手工殺毒終極教程

swolook 2010-05-06

展開全文

首先了解一點(diǎn)常識(shí)：任何程序的運(yùn)行都是要通過駐留內(nèi)存來實(shí)現(xiàn)的，不論何種操作系統(tǒng)。操作系統(tǒng)是永遠(yuǎn)常駐內(nèi)存(即開機(jī)啟動(dòng)就駐留內(nèi)存)，還有就是以系統(tǒng)級驅(qū)動(dòng)和后臺(tái)服務(wù)的形式常駐內(nèi)存.通常文件不能刪除都是由于有程序在運(yùn)行，進(jìn)程列表只能顯示出常規(guī)的進(jìn)程，以后臺(tái)服務(wù)形式運(yùn)行的可以通過services.msc查看，以系統(tǒng)級驅(qū)動(dòng)可以通過gmer,冰刃，syscheck之類的軟件查看.
文件不能刪除的原因只有兩種：

1.文件系統(tǒng)出問題產(chǎn)生的亂碼文件刪除不了，讓windows啟動(dòng)的時(shí)候磁盤檢測自己修復(fù)就好

2.文件被加鎖保護(hù)了。這個(gè)可以分兩種情況：

a.操作系統(tǒng)保護(hù)。當(dāng)程序在運(yùn)行的時(shí)候是不能刪除可執(zhí)行文件的，結(jié)束相應(yīng)進(jìn)程就可以刪除了.非可執(zhí)行文件被加鎖了，syscheck有個(gè)文件解鎖功能，解鎖以后可以刪除

b.被惡意的系統(tǒng)級驅(qū)動(dòng)保護(hù)?。?！這是最強(qiáng)悍的了。通常這種驅(qū)動(dòng)還有相關(guān)的一堆可執(zhí)行文件在，一定要全部刪除了。

解決辦法：
第一:　進(jìn)安全模式刪除或者自己安全的DOS系統(tǒng)刪除

第二：找強(qiáng)制刪除軟件進(jìn)行強(qiáng)制重新啟動(dòng)刪除。

第三：用gmer（這是英文的，波蘭人寫的，非常強(qiáng)悍）找到files，可以樹形瀏覽文件，右鍵刪除。

第四：用WINPE系統(tǒng)進(jìn)行刪除和修復(fù)

gmer非常強(qiáng)悍的，誰用誰知道，其它的看個(gè)人修為了，至少我遇到過的都搞定了，什么AV終結(jié)者，磁碟機(jī)，等等。最齷齪的是感染可執(zhí)行文件的病毒，呵呵我不能修復(fù)。強(qiáng)烈推薦大家首先用windows系統(tǒng)清理助手殺(這個(gè)可以殺很多包括驅(qū)動(dòng)級流氓的)，如果不行再用gmer.
教大家點(diǎn)殺毒技巧：

第一步：用調(diào)試器可以結(jié)束被調(diào)試的進(jìn)程，windows自己帶調(diào)試器ntsd就可以用: -c “命令” 這個(gè)參數(shù)是執(zhí)行相應(yīng)的調(diào)試命令，退出運(yùn)行命令是q -p 進(jìn)程PID　這個(gè)是指定要調(diào)試的進(jìn)程PID -pn 進(jìn)程名　這是指定調(diào)試進(jìn)程全名，一定要包括后綴名所以結(jié)束一個(gè)程序PID為333像這樣：ntsd -c q -p 333, 進(jìn)程名為a.exe像這樣：ntsd -c q -pn a.exe

第二步：結(jié)束進(jìn)程以后馬上建一個(gè)和進(jìn)程同名的文件夾,
寫成批處理就行了,流氓木馬再生速度再快也趕不上批處理的。
例子：假設(shè)a.exe路徑為c:\windows\system32, 把下面兩行存為a.cmd或者a.bat都行
ntsd -c q -pn a.exe
mkdir c:\windows\system32\a.exe

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自： swolook > 《電腦安全》

舉報(bào)/認(rèn)領(lǐng)