手動(dòng)清除計(jì)算機(jī)病毒案例探析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了手動(dòng)清除計(jì)算機(jī)病毒案例探析范文，希望能給你帶來靈感和參考，敬請(qǐng)閱讀。

摘要：計(jì)算機(jī)病毒是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)的代碼，能影響計(jì)算機(jī)使用，能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼（1）。計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性，有些可以通過病毒軟件監(jiān)測(cè)出來，有些隱蔽性很強(qiáng)，具有一定的環(huán)境適應(yīng)性能力，這類病毒處理進(jìn)來通常很困難（2）。由于殺毒軟件更新的滯后性，用常規(guī)的殺毒方法未必能及時(shí)有效，且很容易損壞正常軟件，造成計(jì)算機(jī)無法正常運(yùn)轉(zhuǎn)等損失。正確分析計(jì)算機(jī)的異常行為，查找發(fā)病源，通過手動(dòng)殺毒，也是一種直觀的方法及有價(jià)值的嘗試。

關(guān)鍵詞：計(jì)算機(jī)病毒；殺毒軟件；手動(dòng)殺毒

計(jì)算機(jī)感染病毒后通常會(huì)出現(xiàn)一些容易發(fā)覺的異常表現(xiàn)行為，如計(jì)算機(jī)啟動(dòng)速度慢、程序運(yùn)行卡頓、文件損壞或丟失以及出現(xiàn)間歇性斷網(wǎng)等。通過計(jì)算機(jī)行為的異常表現(xiàn)，然后反推問題的根源，再通過適當(dāng)?shù)臍⒍痉椒ㄟM(jìn)行病毒清除。下面是一個(gè)服務(wù)器出現(xiàn)異常的案例：筆者打開服務(wù)器時(shí)異?？D，打開任務(wù)管理發(fā)現(xiàn)svchost運(yùn)行程序占用CPU資源達(dá)到99%以上，嚴(yán)重影響了服務(wù)器的運(yùn)行，這是病毒的一種典型表現(xiàn)。

1病毒特征分析

1.1Svchost進(jìn)程分析

Svchost.exe是Windows操作系統(tǒng)中的核心進(jìn)程文件，從動(dòng)態(tài)鏈接庫（DynamicLinklibrary，DLL）中加載的通用主機(jī)進(jìn)程,該進(jìn)程是系統(tǒng)運(yùn)行的基礎(chǔ)進(jìn)程之一，且不能被中止(3)。因?yàn)閟vchost.exe是一個(gè)基礎(chǔ)進(jìn)程，可以訪問很多系統(tǒng)資源和文件，所以svchost.exe非常容易被病毒所利用。被病毒利用之后，系統(tǒng)常會(huì)彈出svchost.exe錯(cuò)誤，當(dāng)然svchost.exe病毒也有不少專殺工具。很多木馬程序喜歡偽裝成這個(gè)服務(wù)程序來逃過查殺。為進(jìn)一步確認(rèn)，筆者通過資源管理器觀察了一下這個(gè)進(jìn)程的更多屬性，發(fā)現(xiàn)了更多異常之處。

1.2怪異的命令行參數(shù)

該進(jìn)程是通過一串命令啟動(dòng)起來。具體命令是:svchost-ogulf.moneroocean.stream:10001-uxxxxx–do⁃nate-level=1

1.3可疑的管理員賬戶

經(jīng)查證，進(jìn)程svchost.exe的啟動(dòng)用戶是Administrator，是這臺(tái)計(jì)算機(jī)的超級(jí)管理員。windows默認(rèn)的系統(tǒng)管理員賬號(hào)是預(yù)留出來的，系統(tǒng)默認(rèn)情況下隱藏這個(gè)賬號(hào)，除非在計(jì)算機(jī)上沒有其他賬號(hào)可用。超級(jí)用戶只能有一個(gè)，但進(jìn)一步查看Admin⁃istrator的文件夾，居然有兩個(gè)，這說明服務(wù)器存在病毒，需要我們進(jìn)一步深入分析。

2解密

2.1參數(shù)的含義

參數(shù)中的gulf.moneroocean.stream看起來是個(gè)域名，嘗試訪問之后，發(fā)現(xiàn)是門羅幣的網(wǎng)站，那么該病毒極有可能與門羅幣有關(guān)。Monero中文翻譯成門羅幣，是區(qū)款連比特幣的一種。參數(shù)合起來的意思是:通過gulf.moneroocean.stream服務(wù)器從事挖礦活動(dòng)，將受益放到賬戶為xxxxx的錢包地址當(dāng)中，受益的1%捐贈(zèng)給這個(gè)木馬的開發(fā)人員。

