病毒驱动,一些琐事
把机器裸奔,不单只是因为杀毒软件会拖慢速度。举个例子,如果遇到一款新诞生的病毒,新得杀毒软件都未能识别,这时该怎么办?这事很多人都遇到过,是等待杀毒软件的补丁吗?如果杀毒补丁能及时赶出来,这样当然最好。不然病毒首先便从网上把自己升级了,此时迟到的杀毒补丁,已经失去它的效用,然后病毒又再升级……补丁永远晚一步。既然如此,不如自己把它干掉。
windows杀毒,主要就是留意各种会自己启动的程序,为此,可以通过检视启动项目实现,其中服务和驱动因多如牛毛,检查起来十分麻烦。
上面截图,在后面的是IceSword,在前面的是SREng,SREng有一个很特别的选项"隐藏已认证的微软项目",勾选以后,可以隐藏掉系统自带的服务。如果正在找恶意程序,这个小功能可以帮助节省不少时间。除了"应用程序"以外,还有"驱动程序"也可以通过这个方法查看,今天刚用这个功能删除了一个病毒,事情是这样的。
事情开始
话说前几天有人把U盘插进了一台win2003服务器,在系统自己安装默认驱动后,在"我的电脑"打开新添加的"可移动磁盘",发现里面的文件都copy不出来。根据经验,U盘坏了,没管它,这样过了几天。
今天查看启动项,多了一行 "C:\windows\system32\avpo.exe",显然是中毒了。
打开IceSword,没可疑进程,API HOOK 没问题,文件映像OK…… ,既然如此,应该又是一些常见的无聊的烦死人的恶意程序。删除启动项,并随手把它和日期相近的文件一并删除:
- c:\windows\system32\avpo.exe
- c:\windows\system32\avpo0.dll
- 各磁盘下的 autorun.inf
- 各磁盘下的 ntde1ect.com
以为没事,重启后,这些文件又跑出来了。
进程还是没问题,API HOOK 没问题,文件映像OK……。胡乱删除了几个不重要的驱动程序,再重复上面的步骤,居然搞定了。
回想了一下,这个U盘当初连接机器时,确实没有执行到任何的文件,机子的自动播放是绝对不会开启的,仅有安装驱动这个步骤, 而且都是用windows自带的驱动程序,难道这里面又有一些什么漏洞?
U盘不在,而且好像已经换掉了。没找到传播方法,文件也被顺手删除,实在搞不清这些病毒的意图是什么,反正windows就是常会出些问题。有人喜欢探险,大可不必去到野外,电脑程序里面,本身就有一些值得探索的东西,只等待细心的勇者去发掘。
冰刃一般都只是用来删除了一些删不掉的东西...
不过,我还是用杀毒软件...NOD和AVG都不错...
用HIPS吧,和裸奔差不多,而且能有效防止新病毒。但需要对系统了解一些。
裸奔好多年了,真不好意思。。。
NOD32飘过~
有人喜欢探险,大可不必去到野外,电脑程序里面,本身就有一些值得探索的东西,只等待细心的勇者去发掘。
这句话写的好,或者也可以说,网络上总是有新大陆的
@qinai 对很多人来说,杀毒不能影响他们的正常工作,而HIPS却很可能让他们无所适从,这就是HIPS一直不能在民用市场推广的原因,也是瑞星为什么这么好卖的原因。
汗一个,我倒觉的是因为瑞星广告做的不错,而且会拉拢政府部门,很大部分采购都是政府采购的,然后又诱导民众以为怎么怎么样,其实瑞星垃圾到不能再垃圾了..
天天呆在网吧里,好像没有这样的顾虑!
今天到学校机房上机,看到过门兄的博客终于正常了,恭喜啊。
看不到图图了,怪。
to sofish : 确实是这样,冰刃能删掉病毒,这已经足够了。
to qinai : hips听说过,但这些好像都该是操作系统该做的事吧。
to 漫步 : 呵呵,原来是同志,我也裸奔。
to 果子 : 是啊,我们天天在网上探险。
to 狐狸狗 : 呵呵,哪能轻易放走,立即用网围起来。
to fiorano : 有些道理,新用户不会用,老用户不需要用,市场不大。
to ken : 是哦,每次我到网吧,都有把机子黑掉的冲动,可那些机子却又是那么的坚韧。
to Heyi : yo2的服务器常常当机,郁闷啊郁闷~~~
来过几次都没见更新,虽然跟我一样...也忙不过来?
呵呵 我机器裸奔N年。照样使用,也不觉得有什么不同。
to sofish : 确实忙不过来,快年末了,每年如此。
to wiikiss : 为又一位裸奔同僚干杯!
有人喜欢探险,大可不必去到野外,电脑程序里面,本身就有一些值得探索的东西,只等待细心的勇者去发掘。
不过,我可不敢裸奔哦!
兄弟,我搞了一个赠送域名的活动,希望能得到你的支持。谢谢!
reader上好久不更新,还以为你的rss输出坏掉了,前来看看
to 未知的味觉 : 随缘即可。
to qinai : 一定支持。
to 果子 : feedsky的feed绑定坏掉了,现在feed已改。
的确是个问题,我手机卡也中了