资源描述
注:以下的方法仅适用非文件感染型的蠕虫、木马以及后门程序,适用平台为win2k以及winxp
使用相关程序说明:
reg.exe命令行注册表修改工具,winxp安装完毕后即存在系统中,win2k的系统可以通过win2k安装光盘下Support\Tools目录中的setup.exe安装。
Pskill.exe进程中止工具,该工具可以从
一个批处理分为以下部分:
1. 病毒服务处理部分
2. 病毒进程处理部分
3. 注册表的清理部分
4. 病毒文件的清理部分
详细说明
病毒服务处理部分:
使用win2k以及winxp下的net stop命令进行病毒服务程序的停止,语法如下
net stop [服务名称]
举例来说net stop _reg,将停止名为_reg的服务程序运行
病毒进程处理部分:
使用前述的pskill.exe工具进行病毒程序进程的中止
pskill [进程文件名称]
举例来说pskill spollsv.exe,将中止名为spollsv.exe的程序的运行
注册表的清理部分:
使用命令行注册表修改工具进行注册表的清理
注册表项目的删除
1. 子键的删除
reg delete [子键名称] /f
2. 注册表值的删除
reg delete [子键名称] [/v值名称] /f
注册表项目的修改
reg add [子键名称] [/v值名称] [/t值类型] [/d值] /f
注:reg工具使用说明
REG command KeyName [/v ValueName | /ve] [/t Type] [/s Separator] [/d Data] [/f]
command,指定的操作类型
add 修改或添加注册表项目
delete 删除注册表项目
KeyName
注册表键,即根键与注册表键的组合
FullKey ROOTKEY\SubKey
根键ROOTKEY [ HKLM | HKCU | HKCR | HKU | HKCC ]
子键SubKey
/v 标识子键下的值名称
/t 值数据类型
[ REG_SZ | REG_MULTI_SZ | REG_DWORD_BIG_ENDIAN |
REG_DWORD | REG_BINARY | REG_DWORD_LITTLE_ENDIAN |
REG_NONE | REG_EXPAND_SZ ]
缺省则默认为REG_SZ类型
/d 标识要添加到某个注册表值下的数据,注册表值名称由/v参数指定
/f 不需用户确认,强制执行对注册表的删除或是覆盖
示例
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices /v "COM++ System" /f
以上命令将删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices键下的,名为"COM++ System"的值
病毒文件的清理部分:
使用del命令简单的删除病毒文件,由于病毒的文件通常生成在windows安装目录下的一些系统目录中,可以使用替代符%windir%指示windows的安装路径
示例
del %windir%\system32\spollsv.exe
病毒清除批处理示例:
rem WORM_LOVGATE.AF
@echo off
rem service part
net stop _reg
rem process part
pskill hxdef.exe
pskill ravmond.exe
pskill tkbellexe.exe
pskill update_ob.exe
pskill cdplay.exe
pskill spollsv.exe
pskill iexplorer.exe
rem registry clean part
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices /v "COM++ System" /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices /v "SystemTra" /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v "WinHelp" /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v "Hardware Profile" /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v "Microsoft Associates, Inc." /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v "Program In Windows" /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v "Shell Extension" /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "run" /f
reg delete HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\_reg /f
rem file clean part
del %windir%\system32\hxdef.exe
del %windir%\system32\iexplorer.exe
del %windir%\system32\kernel66.dll
del %windir%\system32\ravmond.exe.exe
del %windir%\system32\tkbellexe.exe
del %windir%\system32\update_ob.exe
del %windir%\cdplay.exe
del %windir%\system32\spollsv.exe
实验二、查看附件可见型蠕虫病毒的扩展名
查看完整的路径,尤其是双扩展名文件扩展名与文件属性
将文件123.COM改名为123.TXT
双击此文件运行
单击开始—运行,在cmd下运行文件,对比有和不同
SIRCAM病毒分析
双击行业解决方案,观察运行结果
用ULTRAEDIT打开这个文件
找到文件头标志 D0 CF 11 E0 将前面的病毒信息删除,保存文件
再次双击运行,观察运行结果与前一
三、网页脚本与注册表恶意修改及防范
打开“创建.txt”观察其中语句
将文件改名“创建.htm”
运行该文件
查看D盘看新建的文件TEST.HTM内容
打开“修改.txt”观察其中语句
将文件改名“修改.htm”
运行该文件
查看D盘文件TEST.HTM内容,看是否变化
打开“拷贝.txt”观察其中语句
将文件改名“拷贝.htm”
运行该文件
查看文件是否拷贝到C盘文件
打开“删除.txt”观察其中语句
将文件改名“删除.htm”
运行该文件
查看文件是否被删除
打开“修改注册表.txt”观察其中语句
将文件改名“.修改注册表htm”
运行该文件
打开注册表编辑器,查看有关键值的建立情况
看计算机主页是否被修改
打开“删除注册表.txt”观察其中语句
将文件改名“.删除注册表htm”
运行该文件
打开注册表编辑器,查看有关键值的建立情况
看计算机主页是否被修改
脚本防护处理及恶意网页的反修改
思考:方法很多,
建议:
1、在IE的“internet选项”中的“安全”项中把“安全级别”设为“高”,或在“自
定义级别”中把“对标记为可安全执行的ActiveX控件执行脚本”标记为“禁用”。
注意:此措施仅对WEB上的代码有效,对于本地文件和HTML格式的邮件无效(邮件
也是本地文件)。
2、删除一些危险的对象,从根本上解决问题。这些对象对普通用户是没什么用的。
1)禁用WSHShell对象,阻止运行程序。
删除或更名系统文件夹中的wshom.ocx
或删除注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
2)禁用FileSystem对象,阻止读写文件。
删除或更名系统文件夹中的scrrun.dll
或删除注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
