手工查杀病毒入门基本知识简介----学习讨论

泪若苦水

一款优秀的防火墙并晚秋不能防御所有的病毒，[url=http://www.ss63.com/bbs/read.php?tid=494927]韩国明星玄彬[/url的今天，简单的修改木马过几款出色的杀毒软件并不艰难。所以，在杀毒软件不能识别病毒的情况下，我们就有必要手工查杀病毒。


    手工查杀病毒，顾名思义，就是在不使用杀毒软件的情况下人为的使用一些系统自带的或非系统自带的手工辅助工具进行查杀病毒。有些人怀疑手工杀毒是否有必要呢？其实，杀毒软件只是一条看门狗，作为主人的你，理论上应该比那条狗更清楚入屋者是不是贼才对。这只是作为管理者的一种基本意识。引用一位高手朋友的一句话：“只要杀毒软件还要更新病毒库，免杀就依然可以成功。”这也就说明了手工查杀病毒很有必要，因为杀毒软件是没办法识别经过免杀修改了的病毒的，这类病毒只能手工查杀。而手工查杀是不是需要很雄厚的基本功呢？实话实说，是应该对系统有所了解才能做得到，但是，意识都是慢慢培养的，学习也是一个缓慢的过程，接触多了，也就简单了。


    废话至此，下面开始简单介绍一些查杀病毒的的方法：



课程总体分布




#1.任务管理器


#2.命令提示符（CMD）


#3.IceSword（冰刃）


#4.360安全卫士（辅助学习的好工具）


#5.简单应用，免杀灰鸽子手工查杀实例


#6.常用启动项


#7.映像劫持


#8.单挑07年毒王----AV终结者




一.常用工具使用简介

1.任务管理器




    任务管理器是大家最常用的工具，有两种比较简单的打开方式：一种是组合键Ctrl+Alt+Delete，另一种是在任务栏右键→任务管理器。在任务管理器的应用程序栏里面显示的是正在运行的正常程序的，而病毒程序是不会显示出来的， 所以我们一般都查看进程栏。在这里我首先向大家介绍一些主要的系统进程：

QUOTE:
        1.svchost.exe      
　　进程文件:svchost或者svchost.exe
　　描述:svchost host proscess是一个标准的动态链接库主机处理服务

  　　2.iexplore.exe   
　　进程文件:iexplore或者iexplore.exe
　　描述:microsoft internet explorer浏览器用于浏览网页。

  　　3.rundll32.exe   
　　进程文件:rundll32或者rundll32.exe
　　描述:windows rundll32 为了需要调用dlls的程序。

  　　4.ctfmon.exe   
　　名称:alternativeuserinputservices
　　描述:office xp输入法图标。

  　　5.winlogon.exe   
　　进程文件:winlogon或者winlogon.exe
　　描述:windows NT用户登录程序。

  　　6.alg.exe   
　　进程文件:alg或者alg.exe
    描述:这是一个应用层网关服务用于网络共享。

  　　7.smss.exe   
　　进程文件:smss或者smss.exe
　　描述:进程为会话管理子系统用以初始化系统变量，ms-dos驱动名称类似lpt1以及com，调用win32壳子系统和运行在windows登录过程。

     　8.explorer.exe   
　　进程文件:explorer或者explorer.exe
　　描述:windows program manager或者windows explorer用于控制windows图形shell，包括开始菜单、任务栏，桌面以及文件管理。

    　9.csrss.exe   
　　进程文件:csrss或者csrss.exe
　　描述:客户端服务子程序，用以控制windows图形相关子系统。

  　　10.lsass.exe   
　　进程文件:lsass或者lsass.exe
    描述:本地安全权限服务控制windows安全机制。

   　  11.conime.exe   
      进程文件:conime或者conime.exe
　　描述：输入法编辑器相关程序。

  　　12.wmiprvse.exe   
　　进程文件:wmiprvse或者wmiprvse.exe
    描述:用于通过winmgmt.exe程序处理wmi操作。。
　
       13.services.exe   
    进程文件： services 或者 services.exe
    描述：用于管理windows服务系统进程。




QUOTE:
系统进程路径对照表：

alg.exe            路径为C:\WINDOWS\system32\alg.exe；

conime.exe     路径为C:\WINDOWS\system32\conime.exe；

csrss.exe        路径为C:\WINDOWS\system32\csrss.exe；

ctfmon.exe     路径为C:\WINDOWS\system32\ctfmon.exe；

explorer.exe   路径为C:\WINDOWS\explorer.exe；

iexplore.exe    路径为C:\Program Files\Internet Explorer\iexplore.exe；

lsass.exe         路径为C:\WINDOWS\system32\lsass.exe；

rundll32.exe    路径为C:\WINDOWS\system32\rundll32.exe；

services.exe    路径为C:\WINDOWS\system32\services.exe；

smss.exe         路径为C:\WINDOWS\system32\smss.exe；

svchost.exe    路径为C:\WINDOWS\system32\svchost.exe；

winlogon.exe 路径为C:\WINDOWS\system32\winlogon.exe；

wmiprvse.exe 路径为C:\WINDOWS\system32\wbem\wmiprvse.exe；


上面的大多是一些随着系统启动的系统进程（iexplore.exe除外，如果开机就弹出网页或出现iexplore.exe进程就可以初步判定它是木马或者恶意程序）， 其中有的机子rundll32.exe是不随机启动的，wmiprvse.exe开机启动后过些时间会消失，必要时还会启动。



    对于陌生进程，我们可以考虑到百度搜索，查看一下是否为病毒进程。在此推荐大家遇到危险进程的时候查看一下危险进程速查表：
【危险进程速查表】



       在任务管理器我们可以获取很多有用信息，例如进程的PID，所占用的内存、CPU，I/O写入等等，在系统运行不正常时我们可以根据这些信息来判断病毒的所在。


    其中PID和I/O写入项在 查看→选择列里选择显示，默认是不显示的，自己可以配置一下，把PID、I/O写入和I/O写入字节勾选上，即可查看到我们所想要的信息，如下图：