技术型文档,我是非常乐于分享的,不管什么技术,但是有关安全技术这一块,非常的敏感,一般人都不喜欢拿来分享的,主要是怕惹出事来,我也基于同意的观念,弄出点问题真的不太好,所以就分享一篇如何来查杀病毒的文档,软件自己去下载,不提供
实验一:变种的熊猫烧香
实验环境:在虚拟机中进行
把这个变种的熊猫文件拷贝到虚拟机中
现在发现打开任务管理器时,它会立马的自动的关掉
下面发现在运行中连msconfig也无法的运行,输入后,然后点击回车,会发现立马的自动的结束掉
下面发现在D盘中自动的生存了两个文件,现在我们来删除掉这两个文件,发现删除不了
现在发现有出现了
现在系统盘里面也出现了两个病毒文件
下面我们通过命令的方式把它给结束掉,现在最关键的是自己要非常熟悉这些常用的服务的进程,这样才能够比较容易的辨别出那些是病毒文件,下面的这个spoclsv.exe这个文件就是熊猫烧香的变种的病毒文件,这个文件与打印机的开放进程很相似,若对进程不熟悉,你一定会认为这是一个正常的进程
下面就用命令的方式把下面的一个进程结束掉
下面就可以把这些存在在系统盘还是其它盘的病毒文件给删除
现在发现进程可以被打开了
现在发现命令msconfig也可以用了,下面把被框上的地方的勾给去掉
下面还要到注册表中查看一下,发现注册表中没有问题
下面还要回到系统盘,在系统盘的C:\WINDOWS\system32\drivers下面把被框上那个文件删除掉
现在再来重启一下,发现下面的勾没有被勾上
下面发现可以打开进程
然后去查看刚刚被我们删除的文件是否还存在,若不存在说明病毒已被我查杀干净了,很明显下面没有刚刚删除的病毒,说明查杀成功
实验二:club病毒的查杀
实验环境在虚拟机中操作
下面把club.exe这个文件拷贝到虚拟机中,然后让机开始让这个虚拟机感染病毒
下面发现进程中多了三个可以的进程,我们尝试去删除,发现删了后又有,那么这时就可以肯定这定是病毒
下面发现在打开系统配置实用程序时发现下面的四个进程是要被结束掉的,下面我们就把他们的勾全部给去掉,让它重启时无法启用,但是我这样做的时候还是存在
下面来用命令的方法来结束掉
现在在进程中这三个进程被结束掉了,但是却没有成功的清除掉残留的哦病毒文件
下面到注册表中把下面的三个注册表给删除掉
下面打开shell,然后把C:\WINDOWS\system32下的winsit.exe给删掉
下面把来把下面的病毒或可以的文件给一一删掉,特别是要注意文件的时间是否被更改了,这一点非常的重要,因为它可以很容易的辨别出系统中的那些文件是可疑的,不该存在的
把上面所有的要删除的病毒删除后,然后再重新起启动一下电脑,然后是查看进程,看看那三个病毒文件是否还存在,然后是通过msconfig查看系统的配置应用程序,看看下面的四个勾是否被自动的勾上了,还要做的事是去查看一下刚刚被我们所删除的病毒文件还有没有,若没有,那么说明病毒已被我们查杀干净了
本文转自 vbers 博客,原文链接: http://blog.51cto.com/vbers/2052106 如需转载请自行联系原作者
