1、工程四：手工殺毒技巧總結(jié)義務(wù)1：殺毒技巧與實戰(zhàn)義務(wù)2：殺毒閱歷總結(jié)義務(wù)1：手工殺毒案例1： 手工去除AV終結(jié)者案例2：手工去除U盤巡警手工去除AV終結(jié)者病毒特征：1.生成文件%programfiles%Common FilesMicrosoft SharedMSInfo隨機(jī)8位字母+數(shù)字名字.dat%programfiles%Common FilesMicrosoft SharedMSInfo隨機(jī)8位字母+數(shù)字名字.dll%windir%隨機(jī)8位字母+數(shù)字名字.hlp%windir%Help隨機(jī)8位字母+數(shù)字名字.chm也有能夠生成如下文件%sys32dir%隨機(jī)字母.exe交換%sys32d

2、ir%verclsid.exe文件2.生成以下注冊表項來到達(dá)使病毒隨系統(tǒng)啟動而啟動的目的HKEY_CLASSES_ROOTCLSID隨機(jī)CLSIDInprocServer32 病毒文件全途徑 HKEY_LOCAL_MACHINESOFTWAREClassesCLSID隨機(jī)CLSID 病毒文件全途徑 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks 生成的隨機(jī)CLSID HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionR

3、un 隨機(jī)字符串 病毒文件全途徑HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc Start dword:000000043.映像劫持經(jīng)過在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options下添加注冊表項來進(jìn)展文件映像劫持，可阻止大量平安軟件及系統(tǒng)管理軟件運轉(zhuǎn)，并執(zhí)行病毒體。被劫持的軟件包括：360rpt.exe;360Safe.exe;360tray.exe;KAV32.exe;KAVDX.exe;KAVPF

4、W.exe;.4.修正以下注冊表，導(dǎo)致無法顯示隱藏文件HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced Hidden dword:00000002HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue dword:000000005、修正以下效力的啟動類型來制止Windows的自更新和系統(tǒng)自帶的防火墻HKEY_LOCAL_MACHINESYSTEMC

5、urrentControlSetServicesSharedAccess Start dword:00000004HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauserv Start dword:000000046.刪除以下注冊表項，運用戶無法進(jìn)入平安方式HKEY_CURRENT_USERSYSTEMCurrentControlSetControlSafeBootMinimalHKEY_CURRENT_USERSYSTEMControlSet001ControlSafeBootMinimal7.銜接網(wǎng)絡(luò)下載病毒hxxpwebxxx/xx

6、x.exe8.封鎖殺毒軟件實時監(jiān)控窗口，如瑞星、卡巴，經(jīng)過自動點擊跳過按鈕來逃過查殺9.嘗試封鎖包含以下關(guān)鍵字窗口AntiAgentSvrCCenterRsaupdSmartUpFileDstyRegClean360tray10.注入Explorer.exe和TIMPlatform.exe反彈銜接，以逃過防火墻的內(nèi)墻的審核。11.隱藏病毒進(jìn)程，但是可以經(jīng)過終了桌面進(jìn)程顯示出來。12.在硬盤分區(qū)生成文件：autorun.inf 和 隨機(jī)字母+數(shù)字組成的病毒復(fù)制體，并修正“NoDriveTypeAutoRun使病毒可以隨可挪動存儲介質(zhì)傳播。 去除AV終結(jié)者下載IceSword，并將該其改名，如改成

7、abc.exe 稱號，這樣就可以突破病毒進(jìn)程對該工具的屏蔽。然后雙擊翻開IceSword，終了一個8位數(shù)字的EXE文件的進(jìn)程，有時能夠無該進(jìn)程。2.利用IceSword的文件管理功能，展開到C:Program FilesCommon FilesMicrosoft SharedMSINFO下，刪除2個8位隨機(jī)數(shù)字的文件，其擴(kuò)展名分別為：dat 和dll 。再到%windir%help目錄下，刪除同名的.hlp或者同名的.chm文件，該文件為系統(tǒng)協(xié)助文件圖標(biāo)。3. 然后到各個硬盤根目錄下面刪除Autorun.inf 文件和可疑的8位數(shù)字文件，留意，不要直接雙擊翻開各個硬盤分區(qū)，而應(yīng)該利用Windo

8、ws資源管理器左邊的樹狀目錄來閱讀。有時電腦中毒后能夠無法查看隱藏文件，這時可以利用WinRar軟件的文件管理功能來閱讀文件和進(jìn)展刪除操作。4.利用IceSword的注冊表管理功能，展開注冊表項到：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options，刪除里面的IFEO劫持項。5.安裝或翻開殺毒軟件，晉級殺毒軟件到最新的病毒庫，對電腦進(jìn)展全盤殺毒。U盤巡警的手工去除USBPlice: 自動運轉(zhuǎn)，當(dāng)U盤插入后自動翻開，尚未發(fā)現(xiàn)對計算機(jī)有無危害去除方式：1終了USBPlice進(jìn)程2刪除C:windows目錄下的USBPlice.exe及其它相關(guān)文件3翻開注冊表，搜索一切包含USBPlice的鍵值并刪除4重啟系統(tǒng)病毒預(yù)防閱歷盡量不要讓機(jī)器裸奔，隨時晉級殺毒軟件的病毒庫在能夠的情況下盡能夠翻開殺毒軟件的一切監(jiān)控功能盡量少上能夠含有惡意代碼的網(wǎng)站，降低風(fēng)險接納來文件時務(wù)必先查毒，不要翻開不明來歷的任何文件利用組戰(zhàn)略，禁用光盤、U盤的自啟動功能翻開分區(qū)或U盤時