2.2真假賬戶

至于真假賬號(hào)的問題，我們猜想可能是某一個(gè)賬號(hào)采用了特殊字符，而windows文件系統(tǒng)無法正常顯示這個(gè)字符，于是看起來和真正的administrator是一樣的。為了證實(shí)這一點(diǎn)，我們把兩個(gè)文件夾的名字拷貝到notepad++里，果然原形畢露了。有一個(gè)賬戶用的A其實(shí)是希臘字符的A，在windows下看起來和A一模一樣。如果不夠細(xì)心的話，很容易認(rèn)為這個(gè)進(jìn)程就是Administrator起來的，進(jìn)而容易誤判它為系統(tǒng)進(jìn)程，達(dá)到魚目混珠的目的。

3手動(dòng)查殺病毒

手動(dòng)殺毒不會(huì)像殺毒軟件那樣，受病毒庫大小的制約，特別是對(duì)于那些新病毒，手動(dòng)殺毒技術(shù)明顯優(yōu)于使用殺毒軟件進(jìn)行殺毒(5)。其次，手動(dòng)殺毒技術(shù)的人工參與性質(zhì)決定了它擁有充分的靈活性，這是作為計(jì)算機(jī)程序的殺毒軟件無法比擬的。手動(dòng)殺毒技術(shù)能夠跟蹤單個(gè)病毒運(yùn)行、了解病毒習(xí)性，從而在滅殺病毒后完美修復(fù)曾被起破壞的系統(tǒng)。通過分析，可以確認(rèn)這就是門羅幣的挖礦木馬病毒，從任務(wù)管理器將它直接關(guān)掉是很簡單的事，但是難保他憑借什么觸發(fā)器再啟動(dòng)起來，所以需要找到它的啟動(dòng)位置并把它徹底刪除才是根本的解決辦法。手動(dòng)殺毒一般應(yīng)從幾方面入手：1）查內(nèi)存，排查可疑進(jìn)程。目的是為了將病毒從內(nèi)存中清除掉。2）查啟動(dòng)項(xiàng)，刪除病毒啟動(dòng)項(xiàng)。3）通過病毒啟動(dòng)項(xiàng)判斷病毒所在位置，從根本上刪除病毒。4）修復(fù)系統(tǒng)，常見的病毒會(huì)對(duì)系統(tǒng)部分損壞，必須對(duì)損壞的文件或系統(tǒng)進(jìn)行修復(fù)。首先，為了保證操作的流暢性，我們先將資源占用率降下來。通過資源管理器只給這個(gè)進(jìn)程分配1個(gè)CPU，使之最大CPU占用率不超過25%，這樣我們的手動(dòng)操作就變得無比流暢。其次，為了找到這個(gè)可執(zhí)行程序的地址，需要在資源管理器增加路徑一欄PATH，可以獲取路徑。這里采用了Powershell來獲取可執(zhí)行文件的物理地址。通過powershell的命令，我們得出病毒可執(zhí)行文件的物理地址為:c:\windows\fonts\ses\svhost.exe。不僅隱藏在系統(tǒng)目錄，而且在偽裝成windows的字體文件。但是用這個(gè)地址實(shí)際上也是不存在的。用資源管理器找不到這個(gè)地址，直接在地址欄輸入地址也不行。經(jīng)過一番查證，這種情況是因?yàn)椴《疽呀?jīng)被操作系統(tǒng)標(biāo)記為系統(tǒng)文件，并加以隱藏，所以用戶的資源管理器是無法訪問到的。需要使用dos命令來訪問該目錄。果然通過dos命令是可以進(jìn)入到這個(gè)文件夾內(nèi)部，但是卻查看不到任何文件。通過dos，在dir命令后面加個(gè)參數(shù)/ah，就可以讓病毒原形畢露。接下來用copy命令將這個(gè)程序拷貝出來，就可以發(fā)現(xiàn)他的真身了。注意copy命令仍然要增加參數(shù)/h，否則拷貝一樣會(huì)失敗的。隨后就是關(guān)閉進(jìn)程，再使用del命令將病毒刪除即可。至此，此次服務(wù)器中毒事件已完美解決，沒有系統(tǒng)損壞及文件丟失。

