|
|
殺毒軟件失效別擔(dān)心 手工驅(qū)逐病毒 |
已閱[2733]次[2009/3/28] |
|
電腦如同我們的家一樣,在使用一段時間之后就需要清理維護(hù)。特別是在病毒橫行的今天,如何做好安全維護(hù),在電腦出現(xiàn)問題的時候如何將問題找出并解決問題,是想成為安全工程師和電腦高手的朋友應(yīng)該掌握的基本技能。也只有這樣,我們才能夠在電腦工作異常時,臨危不亂處變不驚,防止因為盲目的誤操作,出現(xiàn)本不應(yīng)該出現(xiàn)的數(shù)據(jù)損失。
現(xiàn)在絕大多數(shù)電腦用戶都會安裝殺毒軟件,他們對于殺毒軟的依賴程度相當(dāng)高,如果懷疑電腦中毒了,就會想到用殺毒軟件。而如果殺毒軟件也同時出現(xiàn)故障,很多用戶就不知道該怎么辦了。
以我個人遇到的情況來看,有些病毒會直接關(guān)閉殺毒軟件進(jìn)程,有些會停止殺毒軟件后臺服務(wù),還有一些會悄悄地更改用戶的網(wǎng)絡(luò)協(xié)議與關(guān)鍵文件,讓殺毒軟件升級功能失效。而當(dāng)用戶察覺系統(tǒng)有異樣后,再次安裝殺毒軟件往往也會失敗,甚至更換另一種殺毒軟件也會遇到阻礙。失去了防御病毒的武器會讓許多用戶束手無策,這時正好是我們安全工程師大顯身手的時候。
用戶難處理的癥狀 癥狀1:無法上網(wǎng),殺毒軟件主動防御關(guān)閉或無法執(zhí)行
癥狀解析:這種情況比較多見。病毒通常是修改了IE中的代理選項,讓用戶無法正常上網(wǎng)。所以用戶如果遇到這樣的問題,應(yīng)該即時檢查IE瀏覽器中的“Internet選項”,病毒可能修改了“連接→局域網(wǎng)設(shè)置”中的代理服務(wù)器一項,用戶只需要將代理服務(wù)器的勾選去掉皆可(圖1)。也有部分病毒會刪除用戶電腦中的網(wǎng)絡(luò)協(xié)議,讓用戶的網(wǎng)絡(luò)操作徹底失效。
而讓殺毒軟件主動防御失效,病毒常采用的招數(shù)是,通過修改系統(tǒng)默認(rèn)加載的DLL 列表項來實現(xiàn)DLL 注入(),在注入后設(shè)置全局鉤子。然后根據(jù)殺毒軟件的關(guān)鍵字,找到殺毒軟件的窗口,往目標(biāo)窗口發(fā)送大量的垃圾消息,是它無法處理而進(jìn)入假死狀態(tài)。這時殺毒軟件的主動防御功能就失效了(圖2)。
殺毒軟件無法執(zhí)行,極有可能是由映像劫持造成的。病毒通過修改注冊表將殺毒軟件程序重定向,可以導(dǎo)致殺毒軟件無法運行。此外,也有可能是因為病毒刪除了殺毒軟件的服務(wù)或者程序。
癥狀2:僅殺毒軟件和安全輔助工具無法升級 癥狀解析:這種情況的迷惑性更大一些,許多用戶都是隔了一段時間才反應(yīng)過來的。病毒修改了Windows操作系統(tǒng)中的HOSTS文件,阻止了殺毒軟件和安全輔助工具的升級。用戶在Windows訪問網(wǎng)站首先要輸入在瀏覽器中輸入域名,此時這個域名會通過DNS服務(wù)器解析成為網(wǎng)站的IP地址,例如我們輸入網(wǎng)址www.ruijia.cn,就將會被解析為122.156.44.155的IP地址后,電腦才能夠正常訪問。 根據(jù)Windows系統(tǒng)規(guī)定,在進(jìn)行DNS請求以前,Windows系統(tǒng)會先檢查自己的HOSTS文件中是否有這個地址映射關(guān)系,如果有則調(diào)用這個IP地址映射,如果沒有再向已知的DNS服務(wù)器提出域名解析,也就是說HOST文件的請求級別比DNS高。因此一旦病毒修改了HOSTS文件的內(nèi)容,用戶就無法訪問殺毒軟件網(wǎng)站
剖析案例掌握技巧 現(xiàn)實中的中毒癥狀往往比較復(fù)雜,有可能出現(xiàn)癥狀1和癥狀2雜糅的情況。下面的這個案例就是非常典型的。
現(xiàn)場狀況:有一次,領(lǐng)導(dǎo)派我去幫其他部門處理一下電腦故障。趕到現(xiàn)場后,立即詢問了電腦癥狀,得知他在啟動電腦時,發(fā)現(xiàn)殺毒軟件沒有出現(xiàn)在桌面的右下角,他試圖重新啟動殺毒軟件,但是沒有成功,后來又嘗試重新安裝殺毒軟件也不行,于是就向我們救助。
我在故障電腦中打開網(wǎng)頁,發(fā)現(xiàn)可以上網(wǎng),但打不開殺毒軟件相關(guān)的網(wǎng)站。重新啟動后,嘗試進(jìn)入安全模式,不過沒有成功。此外,我還發(fā)現(xiàn)注冊表無法進(jìn)入,這就增大了解決問題的難度。
解決方法:檢查完完用戶電腦后,我已經(jīng)大致明白了造成這些癥狀的原因,主要原因就是映像劫持,而HOSTS文件也被竄改了。身為一名安全工程師,自然備有一些安全分析工具。當(dāng)時我選用的是ATools(下載地址:http://www.shudoo.com/bzsoft),大家也可以挑自己順手的安全分析工具。
我把閃存插入用戶電腦護(hù),運行了ATools,首先檢查的就是進(jìn)程與線程,軟件會用黃色標(biāo)明異常的進(jìn)程與線程。我在“Explorer.exe”進(jìn)程下發(fā)現(xiàn)了黃色標(biāo)明的DLL文件注入。接著,我結(jié)束了Explorer.exe進(jìn)程。然后在ATools中調(diào)用注冊表工具,找到HEKEY-LOCAL-MACHINE\software\microsoft\windows\currentversion\explorer\advanced \folder\hidden\showall,將Checkedvalue的的鍵值改為“00000001”(圖3)。
再在注冊表中中找到HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options,將以殺毒軟件和安全工具命名的項刪除,再運行殺毒軟件就成功了。 隨后定位到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options;在Image File Execution Options上,選擇“安全→權(quán)限”,將出現(xiàn)的用戶列表內(nèi)所有帶有“寫入”的權(quán)限去掉,確定退出。最后,我用安全輔助工具還原了HOSTS文件,之后,再上網(wǎng)就正常了。
|
關(guān)鍵詞: |
|
上一條:windowsXP系統(tǒng)如何節(jié)省內(nèi)存的 下一條:人在職場:養(yǎng)“驢”還是找“馬”
|
相關(guān)信息
|
|
|