首页 博士论文 手动清除计算机病毒案例探析

手动清除计算机病毒案例探析

手动清除计算机病毒案例探析 摘要:计算机病毒是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码(1)。计算机病毒具有…

手动清除计算机病毒案例探析

摘要:计算机病毒是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码(1)。计算机病毒具有很强的隐蔽性,有些可以通过病毒软件监测出来,有些隐蔽性很强,具有一定的环境适应性能力,这类病毒处理进来通常很困难(2)。由于杀毒软件更新的滞后性,用常规的杀毒方法未必能及时有效,且很容易损坏正常软件,造成计算机无法正常运转等损失。正确分析计算机的异常行为,查找发病源,通过手动杀毒,也是一种直观的方法及有价值的尝试。

关键词:计算机病毒;杀毒软件;手动杀毒

计算机感染病毒后通常会出现一些容易发觉的异常表现行为,如计算机启动速度慢、程序运行卡顿、文件损坏或丢失以及出现间歇性断网等。通过计算机行为的异常表现,然后反推问题的根源,再通过适当的杀毒方法进行病毒清除。下面是一个服务器出现异常的案例:笔者打开服务器时异常卡顿,打开任务管理发现svchost运行程序占用CPU资源达到99%以上,严重影响了服务器的运行,这是病毒的一种典型表现。

1病毒特征分析

1.1Svchost进程分析

Svchost.exe是Windows操作系统中的核心进程文件,从动态链接库(DynamicLinklibrary,DLL)中加载的通用主机进程,该进程是系统运行的基础进程之一,且不能被中止(3)。因为svchost.exe是一个基础进程,可以访问很多系统资源和文件,所以svchost.exe非常容易被病毒所利用。被病毒利用之后,系统常会弹出svchost.exe错误,当然svchost.exe病毒也有不少专杀工具。很多木马程序喜欢伪装成这个服务程序来逃过查杀。为进一步确认,笔者通过资源管理器观察了一下这个进程的更多属性,发现了更多异常之处。

1.2怪异的命令行参数

该进程是通过一串命令启动起来。具体命令是:svchost-ogulf.moneroocean.stream:10001-uxxxxx–do⁃nate-level=1

1.3可疑的管理员账户

经查证,进程svchost.exe的启动用户是Administrator,是这台计算机的超级管理员。windows默认的系统管理员账号是预留出来的,系统默认情况下隐藏这个账号,除非在计算机上没有其他账号可用。超级用户只能有一个,但进一步查看Admin⁃istrator的文件夹,居然有两个,这说明服务器存在病毒,需要我们进一步深入分析。

2解密

2.1参数的含义

参数中的gulf.moneroocean.stream看起来是个域名,尝试访问之后,发现是门罗币的网站,那么该病毒极有可能与门罗币有关。Monero中文翻译成门罗币,是区款连比特币的一种。参数合起来的意思是:通过gulf.moneroocean.stream服务器从事挖矿活动,将受益放到账户为xxxxx的钱包地址当中,受益的1%捐赠给这个木马的开发人员。

2.2真假账户

至于真假账号的问题,我们猜想可能是某一个账号采用了特殊字符,而windows文件系统无法正常显示这个字符,于是看起来和真正的administrator是一样的。为了证实这一点,我们把两个文件夹的名字拷贝到notepad++里,果然原形毕露了。有一个账户用的A其实是希腊字符的A,在windows下看起来和A一模一样。如果不够细心的话,很容易认为这个进程就是Administrator起来的,进而容易误判它为系统进程,达到鱼目混珠的目的。

3手动查杀病毒

手动杀毒不会像杀毒软件那样,受病毒库大小的制约,特别是对于那些新病毒,手动杀毒技术明显优于使用杀毒软件进行杀毒(5)。其次,手动杀毒技术的人工参与性质决定了它拥有充分的灵活性,这是作为计算机程序的杀毒软件无法比拟的。手动杀毒技术能够跟踪单个病毒运行、了解病毒习性,从而在灭杀病毒后完美修复曾被起破坏的系统。通过分析,可以确认这就是门罗币的挖矿木马病毒,从任务管理器将它直接关掉是很简单的事,但是难保他凭借什么触发器再启动起来,所以需要找到它的启动位置并把它彻底删除才是根本的解决办法。手动杀毒一般应从几方面入手:1)查内存,排查可疑进程。目的是为了将病毒从内存中清除掉。2)查启动项,删除病毒启动项。3)通过病毒启动项判断病毒所在位置,从根本上删除病毒。4)修复系统,常见的病毒会对系统部分损坏,必须对损坏的文件或系统进行修复。首先,为了保证操作的流畅性,我们先将资源占用率降下来。通过资源管理器只给这个进程分配1个CPU,使之最大CPU占用率不超过25%,这样我们的手动操作就变得无比流畅。其次,为了找到这个可执行程序的地址,需要在资源管理器增加路径一栏PATH,可以获取路径。这里采用了Powershell来获取可执行文件的物理地址。通过powershell的命令,我们得出病毒可执行文件的物理地址为:c:\windows\fonts\ses\svhost.exe。不仅隐藏在系统目录,而且在伪装成windows的字体文件。但是用这个地址实际上也是不存在的。用资源管理器找不到这个地址,直接在地址栏输入地址也不行。经过一番查证,这种情况是因为病毒已经被操作系统标记为系统文件,并加以隐藏,所以用户的资源管理器是无法访问到的。需要使用dos命令来访问该目录。果然通过dos命令是可以进入到这个文件夹内部,但是却查看不到任何文件。通过dos,在dir命令后面加个参数/ah,就可以让病毒原形毕露。接下来用copy命令将这个程序拷贝出来,就可以发现他的真身了。注意copy命令仍然要增加参数/h,否则拷贝一样会失败的。随后就是关闭进程,再使用del命令将病毒删除即可。至此,此次服务器中毒事件已完美解决,没有系统损坏及文件丢失。

