个系统文件也是病毒的最佳藏身之处。打开win.ini后，在它的[windows]字段中有启动命令“load=”和“run=”，病毒通常加载在“＝”后面。而在system.ini中，boot字段和driver字段中也是病毒的加载地方。Driver字段后加载的病毒文件，也就是我们通常所说的驱动型病毒。用户要删除上述字段中的病毒的加载选项。
删除了病毒原程序文件，以及病毒在注册表、启动组及系统文件中的加载位置之后，病毒才算真正的被消灭。彻底、完全干净的删除了病毒之后，通常会留下一定的后遗症，手工杀毒之后，还要进行修复工作。
　　系统修复不容忽视
　　越来越多的病毒为了躲过杀毒软件的追杀，或者是为了麻痹杀毒软件，通常会感染系统文件，一旦删除了系统文件，操作系统可能会留下诸多的后遗症。例如，正常情况下txt文件的打开方式为notepad.exe文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，著名的冰河木马就是这样的情况。一旦你双击一个txt文件，原本应用notepad打开该文件的，现在却变成启动冰河木马了，删除了冰河木马之后，txt文件关联就错位了。为此，删除病毒之后必须对系统进行修复。
1、复制正常系统文件：通常情况下，病毒会感染rundll32.exe文件，或者是一些扩展名为dll的文件。这种情况下，修复被病毒破坏文件的最佳方法就是从没有感染病毒的系统中复制文件，拷贝到被病毒感染的机器中。拷贝文件成功之后，重新启动计算机就可以了。
　　2、用恢复命令修复：在Windows XP操作系统中，对于dll文件和一些关键文件都会保存在dllcache目录中，用户可以在DOS提示符下或“运行”中输入sfc /scannow命令恢复这些系统文件。在修复过程中，可能需要插入Windows XP的安装光盘。
　　3、手工恢复文件关联：删除一些病毒文件后，可能会影响正常的文件关系，用户可以手工恢复文件关联。以修复扩展名为txt的文件为例，打开“文件夹选项”，在“文件类型”选项中查找.txt的文件关联，然后选择删除，点击确定后退出。在硬盘中随便找一个扩展名为.txt的文件，双击会出现一个“选择打开程序”的对话框，选择notepad.exe程序之后，txt文件关联就被恢复了。
不同的病毒对系统文件的破坏程度不同，其修复方法也不同。用户可以根据实际情况进行修复，让系统的所有功能能够完好如初。
结束语：在杀毒软件屡屡被病毒杀掉的今天，企业用户的电脑安全受到了威胁。正如网民所说：“最可怕的不是杀出病毒，而是用杀毒软件杀不出病毒”，这种情况下，企业网管必须学会不用杀毒软件查杀病毒的能力。只要企业网管对操作系统非常熟悉，不用杀毒软件也能易如反掌的消灭肆虐横行的病毒。
看过此文章的用户还看过：
&&6450次浏览&&4067次浏览
&&点赞文章排行榜...
&(1023赞)&(702赞)&(332赞)&(262赞)&(259赞)&(245赞)&(231赞)&(230赞)&(191赞)&(172赞)
关于“在无杀毒软件情况下如何查杀病毒”的评论
已有0位网友发表了评论
&&热门文章
&&最新文章
&&您可能会喜欢【真的假的】新型病毒可躲过杀毒软件，已感染7.5万台PC_巴塞罗那吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：1,136,646贴子：
【真的假的】新型病毒可躲过杀毒软件，已感染7.5万台PC
【赛迪网讯】2月19日消息，据国外媒体报道，公司NetWitness日前提醒用户，一种新型计算机日前已感染全球7.5万台计算机。该病毒名为“Kneber&botnet”，感染计算机后，会收集在线金融系统，社交网站和电子邮件用户的登录信息，然后将这些信息发送给黑客。NetWitness称，到目前为止，已经有来自全球2500家机构的7.5万台计算机被感染。NetWitness&艾米特·约伦(Amit&Yoran)在一份声明中称：“常规的反恶意软件和基于签名的入侵探测系统均无法有效检测Kneber病毒。”
随后会放制作过程
最近大家关注王宝强的离...
盘点厕所隔间门上的那些...
大汉情缘之云中歌 角色...
我是千禧。 初恋是一个...
我相信95后 应该有不少...
【ID】谁家菇凉111 【地...
一个漫长的暑假已过去，...
【8.18贴吧直播周】，寻...
这里是啊苏。
不拆了说，一锅端，对于...
　西游记中最被广大读者...
网络僵尸Kneber~~目前没有专杀软件，大家自求多福吧~
裸奔好多年
贴吧热议榜
使用签名档&&
保存至快速回贴404页面没有找到抱歉，指定的主题不存在或已被删除或正在被审核
Powered by