《【计算机病毒论文】手动去除计算机病毒案例探析.docx》由会员分享,可在线阅读,更多相关《【计算机病毒论文】手动去除计算机病毒案例探析.docx(7页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、【计算机病毒论文】手动去除计算机病毒案例探析摘要:计算机病毒是编制者在计算机程序中插入的毁坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码1。计算机病毒具有很强的隐蔽性,有些能够通过病毒软件监测出来,有些隐蔽性很强,具有一定的环境适应性能力,这类病毒处理进来通常很困难2。由于杀毒软件更新的滞后性,用常规的杀毒方法未必能及时有效,且很容易损坏正常软件,造成计算机无法正常运转等损失。正确分析计算机的异常行为,查找发病源,通过手动杀毒,也是一种直观的方法及有价值的尝试。关键词:计算机病毒;杀毒软件;手动杀毒计算机感染病毒后通常会出现一些容易觉察的异常表现行为,如计
2、算机启动速度慢、程序运行卡顿、文件损坏或丢失以及出现间歇性断网等。通过计算机行为的异常表现,然后反推问题的根源,再通过适当的杀毒方法进行病毒去除。下面是一个服务器出现异常的案例:笔者打开服务器时异常卡顿,打开任务管理发现svchost运行程序占用CPU资源到达99%以上,严重影响了服务器的运行,这是病毒的一种典型表现。1病毒特征分析1.1Svchost进程分析Svchost.exe是Windows操作系统中的核心进程文件,从动态链接库DynamicLinklibrary,DLL中加载的通用主机进程,该进程是系统运行的基础进程之一,且不能被中止(3)。由于svchost.exe是一个基础进程,能
3、够访问很多系统资源和文件,所以svchost.exe非常容易被病毒所利用。被病毒利用之后,系统常会弹出svchost.exe错误,当然svchost.exe病毒也有不少专杀工具。很多木马程序喜欢伪装成这个服务程序来逃过查杀。为进一步确认,笔者通过资源管理器观察了一下这个进程的更多属性,发现了更多异常之处。1.2怪异的命令行参数该进程是通过一串命令启动起来。详细命令是:svchost-ogulf.moneroocean.stream:10001-uxxxxxdonate-level=11.3可疑的管理员账户经查证,进程svchost.exe的启动用户是Administrator,是这台计算机的超
4、级管理员。windows默认的系统管理员账号是预留出来的,系统默认情况下隐藏这个账号,除非在计算机上没有其他账号可用。超级用户只能有一个,但进一步查看Administrator的文件夹,竟然有两个,这讲明服务器存在病毒,需要我们进一步深化分析。2.1参数的含义参数中的gulf.moneroocean.stream看起来是个域名,尝试访问之后,发现是门罗币的网站,那么该病毒极有可能与门罗币有关。Monero中文翻译成门罗币,是区款连比特币的一种。参数合起来的意思是:通过gulf.moneroocean.stream服务器从事挖矿活动,将受益放到账户为xxxxx的钱包地址当中,受益的1%捐赠给这个
5、木马的开发人员。2.2真假账户至于真假账号的问题,我们猜测可能是某一个账号采用了特殊字符,而windows文件系统无法正常显示这个字符,于是看起来和真正的administrator是一样的。为了证明这一点,我们把两个文件夹的名字拷贝到notepad+里,果然原形毕露了。有一个账户用的A其实是希腊字符的A,在windows下看起来和A一模一样。假如不够细心的话,很容易以为这个进程就是Administrator起来的,进而容易误判它为系统进程,到达鱼目混珠的目的。3手动查杀病毒手动杀毒不会像杀毒软件那样,受病毒库大小的制约,十分是对于那些新病毒,手动杀毒技术明显优于使用杀毒软件进行杀毒(5)。其次
6、,手动杀毒技术的人工介入性质决定了它拥有充分的灵敏性,这是作为计算机程序的杀毒软件无法比较的。手动杀毒技术能够跟踪单个病毒运行、了解病毒习性,进而在灭杀病毒后完美修复曾被起毁坏的系统。通过分析,能够确认这就是门罗币的挖矿木马病毒,从任务管理器将它直接关掉是很简单的事,但是难保他凭借什么触发器再启动起来,所以需要找到它的启动位置并把它彻底删除才是根本的解决办法。手动杀毒一般应从几方面入手:1查内存,排查可疑进程。目的是为了将病毒从内存中去除掉。2查启动项,删除病毒启动项。3通过病毒启动项判定病毒所在位置,从根本上删除病毒。4修复系统,常见的病毒会对系统部分损坏,必须对损坏的文件或系统进行修复。首
