查看完整版本: 浅谈如何手动杀毒 － 介绍一点我的杀毒经验

浅谈如何手动杀毒 － 介绍一点我的杀毒经验

[size=3]关于手动杀毒的技术实在是博大精深，需要很多的电脑知识和经验，不是三言两语能够道尽。以前也写过一些这方面的文字，时间久了也没有保存，看到论坛不少人问杀毒的问题，那我就简单说上几点吧。考虑到大多数读者的电脑技术不多，所以我仅仅对手动杀毒的一些重要的环节提点一下，不成体系。细节方面以后有需要，有时间了再说。

简单来说，如果你发现电脑运行不正常了，估计可能中毒，那么首先要做的就是[color=red]切断网络[/color]。然后转到[color=blue]纯dos模式[/color]或[color=darkorchid]安全模式[/color]下查杀。
我个人习惯用[color=red]Ollydbg[/color]和[color=red]冰刃[/color]自己动手杀。OD是动态调试器，破解反汇编利器。冰刃是进程管理工具，Hacker，Cracker常用工具。但要熟练掌握这两个工具的使用对于技术知识不多的人还是比较困难的。
所以，给技术知识不多的朋友一些简单方便的建议: 可以试试[color=magenta]先在安全模式下运行杀毒软件查一遍[/color](注意要升级病毒库，在安全模式下升级)。
但是，一般来说，如果你中标了而杀毒软件还没反应的话，基本上那玩意儿也就形同虚设了。
但对于普通常见的病毒，也是有可能成功查杀的。查杀的主要位置是系统文件夹。包括[color=red]系统区的根目录，Windows目录(特别是system32)，Documents and Settings里的个人配置数据，以及Program Files下的一些可疑程序目录[/color]。

如果你放弃了可怜的杀毒软件，打算手动查杀，那么[b][size=4]首要的任务是查找病毒源[/size][/b]，这一点很重要，否则野火烧不尽，春风吹又生。然而，windows是个大森林，想找到病毒源，对系统文件没有一定程度的了解是比较困难的。给新手的几点建议是:[/size]
[size=3]

[/size][list][*][size=3][color=red]先查注册表启动项[/color]，主要是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
也可以[color=red]运行里输入msconfig[/color]，直接查看并修改启动项的内容。
如果发现可疑项，[color=blue]先不要马上删除，你必须找到病毒源文件的地址，把病毒源kill掉[/color]，那就完事大吉了。如果你怀疑某个陌生文件是否是病毒源，你可以查看这个文件的属性，可以重点查看文件的生成时间，病毒文件一般是刚刚生成的。对于system32里正常的系统文件，一般都有微软的签名。这点也可以作为判断的一个依据。[/size][/list][size=3][/size]
[list][*][size=3]另外一个需要检查的重要地方是[color=red]系统的服务[/color]，很多病毒都是伪装成服务开机启动的。不过，查杀这里需要对系统服务有一定的了解才行。[/size][/list][size=3][/size]
[list][*][size=3]手动查杀一般是针对比较顽固，且比较新的病毒。这类病毒网上可能还没有解决方案，你的杀毒软件已经被病毒查杀了，所系必须手动来杀。而对于一般的病毒来说，查杀方法网上可能有很多了，所以，中毒的时候认真观察病毒的发作症状，了解病毒的属性，然后上网根据症状查找病毒类型和解决方法也不失为一种简单易行的手段。关于病毒的属性，你需要在中毒的情况下观察，可以[color=red]查看内存是否被大量某个进程大量占用，机器运行速度是否很慢，是否伴随异常的运行状况，如：弹出对话框，不能打开注册表等。也可以查看网络传输情况和端口访问情况，木马和服务一般都会开放一些特殊的端口进行暗中活动[/color]。这些蛛丝马迹都是查找病毒源的线索。

另外，告诉大家一个很有用的技巧。一般很多的病毒发作时只影响当前用户，你[color=blue]只需新建一个管理员账号，然后再删除原来的账户就好了。[/color]注意: 删除前把老账户桌面上的文件，我的文档下的文件，还有收藏夹的文件都[color=red]备份[/color]出来。

如果病毒比较顽强(如驱动类的病毒)，很难发现蛛丝马迹，或者你不知如何查杀，那么可以尝试[color=red]修复安装[/color]。修复安装将保留你的个人文件，不过修复后的系统，非绿色软件需要你重新安装。[/size][/list][align=center]

