网络技术疯人院

虽然是2005年的，但是感觉对深入理解现在的病毒和系统依然有很大的帮助。
是水木社区病毒版的一位前任版主留下的经验之谈：
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
发信人: itrose (itrose), 信区: Virus
标  题: 版三儿的全部家底
发信站: BBS 水木清华站 (Mon Mar 14 23:56:00 2005), 站内
：）一晚上就先写这么多吧
防杀病毒，需要的知识：可执行文件类型，注册表基本结构，进程，线程，端口
关于重启：由于现在的计算机软件系统比较完善，只有极少量病毒可以使计算机象按RESET
键那样重新启动，如果你的系统如此重启，请首先考虑硬件问题。
关于程序错误关闭：正常程序本身或正常程序之间有问题，也可能是病毒感染后程序正常功
能被破坏，为了保护系统，该程序也会被关闭。所以出现此问题可以用来判断是否感染病毒
关于系统还原 此功能保留现在系统的注册表和文件，就算注册表被病毒感染，文件是病毒
文件，也被保留了，好不容易杀毒完了一旦系统还原，病毒又回来了，所以杀病毒前一般要
关掉系统还原.右击我的电脑，属性里有设置。
关于端口
   你只有一个IP地址，泡泡要用，QQ要用，浏览器也要用，所以每个程序分几个端口号，
可以理解为所有程序必须是通过某个端口进行网络数据传输，万一你系统发现无故访问网络
，用F-PORT查查，看哪个进程对应哪个端口，然后查查进程对应的硬盘文件。就很可能发现
病毒了
  有些端口是系统保留的，所以系统漏洞也就出在这些端口上，病毒就从这里传入，比如
RPC漏洞相关端口，135 139 445 593四个，所以建议使用IP安全策略功能封掉，但正常数据
也没法进来了，缺失了正常功能，只有打上补丁是一举两得，既防止病毒数据进来又不影响
正常功能。
   补充：你可能听说过icmp，它也可以在IP地址间传递数据，你可以把它理解成端口-1，
呵呵，有的木马可能用它来传递数据
文件扩展名，对系统来说，就是显示什么样的图标和双击后怎么处理他们，改注册表就可以
对处理方式进行控制，对用户来说，就是一种分类的方法，扩展名平时被系统隐藏起来，这
也被病毒用来欺骗用户误以为它们是别的类型的文件。
正题：
病毒就是可执行的代码，比如文本文件是给你自己看的，不是系统用来执行的，系统用来执
行的代码放在EXE DLL SYS SCR OCX vbs等扩展名类型的文件里面，这些文件可能在硬盘上
、软盘、U盘或者是网站上，具体还可能是WORD文档。
关于文件保护：系统关键文件，绝对不可能在系统运行中删除，其他被执行中的文件，被
EXPLORERE.EXE也就是资源源理器保护起来，但只要关闭EXPLORER.EXE进程，就可以进行删
除，这也是删除病毒文件的一招
文件的隐藏 文件本身有若干属性和权限，例如只读属性：不能被任何应用程序进行修改包
括删除，隐藏属性，则不能被普通查看方式查看到，如果想看到隐藏文件，需要在任何一个
打开的我的电脑窗口里，打开工具菜单，文件夹选项，查看里面，找显示所有文件这一项，
现在病毒很狡猾，把自己隐藏后，用注册表修改的方式，达到使显示所有文件这一功能消失
的效果，这点得注意。使用开始菜单的搜索，需要注意一点，就是更多高级选项中的前两项
开关是否已经被打开，一定确保已被打开，因为这两个开关会被病毒关掉
所有的文件夹里，文件就分两类，可执行和数据文件，可执行的有EXE DLL （OCX，SCR
.sys）那些，EXE文件可以直接执行，一般情况下也是进程的必然存在形式，DLL文件必须镶
嵌在EXE内执行，比如RUNDLL32.exe，一般用用来实现各种程序共享的功能。
  在安装程序时，他们除了在自己的安装文件夹下放各种文件外，还在系统文件夹下放一些
和别的程序共享的同等功能DLL文件的他所能提供的最新版本，另外注册表放些启动项和注
册信息
关于进程：WINDOWS下程序在运行时的存在形态，按ctrl-alt-del键打开任务管理器，可以
看到各进程及其占用的CPU时间，病毒可能采用技术手段使你看不到它或者让你根本打不开
任务管理器，你可以寻求别的软件进行查看.另外：进程中，包含着线程，可能是某个DLL模
块或其他EXE文件，如果病毒把自己以线程的方式进入完全正常的进程，那就只能通过模块
查看方式来寻找。
  关于系统进程，如果你用任务管理器来看进程，XP下必然有的进程有
  smss.exe  services.exe explorer.exe csrss.exe lsass.exe winlogon.exe system
taskmgr.exe
  system idle process (这是个不存在的进程，是其他进程占用CPU后的空闲。）
  以上进程只能出现一次，出现多个必是病毒，病毒冒充它们可能会用的招数：
  用数字1代替字母l，用数字0代替字母o或相反，第4字母之后加减个别字母,还有更阴险的
，文件名内包含若干空格比如services .exe 是不是很容易被忽略