7、先,为了保证操作的流畅性,我们先将资源占用率降下来。通过资源管理器只给这个进程分配1个CPU,使之最大CPU占用率不超过25%,这样我们的手动操作就变得无比流畅。其次,为了找到这个可执行程序的地址,需要在资源管理器增加途径一栏PATH,能够获取途径。这里采用了Powershell来获取可执行文件的物理地址。通过powershell的命令,我们得出病毒可执行文件的物理地址为:c:windowsfontssessvhost.exe。不仅隐藏在系统目录,而且在伪装成windows的字体文件。但是用这个地址实际上也是不存在的。用资源管理器找不到这个地址,直接在地址栏输入地址也不行。经过一番查证,这种情
8、况是由于病毒已经被操作系统标记为系统文件,并加以隐藏,所以用户的资源管理器是无法访问到的。需要使用dos命令来访问该目录。果然通过dos命令是能够进入到这个文件夹内部,但是却查看不到任何文件。通过dos,在dir命令后面加个参数/ah,就能够让病毒原形毕露。接下来用copy命令将这个程序拷贝出来,就能够发现他的真身了。注意copy命令仍然要增加参数/h,否则拷贝一样会失败的。随后就是关闭进程,再使用del命令将病毒删除即可。至此,此次服务器中毒事件已完美解决,没有系统损坏及文件丢失。4工具软件的使用4.1PowerShell的使用方法技巧随着微软对Win10系统的不断升级,内置的默认命令行工具
9、也逐步从Cmd迁移到了PowerShell。WindowsPowerShell作为新一代的命令行自动化管理工具,因其简洁高效成为诸多管理员喜欢的工具,也是微软推荐的管理工具。(6)但须注意,PowerShell与Cmd各自的资源占用情况不同。当我们运行Cmd时,大概只需占用不到1M的内存,几乎能够忽略不计。而使用PowerShell时,需要占用大约20M的内存,两者几乎相差4050倍。因而,假如你的电脑比拟老旧,性能较低,使用Cmd无疑能够获得更高的流畅性。假如电脑配置较高,用PowerShell是一个不错的选择,功能强大,效率高。4.2Notepadd+显示特殊字符Notepad+是Wind
10、ows操作系统下的一套文本编辑器,有完好的中文化接口及支持多国语言编写的功能(UTF8编码)。功能比Windows中的Notepad(记事本)强大,除了能够用来制作一般的纯文字讲明文件,也特别合适编写计算机程序代码。Notepad+不仅有语法高亮度显示,也有语法折叠功能,并且支持宏以及扩大基本功能的外挂模组。4.3通过任务管理器显示进程的参数,并限制其资源使用量Windows任务管理器提供了有关计算机性能的信息,并显示了计算机上所运行的程序和进程的具体信息;假如连接到网络,那么还能够查看网络状态并迅速了解网络是怎样工作的。它的用户界面提供了文件、选项、查看、窗口、关机、帮助等六大菜单项,其下还
11、有应用程序、进程、性能、联网、用户等五个标签页,窗口底部则是状态栏,从这里能够查看到当前系统的进程数、CPU使用比率。5经历与收获本次杀毒行动使我们受益匪浅。不管是知识运用上,还是工具的使用上,都是一次很重要的尝试,也验证了我们的技术水平。现将用到的知识和工具列出如下:1Notepadd+显示特殊字符。利用本命令,将文本内容考入Notepad+,就能将真实的文本内容显示出来。进而识别出病毒文件。2通过任务管理器显示进程的参数,并限制其资源使用量。通过任务管理器能的参数设置,改变CUP的使用状况。通过powershell获取进程的可执行程序地址。3通过命令拷贝显示/操作隐藏的系统文件,有些Dos命令加上特殊的参数,能起到事半功倍的作用。总而言之,手动杀毒技术需要很高的操作系统功底,对于网络管理员是一种应该把握的技能,对于一般的使用人员应慎重使用。手动杀毒能够深化自动杀毒软件所不能涉及的死角,在杀毒软件无法发挥作用或者已经被病毒毁坏的情况下,及时发现病毒并成功猎杀病毒,尽可能保护计算机系统,减少损失,采用应急手段的方法之一。基本的计算机安全维护还是要靠防火墙,杀毒软件,杀木马软件来完成保护。
限制150内