4工具软件的使用

4.1PowerShell的使用方法技巧

随着微软对Win10系统的不断升级,内置的默认命令行工具也逐渐从Cmd迁移到了PowerShell。WindowsPowerShell作为新一代的命令行自动化管理工具,因其简洁高效成为众多管理员喜爱的工具,也是微软推荐的管理工具。(6)但须注意,PowerShell与Cmd各自的资源占用情况不同。当我们运行Cmd时,大概只需占用不到1M的内存,几乎可以忽略不计。而使用PowerShell时,需要占用大约20M的内存,两者几乎相差40~50倍。因此,如果你的电脑比较老旧,性能较低,使用Cmd无疑可以获得更高的流畅性。如果电脑配置较高,用PowerShell是一个不错的选择,功能强大,效率高。

4.2Notepadd++显示特殊字符

Notepad++是Windows操作系统下的一套文本编辑器,有完整的中文化接口及支持多国语言编写的功能(UTF8编码)。功能比Windows中的Notepad(记事本)强大,除了可以用来制作一般的纯文字说明文件,也十分适合编写计算机程序代码。Notepad++不仅有语法高亮度显示,也有语法折叠功能,并且支持宏以及扩充基本功能的外挂模组。

4.3通过任务管理器显示进程的参数,并限制其资源使用量Windows

任务管理器提供了有关计算机性能的信息,并显示了计算机上所运行的程序和进程的详细信息;如果连接到网络,那么还可以查看网络状态并迅速了解网络是如何工作的。它的用户界面提供了文件、选项、查看、窗口、关机、帮助等六大菜单项,其下还有应用程序、进程、性能、联网、用户等五个标签页,窗口底部则是状态栏,从这里可以查看到当前系统的进程数、CPU使用比率。

5经验与收获

本次杀毒行动使我们受益匪浅。不管是知识运用上,还是工具的使用上,都是一次很重要的尝试,也验证了我们的技术水平。现将用到的知识和工具列出如下:1)Notepadd++显示特殊字符。利用本命令,将文本内容考入Notepad++,就能将真实的文本内容显示出来。从而识别出病毒文件。2)通过任务管理器显示进程的参数,并限制其资源使用量。通过任务管理器能的参数设置,改变CUP的使用状况。通过powershell获取进程的可执行程序地址。3)通过命令拷贝显示/操作隐藏的系统文件,有些Dos命令加上特殊的参数,能起到事半功倍的作用。总而言之,手动杀毒技术需要很高的操作系统功底,对于网络管理员是一种应该掌握的技能,对于一般的使用人员应慎重使用。手动杀毒能够深入自动杀毒软件所不能涉及的死角,在杀毒软件无法发挥作用或者已经被病毒破坏的情况下,及时发现病毒并成功猎杀病毒,尽可能保护计算机系统,减少损失,采用应急手段的方法之一。基本的计算机安全维护还是要靠防火墙,杀毒软件,杀木马软件来完成保护。

参考文献:

[1]赖英旭,刘思宇.计算机病毒与防范技术(第二版)[M].清华大学出版社,2019.

[2]韩筱卿,王建锋,钟玮.计算机病毒分析与防范大全[M].北京:电子工业出版社,2008.

[4]刘滋,王点,王斌.区块链隐私保护技术[J].计算机与设计,2019(6).

[5]蔡剑锋.基于新理念的杀毒软件[J].信息安全与通信保密,2006,4(9):142-144.

[6](道·琼斯)WindowsPowerShell.实战指南(第2版)[M].人民邮电出版社.

 

本文来自网络,不代表论文库立场。转载请注明出处: http://www.lunwenku.com/boshi/1755/
上一篇
下一篇

作者: 论文库

为您推荐

发表评论

您的电子邮箱地址不会被公开。

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

返回顶部