  或者虽然同以上进程同名，但不同该正常进程使用的文件，比如正常进程文件在
windows\system32,病毒文件就把自己放在windows下
  svchost.exe  一般为3-6个，尤其要注意病毒使用同名不同夹的方式进行伪装
  其他可能出现的系统进程，本版精华区有他们的资料，但肯定有过时的一天啊，所以强烈
建议使用GOOGLE进行搜索，现在网上关于系统文件的资料很全，GOOGLE也把这种资料库的搜
索结果排在前面，很方便,同时注意病毒使用同名不同夹的方式进行伪装
  应用程序进程，可以在硬盘上搜索相关文件，看是否在你确认安全的程序的安装文件夹下
，那些太有名的软件，也不可靠，比如ie的文件夹，每个系统必有，呆在里面跟呆在系统文
件夹里几乎是一样效果，另外就是靠google来分析
  关于系统文件夹：病毒最喜欢把自己放里面。
   windows及其下的system32   系统主要的exe dll文件存放的地方
   drivers   系统驱动的文件夹，一般都是.sys文件
    etc  里面主要说的是HOSTS文件，系统在把sohu.com之类域名转化成 IP地址时，先使
用这个文件里面所标注的IP进行访问，而不到网上寻求IP，所以如果病毒在里面添上一行
219.224.164.*  www.sohu.com 你输入搜狐的网址，就该连到女生宿舍的电脑里了
   其他系统文件夹，如program files 及其下的common files因为普遍存在，病毒也可能
藏里面
注册表  就象资源管理器一样操作就可以，所要知道就是数据的不同类型，杀病毒时一般只
需删或者改，所以基本不必关心这个问题，而且防病毒的基本方法里也很少能让系统瘫痪的
，少量如EXE DLL关联之类的修改前，你可以把他们所在的项导出到桌面备份一下就行，不
行再导入回来.
关于IE的恶意修改和恶意网页，IE留给了程序和用户很多可以定制的项目，比如首页，比如
默认的搜索引擎，右键菜单，工具栏工具，还有准许程序为自己进行功能扩充，如PLUGIN
，BHO 功能，这些开放的地方都在注册表里有，所以，病毒就会利用他们，好在
HIJACKTHIS在浏览器这些地方的保护已经到了极其全面的地方，可以很信赖它。
注册表的修改，除了上面IE各种修改，还有锁定注册表编辑器这种损招，有两种方式，一种
是防止REGEDIT进程运行，一种是在注册表里的简单修改防止REGEDI的使用。解决方法是使
用别的注册表修改工具或者导入健康键值解除锁定，专业版XP还可以靠运行GPEDIT.MSC找到
对付第二种修改的地方
另外主要就的是TXT EXE DLL的关联的篡改，也就时系统对这些文件的处理运行方式，这些
关联一修改，你随时在打开上面三种文件的时候被病毒感染，所以一定要注意保护它们，在
注册表里，关于这三种文件分别有两处，都在HKEY_CLASSES_ROOT之下，首先exefile
txtfile dllfile 是系统真正的运行处理他们的方法，而.txt .exe .dll才是把那些扩展名
的文件分别对应到那些运行处理方式，你可以实验下，新建一个.xxx的键值，内容完全仿造
.exe填写，你重新启动后点.xxx的文件，她们会象exe文件一样被处理，如果内容是可执行
文件，就被执行了（题外话：DOS年代，就有种把EXE COM文件改名成.aaa .bbb ，然后让系
统只识别.aaa .bbb为可执行文件的预防方法,让那些只会机械感染exe com文件的病毒扑空）

关于分区和U盘的自动播放
看注册表里
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints
2，下面每项，如果有分支有autorun,其下的COMMAND的值就是双击分区和硬盘时要运行的文
件，可能是病毒启动自己的招
关于启动项，就是WINDOWS启动时，系统要运行的程序，比如QQ啦还有些你不知道的或者忽
略的输入法等加载项，当然还有病毒，WINDOW留的可以加载启动项的注册表地方太多，
HIJACKTHIS也只是列出绝大部分而已，版上1230号文章有点补充。
关于服务：比启动项更早加载，而且在更高级别上运行，好几个服务挤在一个SVCHOST.EXE
里面，偶尔也单独现身，病毒也可能以此方式侵染，控制面板，管理工具，服务里可以查看
到他们，用HIJACKTHIS可以更容易地识别它们们
关于驱动  就是加载比启动项哪个早，也比服务早，只是不能被任务管理器看到，也不能被
结束掉，在注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services这个地方被
加载，对应文件一般放在windows\system\drivers下
病毒传播：也就是那些倒霉的机器第一次怎么接触到这些病毒代码呢？
          运行了网站上的恶意代码，点击运行了病毒程序（最直接），病毒程序包括单纯
          的病毒程序和被病毒侵入到新段或段之间的正常程序，通过网络端口和系统漏洞
