手动查杀病毒技术学习 老男孩网络安全教程

　　手动查杀病毒技术

　　手工杀毒，就是指靠人工识别病毒木马，然后用一些其他工具将其诛杀，它于传统的杀毒软件杀毒方式的区别，就在于，是否有人工识别的过程，而传统的杀毒软件，则只需用户通过一个按钮，完成整个杀毒过程，手工杀毒则人工识别某些文件的行为，然后将其清除。

　　优点：通过人工识别，能更主动的防御病毒，而且误杀极其低（因人而定）、其杀毒方式自由。能自由的对付各类的病毒，即使是新类型的病毒，也会很快有解决方案，解决了传统杀毒软件，依靠“库”来识别病毒臃肿的缺点。

　　缺点：电脑知识要求较高，必须对病毒手段，和方式，类型有一定的了解。

　　1为什么要学习手工病毒查杀技术

　　杀毒软件更新慢，主要依赖于病毒库的更新。黑客长期对自己的后门、病毒进行免杀处理。

　　有关免杀技术介绍：http://baike.baidu.com/view/706274.htm

　　2学习本课程应注意哪些要点

　　a.正确认识手动查杀病毒；

　　b.掌握本系列课程所涉及的辅助查杀工具；

　　c.能熟练查杀本系列课程中所分析的病毒；

　　d.在此基础上拓展思维，理清查杀思路步骤，对付未知病毒；

　　e.在虚拟机中测试未知病毒；

　　3手动查杀病毒需要必备那些基本技能

　　①、熟悉windows系统进程；

　　②、熟悉常见端口与进程对应关系；

　　③、熟悉windows自带系统服务；

　　④、熟悉注册表启劢项位置；

　　4病毒与木马的区别、分类

　　编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒。具有破坏性，复制性和传染性。

　　5什么是ARK系列工具

　　（Anti Rootkit kernel） 反内核系列工具，目前三大主流ARK系列工具有：冰刃（Ice Sword） 、Wsyscheck（Windows System Check）、 XueTr

　　6三大主流ARK系列工具如何选择？

　　常用的手杀工具有：xuetr、powertool、冰刃。

　　xuetr：xuetr是2008年推出以来的一款广受好评的ARK工具。如果您对window系统不甚熟悉，您还是不要使用本工具，即使要使用，也不要用本工具胡乱操作。

　　powertool：一款免费强大的进程管理器，支持进程强制结束，可以Unlock占用文件的进程，查看文件/文件夹被占用的情况，内核模块和驱动的查看和管理，进程模块的内存的dump等功能。最新版还支持上传文件在线扫描病毒。支持离线的启动项和服务的检测和删除，新增注册表和服务的强删功能，可在PE系统下清除感染MBR的病毒（如鬼影等），通过Windows7 SP1的测试。

　　冰刃：IceSword适用于Windows 2000/XP/2003 操作系统，其内部功能是十分强大， 用于查探系统中的幕后黑手—木马后门，并作出处理。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是系统级后门功能越来越强， 一般都可轻而易举地隐藏进程、端口、注册表、文件信息， 一般的工具根本无法发现这些 "幕后黑手" 。IceSword 使用了大量新颖的内核技术， 使得这些后门躲无所躲。

　　7手工杀毒的方法：

　　一、注册表清除

　　利用注册表加载运行如下所示的注册表位置是木马的藏身之处：

　　HKEY_LOCAL_MACHING\Software\Windows\Current Version下所有以“run”开头的键值。

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version下所有以“run”开头的健值。

　　HKEY_USERS\Default\Software\Microsoft\Windows\Current Version下所有以“run”开头的健值。

　　二、系统文件

　　在System.ini中启动，System.ini位于Windows的安装目录下，其“boot”字段的Shell=Explore.exe是木马的隐蔽加载场所，木马通常的做法是将该句变为Shell=Explore.exe，注意这里的Window.exe就是木马服务端程序。

　　三、启动命令

　　在Win.ini中启动，在Win.ini的“Windows”字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果后面跟着程序，内有可能是木马。

　　四、修改文件关联

　　修改文件关联是木马常用手段，比如说下沉情况下TXT文件的打开方式为Notepad.exe文件，但一旦中了文件关联木马，则TXT文件的打开文件就会被修改为用木马程序打开。

　　五、在Autoexec.bat和Config.sys中加载运行

　　在C盘根目录下的这两个文件也可以启动木马。但这种加载一般都需要控制用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，容易被发现。所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心。

　　六、在Winstart.bat中启动

　　Winstart.bat具有系统特殊性，也是一个能启动并被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win .com并加载了一些驱动程序之后开始执行。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行。

　　七、反复感染木马的文件

　　实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原文件。这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会安装上去。如绑定到系统文件，那么每一次Windows启动均会启动木马。

　　老男孩教育专注Linux云计算运维工程师、Python全栈+人工智能、Python自动化运维开发、网络安全、数据分析、新媒体运营、MySQL DBA开发、K8S微服务、Go语言等互联网课程培训。欢迎对it行业感兴趣的朋友们来公司考察及学习。