4工具軟件的使用

4.1PowerShell的使用方法技巧

隨著微軟對(duì)Win10系統(tǒng)的不斷升級(jí)，內(nèi)置的默認(rèn)命令行工具也逐漸從Cmd遷移到了PowerShell。WindowsPowerShell作為新一代的命令行自動(dòng)化管理工具，因其簡潔高效成為眾多管理員喜愛的工具，也是微軟推薦的管理工具。(6)但須注意，PowerShell與Cmd各自的資源占用情況不同。當(dāng)我們運(yùn)行Cmd時(shí)，大概只需占用不到1M的內(nèi)存，幾乎可以忽略不計(jì)。而使用PowerShell時(shí)，需要占用大約20M的內(nèi)存，兩者幾乎相差40~50倍。因此，如果你的電腦比較老舊，性能較低，使用Cmd無疑可以獲得更高的流暢性。如果電腦配置較高，用PowerShell是一個(gè)不錯(cuò)的選擇，功能強(qiáng)大，效率高。

4.2Notepadd++顯示特殊字符

Notepad++是Windows操作系統(tǒng)下的一套文本編輯器，有完整的中文化接口及支持多國語言編寫的功能(UTF8編碼)。功能比Windows中的Notepad(記事本)強(qiáng)大，除了可以用來制作一般的純文字說明文件，也十分適合編寫計(jì)算機(jī)程序代碼。Notepad++不僅有語法高亮度顯示，也有語法折疊功能，并且支持宏以及擴(kuò)充基本功能的外掛模組。

4.3通過任務(wù)管理器顯示進(jìn)程的參數(shù)，并限制其資源使用量Windows

任務(wù)管理器提供了有關(guān)計(jì)算機(jī)性能的信息，并顯示了計(jì)算機(jī)上所運(yùn)行的程序和進(jìn)程的詳細(xì)信息；如果連接到網(wǎng)絡(luò)，那么還可以查看網(wǎng)絡(luò)狀態(tài)并迅速了解網(wǎng)絡(luò)是如何工作的。它的用戶界面提供了文件、選項(xiàng)、查看、窗口、關(guān)機(jī)、幫助等六大菜單項(xiàng)，其下還有應(yīng)用程序、進(jìn)程、性能、聯(lián)網(wǎng)、用戶等五個(gè)標(biāo)簽頁，窗口底部則是狀態(tài)欄，從這里可以查看到當(dāng)前系統(tǒng)的進(jìn)程數(shù)、CPU使用比率。

5經(jīng)驗(yàn)與收獲

本次殺毒行動(dòng)使我們受益匪淺。不管是知識(shí)運(yùn)用上，還是工具的使用上，都是一次很重要的嘗試，也驗(yàn)證了我們的技術(shù)水平?，F(xiàn)將用到的知識(shí)和工具列出如下:1）Notepadd++顯示特殊字符。利用本命令，將文本內(nèi)容考入Notepad++，就能將真實(shí)的文本內(nèi)容顯示出來。從而識(shí)別出病毒文件。2）通過任務(wù)管理器顯示進(jìn)程的參數(shù)，并限制其資源使用量。通過任務(wù)管理器能的參數(shù)設(shè)置，改變CUP的使用狀況。通過powershell獲取進(jìn)程的可執(zhí)行程序地址。3）通過命令拷貝顯示/操作隱藏的系統(tǒng)文件，有些Dos命令加上特殊的參數(shù)，能起到事半功倍的作用。總而言之，手動(dòng)殺毒技術(shù)需要很高的操作系統(tǒng)功底，對(duì)于網(wǎng)絡(luò)管理員是一種應(yīng)該掌握的技能，對(duì)于一般的使用人員應(yīng)慎重使用。手動(dòng)殺毒能夠深入自動(dòng)殺毒軟件所不能涉及的死角，在殺毒軟件無法發(fā)揮作用或者已經(jīng)被病毒破壞的情況下，及時(shí)發(fā)現(xiàn)病毒并成功獵殺病毒，盡可能保護(hù)計(jì)算機(jī)系統(tǒng)，減少損失，采用應(yīng)急手段的方法之一。基本的計(jì)算機(jī)安全維護(hù)還是要靠防火墻，殺毒軟件，殺木馬軟件來完成保護(hù)。

參考文獻(xiàn)：

[1]賴英旭，劉思宇.計(jì)算機(jī)病毒與防范技術(shù)（第二版）[M].清華大學(xué)出版社,2019.

[2]韓筱卿,王建鋒,鐘瑋.計(jì)算機(jī)病毒分析與防范大全[M].北京:電子工業(yè)出版社,2008.

[4]劉滋,王點(diǎn),王斌.區(qū)塊鏈隱私保護(hù)技術(shù)[J].計(jì)算機(jī)與設(shè)計(jì),2019(6).

[5]蔡劍鋒.基于新理念的殺毒軟件[J].信息安全與通信保密,2006,4(9):142-144.

[6](道·瓊斯)WindowsPowerShell.實(shí)戰(zhàn)指南(第2版)[M].人民郵電出版社.

作者:馬振偉 單位:北京聯(lián)合大學(xué)