          功能病毒代码被下载和自动运行，打开了感染过的WORD文档。
病毒感染后的启动方式：病毒是执行代码，必须有机会被执行，感染系统后一旦重新启动后
怎么让自己有启动的机会呢，通过硬盘分区或U盘的自动播放功能，注册表启动项（包括开
机启动病毒文件、网页和txt exe dll关联感染），驱动方式，服务方式，或者是使用者的
点击，使单纯的病毒文件或者是正常功能但被感染的EXE\dll文件的得到执行
关于安全模式  放在这里提时机成熟，只要使用安全模式，上面刚提到的各种病毒启动方式
除了驱动方式，基本上都不存在了，所以可以很从容的要嘛手工，要嘛用杀毒软件来对付了
防毒：
     提高IE浏览器的安全级别，打全系统补丁，更新病毒库，使用各公司最新专杀工具扫
描系统。另外一些技巧，比如如何重新安装卸载IE，如何修复系统协议。
手工查毒：到WINDOWS 和其下的SYSTEM32里，按时间顺序排列，看看最新的那几个文件，
GOOGLE一下，看是不是病毒文件。看进程，看线程。看注册表启动项。GOOGLE
工具：MSINFO32（可看驱动程序信息，包括EXE DLL的所有系统加载模块）
xp系统自带：附件，系统工具，系统信息
  主要用到它的软件环境分支
  其下的“系统驱动程序”，可以查看到每个系统驱动程序的启动文件。
  其下的“加载的模块”，详细列出了系统所有模块，包括EXE和DLL，注入哪个进程也没关
系，再按照制造商排列一下，忽略MICROSOFT ，SYMANTEC等公司的一堆一堆的项，就可以用
心发现那些可疑的模块了。有个别MICROSOFT模块可能会没有制造商信息
HIJACKTHIS（各种注册表启动项，进程和浏览器的各种可定制设置）
  02开头的项，需要经常处理后的经验，也需要GOOGLE和相应资料库的帮助识别，但比起
04项来他们花样要少很多。
  04开头的项的处理，是重点，而病毒侵入其中亦有特点
比如喜欢同一文件不同地方驻留两次或以上，喜欢跟MS WINDOWS UPDATE IE 这些关键字靠
边，这种类型就得注意，另外，很多人们很熟悉的进程名，例如SVCHOST，IE，CRSS出现在
04项，那就确定是病毒。处理04项需要经验，也需要防止经验造成的疏忽
  023 项，系统服务，但HIJACKTHIS已经简化了处理，只把非系统默认的服务列出
  03，08，09，016项，我觉得是留给有系统洁癖的人看的，病毒哪会用这些项，太显眼
  至于其他项，一旦出现，一般是需要修复的,可以GOOGLE确认
高手还可以做的是分析那些单纯或者被感染后的病毒文件，找出其技术细节
关于DOS方式（cmd.exe)
  主要作用：一般用在关闭EXPLORER.EXE后,在任务管理器的菜单里去运行它进行文件操作
   通配符 ，举例： *.exe  所有的exe文件
                   a*.*   a开头的所有文件
    命令：
       c:
       转到c 盘,以此类推
       cd \
       进入当前盘根文件夹
       cd \a
       cd \a\b
       分开理解，进入当前盘根文件夹下的a文件夹，或再往下的b文件夹
       cd  a
       cd  b
       以上两行连起来理解，就是先进入A文件夹，当前就是A文件夹，然后再进入B文件夹
    关于CD命令的举例：比如你运行cmd.exe后，一般是处在c:\documnet and
setting\xxx\桌面这个文件夹下，
你要进入系统文件夹c:\windows\system32   可以使用下面的命令
      cd \windows\system32
    或者分几步
       cd \
       cd  windows
       cd system32
      _______________
       dir    |more
       dir /a |more
       dir /od |more
    分开理解：列出当前文件夹的所有文件；列出当前文件夹的所有文件包括隐藏文件,列
出当前文件夹下的所有子文件夹
       _______________
       del 文件名 /a /f
       强制删除文件，不管它是否隐藏，只读
       ren 旧文件名 新文件名
      更改文件名字，一定要把扩展名也写上
       attrib -h -r -s 文件名
      去掉文件的只读，隐藏等属性
    另外很重要的一点是，XP的很多功能尤其是系统方面的，没有全部留给GUI，比如net命
令等等，所以，有空去系统的SYSTEM32下，每个EXE文件都用DOS方式运行一下试试，会发现
很多惊喜，当然要加上 /？这个参数，会给你份比较详细的说明
    其他诸如批处理就得找本DOS手册小小研究研究了,用灵活了，也很得心应手的
编辑书写于(www.goutuizi.com),转载请注明.