cnhackteam7 发布于2022年11月8日 分享 发布于2022年11月8日 最近帮同学干掉了一个很厉害的病毒,因此写些经验供中毒之人参考。 工具:首先就是unlock工具,几乎没有删不了的文件;然后是进程查看工具,用来分析病毒行为和路径,推荐IceSword或Process Explorer;接着是autorun工具,分析各种启动项用,也是必备;最后,可能的话,找个专杀,这样可以节省很多事情,恩~~。 分析与查杀:觉得电脑运行变慢或者其他什么问题都要找找原因,特别是看看磁盘根目录下有没有autorun.ini文件,有的话十之八九是中毒了。发现异样就打开进程管理的工具看看都多出了哪些没见过的进程,然后结束它,一般情况下结束了病毒进程它又会恢复运行。通过进程查看软件找到进程所在目录,有些病毒会阻止你访问病毒所在目录,这样就需要一些技巧躲开病毒的探测,一般可以通过任务管理器的新建任务中的浏览按钮找到病毒文件,然后删除它,删除利用unlock就可以了。接着用autorun工具去除病毒的自启动项和有关服务项(如果有的话~~)。最后重启搞定。 技巧总结:首先,在杀毒过程中切记不要双击任何盘,通过资源管理器的左边的树目录来切换。这样可以避免病毒的重新运行。 病毒新招破解: 第一,病毒多个进程互锁,互保护技术。这些技术用来保护病毒文件不被轻易删除,因为在删除其中一个的时候,另一个进程会恢复它,所以必须多个同时删除才行,这样借助unlock可以实现,只要对所有病毒文件进行完删除操作后再重启就可以了。 第二,映像劫持技术。通过这个技术病毒可以使很多程序运行不了,包括所有对它有威胁的软件。因为映像被劫持后,点击运行的不是所点击的程序,而是被修改的映像路径。不过这个技术可以通过修改程序文件名来破解。 第三,无法查看隐藏文件。由于注册表被修改导致无法显示隐藏文件,以达到隐藏病毒的目的。 以下是修复隐藏文件的注册表: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30501" "Type"="radio" "CheckedValue"=dword:00000002 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51104" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden] "Type"="checkbox" "Text"="@shell32.dll,-30508" "WarningIfNotDefault"="@shell32.dll,-28964" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="ShowSuperHidden" "CheckedValue"=dword:00000000 "UncheckedValue"=dword:00000001 "DefaultValue"=dword:00000000 "HelpID"="shell.hlp#51103" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" 目前就这些了,以后发现新的会再添加的。 希望能有所帮助。 链接帖子 意见的链接 分享到其他网站 更多分享选项…
推荐的帖子