病毒木马查杀第002篇:熊猫烧香之手动查杀

只愿长相守 提交于 2020-02-22 12:22:36

一、前言

        作为本系列研究的開始,我选择“熊猫烧香”这个病毒为研究对象。之所以选择这一款病毒,主要是由于它具有一定的代表性。一方面它当时造成了极大的影响,使得不管是不是计算机从业人员,都对其有所耳闻;还有一方面是由于这款病毒并没有多高深的技术,即便是在当时来讲,其所採用的技术手段也是非常一般的,利用我们眼下掌握的知识,足够将其剖析。因此,我相信从这个病毒入手,会让从前没有接触过病毒研究的读者打消对病毒的恐惧心理,在整个学习的过程中开个好头。

        本篇文章先研究怎样对“熊猫烧香”进行手动查杀。这里所说的手动查杀,主要是指不通过编写代码的方式对病毒进行查杀。说白了,基本上就是通过鼠标的指指点点,有时再利用几条DOS命令就行实现杀毒的工作。可是不可否认的是,採用这样的方法是很粗浅的,往往不可以将病毒彻底查杀干净,可是从学习手动查杀病毒起步,有助于我们更好地理解反病毒的工作,从而为以后更加深入的讨论打下基础。

        须要说明的是,手动查杀病毒并不代表在什么软件都不使用的前提下对病毒进行查杀,事实上利用一些专业的分析软件对于我们的查杀病毒的还是非常有帮助的,这些工具我会在对不同的病毒的研究中进行解说。另外,出于安全考虑,我的全部研究文章,都不会给大家提供病毒样本,请大家自行上网寻找,我仅仅会给出我所使用的病毒样本的基本信息。

 

二、手动查杀病毒流程

        手动查杀病毒木马有一套“固定”的流程,总结例如以下:

        1、排查可疑进程。由于病毒往往会创建出来一个或者多个进程,因此我们须要分辨出哪些进程是由病毒所创建,然后删除可疑进程。

        2、检查启动项。病毒为了实现自启动,会採用一些方法将自己加入到启动项中,从而实现自启动,所以我们须要把启动项中的病毒清除。

        3、删除病毒。在上一步的检查启动项中,我们就行确定病毒主体的位置,这样就行顺藤摸瓜,从根本上删除病毒文件。

        4、修复被病毒破坏的文件。这一步一般来说无法直接通过纯手工完毕,需利用对应的软件,不是我们讨论的重点。

 

三、查杀病毒

        我这里研究的“熊猫烧香”病毒样本的基本信息例如以下:

        MD5码:87551e33d517442424e586d25a9f8522,

        Sha-1码:cbbab396803685d5de593259c9b2fe4b0d967bc7

        文件大小:59KB

        大家在网上搜索到的病毒样本可能与我的不同,可是基本上都是大同小异的,查杀的核心思想还是一样的。

        这里我将病毒样本复制到之前配置好的虚拟机中(注意要备份),首先打开“任务管理器”查看一下当前进程:


图1 病毒执行前查看任务管理器

        由于我的虚拟机系统中没有安装不论什么软件,是非常纯净的,所以一共同拥有18个进程(包括任务管理器进程),能够觉得这18个进程是系统所必须的。有时我们就须要这种一个纯净系统,来与疑似中毒的系统进行进程的对照操作。然后我们执行病毒,再次尝试打开“任务管理器”,发现它刚打开就立马被关闭了,说明病毒已经对我们的系统产生了影响,而这第一个影响就是使得“任务管理器”无法打开。只是没关系,我们能够在cmd中利用“tasklist”命令进行查看:


图2 在cmd中查看染毒后的进程

        通过对照可见这里多出了一个名为spoclsv.exe的进程,那么我们能够通过命令“taskkill /f /im 1820”(强制删除PID值为1820的文件映像),从而将这个进程结束掉:


图3 结束病毒进程

        这时就能够发现“任务管理器”能够被打开了,说明我们工作的第一步是成功的。然后须要对启动项进行排查,能够在“执行”中输入“msconfig”:


图4 查看启动项

        这里非常快就行锁定“spoclsv.exe”这一项,我们首先须要记下其文件位置:

        C:\WINDOWS\system32\drivers\spoclsv.exe

        然后是注冊表位置:

        HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

        然后将这个启动项前面的对勾取消,来到注冊表对应的位置,将Run中的“spoclsv.exe”删除,而且删除病毒文件本体:


图5 删除病毒文件

        以上工作完成后,重新启动系统,再次打开“任务管理器”,能够被正常打开,说明我们的工作是成功的。然后打开“我的电脑”,用鼠标右键点击一下各个盘符(我的系统仅仅有C盘):


图6 右键点击盘符

        我们在手动查杀病毒的时候,就应该养成一个习惯,那就是使用右键来打开盘符,而不是通过双击左键的方式。在这里我们能够看到,鼠标右键菜单中多出来了一个“Auto”项,那么非常明显C盘中存在autorun.inf的文件(參见《反病毒攻防研究第006篇:利用WinRAR与AutoRun.inf实现自启动》)。能够在cmd中查看一下:


图7 查看隐藏文件

        由于我已经确定C盘中存在autorun.inf文件,而使用dir命令却没有看到,说明它应该是被隐藏了,所以这里要使用“dir /ah”(查看属性为隐藏的文件和目录)命令。而我们也确实发现了autorun.inf与setup.exe这两个可疑文件(由于正常文件是不须要隐藏的,特别是EXE文件更加不须要隐藏自己,所以这个setup.exe属于可疑文件)。由于这两个可疑程序的属性是隐藏的,所以这里能够先去掉其隐藏属性,然后再进行删除:


图8 删除自启动文件

        重新启动系统后,全部手动查杀病毒的工作完成,我们的系统就又恢复正常了。

 

四、小结

        其实,“熊猫烧香”对于我们的电脑的危害远不止于此,仅仅是说在不使用不论什么辅助工具的前提下,我们能做的基本上就是这些了。对于“熊猫烧香”病毒的手动查杀部分就到这里,在以后对于别的病毒的研究中,因为它们比“熊猫”要强大,我们不得不使用一些专业工具作为辅助。也希望大家可以亲自去尝试,勤动手,由这里開始,不再惧怕病毒。


         本篇文章配套视频教程:http://yun.baidu.com/s/1mg9lisC

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!