查找木马，病毒的常见方法

所有跟贴·加跟贴·新语丝读书论坛

送交者: 阳明于 2007-06-16, 07:55:29:

1. 用Hijack This扫描
a)BHO
b)注册表Run自动启动项
c)Global Startup

2. 用ProcessExplorer扫描当前进程
a)注意用svchost.exe启动的
b)注意用explorer.exe启动的

3. services里的自动运行进程

4. 用Icesword强制删除文件，注册表
a)推荐Icesword，因为他运行在ring3

所有跟贴:

这个icesword到哪里下载？ (无内容) - 银杏村 (0 bytes) 2007-06-16, 20:32:05 (147103)
把系统装好ghost备份，有病毒只用20分钟就可恢复系统。 (无内容) - 老杨同志 (0 bytes) 2007-06-16, 10:57:23 (146971)
- 不止２０分钟，因为Ｗｉｎｄｏｗｓ补丁不断，打补丁时往往已经装了不少程序。 - 阳明 (78 bytes) 2007-06-16, 11:29:13 (146980)
  - 往往忘打一个补丁，ＢＨＯ就进来了 (无内容) - 阳明 (0 bytes) 2007-06-16, 11:30:28 (146981)
我根本就不用WINDOWS。我还没发现LINUX上有病毒。 (无内容) - 说一说 (0 bytes) 2007-06-16, 09:52:20 (146963)
我的办法 - Yush (2375 bytes) 2007-06-16, 09:21:15 (146959)
- 木马自我运行及保护的机理 - 阳明 (630 bytes) 2007-06-16, 11:23:40 (146977)
  - 别在这污染环境了。先回去学基本功，然后学习Autoruns。 - rustybullet (120 bytes) 2007-06-16, 11:54:54 (146987)
    - Icesword是先drop driver运行ring0，再调ring3，但你要是细看，他走的是CIH路子。 - 阳明 (132 bytes) 2007-06-16, 12:15:02 (146991)
      - 真正要保护Icesword，还要在SSM里设置Icesword保留于内存 (无内容) - 阳明 (0 bytes) 2007-06-16, 12:29:39 (146995)
      - 别现了。CIH在NT系统上根本跑不起来。wdm只是新版NT Driver接口，不是某个软件。 (无内容) - rustybullet (0 bytes) 2007-06-16, 12:25:45 (146994)
        
        Icesword是自带低层函数的，而不是单单调Windows的，就是这个思路。 (无内容) - 阳明 (0 bytes) 2007-06-16, 12:35:48 (146998)
Hijack This+icesword理论上病毒都能够搞定 (无内容) - 组胚 (0 bytes) 2007-06-16, 08:46:44 (146955)

加跟贴