[font=黑体][size=5][color=red][b]大家觉得好就请点击红心支持吧 ～ 谢谢！[/b][/color][/size][/font][/align]

[[i] 本帖最后由 kkaien 于 2008-6-26 14:19 编辑 [/i]]

顺便补充一下，上文提到的是在winxp下的情况。对于vista下的病毒目前开发出来的还很少了，所以暂时不用担心。

杀毒软件生存的空间在于不断更新。如果不更新，那装了和没装对系统安全也没多大区别。
每款软件都有利弊，不要寻求完美，那是不存在的，只要选择一个适合自己的就好了。
例如: 你国产软件用的多，如QQ的安全问题很重要，那么你就选择国产的杀毒软件好了，国外的是不支持的。
不论如何，关键一点是，千万不要完全依靠杀毒软件，那是很脆弱的。你需要掌握一点防御的技术和手杀的技术。要知道，杀毒软件的更新多快，那往往都是事后的弥补措施。每次更新都意味着有一批受害者。谁又能保证你不会是下一个受害者呢～～

没事，多看进程
遇到可疑的进程或者可疑的开机启动项目，就用百度或者GOOGLE找一下，然后试着将杀毒软件升级到最新版本，查杀一下看看，再不行的话就去上论坛找一下相关的帖子，一般的问题都是可以解决的。如果还不行，就再论坛上发帖求救……如果最后还是不行……就干脆重新装个系统，然后装杀毒软件，升级，杀毒～！因为重新装过系统后，很多病毒的一些特殊文件都丢失了，杀毒软件就可以轻易的干掉病毒。

看可疑进程我文中也提到了，冰刃主要就是作这个工作的，而且可以直接找到病毒源的地址。不过要提醒的是，现在很多病毒都是注入式的，在某个重要的进程中如explorer的进程里生成一个线程运行，不会在进程查看器中被发现的。所以，这种方法现在一般也不太好用了。

:excellence  好帖子,,,学习了,再也不怕那些带病毒的AV资源了,:teeth 下下来杀个毒,照样可以看

好帖子,,,学习了,再也不怕那些带病毒的AV资源:excellence :excellence

*** 作者被禁止或删除 内容自动屏蔽 ***

现在有病毒专门感染ghost的镜像，所以建议备份后刻盘保存，可以使用DVD-RW可重复刻录的盘，方便更新。

兄弟，看来我还要加强电脑方面的学习了
我的机子是中毒了，但是我却不知道该怎么办，素手无策i。
感谢发帖！

木马病毒，进程病毒，还是好比较处理的。
最麻烦属于驱动病毒，各个盘下都有，杀起来就比较麻烦了。

太复杂了.我的最爱是瑞星杀毒软件,还有免费的,你说呢

[quote]原帖由 [i]zczyb000[/i] 于 2008-6-28 21:57 发表 [url=http://www.iyin.net/luntan/redirect.php?goto=findpost&pid=17165823&ptid=1162876][img]http://www.iyin.net/luntan/images/common/back.gif[/img][/url]
太复杂了.我的最爱是瑞星杀毒软件,还有免费的,你说呢 [/quote]

关于杀毒软件我不作过多评述。完美的是没有的，市面上的每个杀毒软件都有褒有贬，我的建议是根据自己的需要选择合适的杀毒软件。
不过不论你选择什么杀毒软件，都要确定那个软件有很好的更新率，否则有没有都无所谓啊。这一点我在好几个帖子中都说过的。

个人经验  一旦中毒了 可以使用一键还原，不但清楚病毒 还可以是机器恢复到最佳状态

不错不错LZ写的不错，手动杀毒一定要有一定的丰富的经验！

[quote]原帖由 [i]skyeve[/i] 于 2008-6-29 22:17 发表 [url=http://www.iyin.net/luntan/redirect.php?goto=findpost&pid=17198226&ptid=1162876][img]http://www.iyin.net/luntan/images/common/back.gif[/img][/url]
个人经验  一旦中毒了 可以使用一键还原，不但清楚病毒 还可以是机器恢复到最佳状态 [/quote]

虽然不错，可惜你最近的个人数据和个人配置也丢了。当然，如果你经常更新备份或不在乎也无所谓。
不过要提醒的是，一键还原其实就是ghost备份重装，其ghost镜像文件就在你的硬盘中，虽然据说他有抗毒功能，但如果碰到专门感染这类ghost的病毒，那也难逃一死了。