手工檢測電腦病毒的方法
近期,病毒作者耐不住寂寞,紛紛發表新的病毒,我們要增強我們自己的防病毒意識。雖然現在殺毒軟件做的非常不錯,但對某些病毒的更新速度還需要改善,這就需要我們來自己動手檢測未知病毒。下面下面是學習啦小編給大家帶來的一些手工檢測電腦病毒的方法,希望對你有幫助。
手工檢測電腦病毒的方法:
第一、全面檢測計算機
對于新手,手動全面檢測計算機是非常困難的,因為需要打開注冊表,一項一項去檢查,那我們就使用簡單的方法——運用
SRE這個軟件,SRE全名SystemRepair Engineer。打開軟件后,點擊軟件左邊的智能掃描,再點擊“掃描”,就可以對計算機進行較為全面的掃描了。
對于不想自己分析的新手,請把日志貼到論壇上,會有人幫你解決。
第二、分析掃描日志
這個是最關鍵的一步,對于很多新手,選擇來論壇發布日志,讓有經驗的高手來分析,這樣省時省力,但是如果大家學會分析日志,那么就可以有更多的人幫助新來的人,減少版主和論壇高人的勞動。分析日志學習起來很難,因為需要不斷積累經驗,在這里只介紹簡單的方法
1、了解日志
SRE日志分別掃描了注冊表啟動項、啟動文件夾、服務、驅動、瀏覽器加載項、進程、文件關聯、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我會重點介紹一些檢測時常用的項目
2、看進程
看進程,看什么呢?看的就是,是否有除系統基本進程和軟件產生進程外的其他進程,尤其注意進程路徑是c:\windows\和C:\windows\system32\下的文件,可能有些新手不知道那些是系統基本進程,那些是軟件安裝的進程,這就是需要經驗積累的地方。
對于系統進程加載的DLL,這個需要具體分析,很多盜號木馬運用了這個方式,那就要經過下面三步去完善。
3.看啟動項(包括注冊表啟動項、啟動文件夾、服務、驅動)
看了進程以后,對那些是可疑文件有了一定了解后,就可以來看啟動項目。SRE這個日志非常適合新手使用,因為它已經在服務和驅動這兩個地方把微軟簽名的啟動項隱藏,對于服務,驅動需要經驗才能動
4、對比
對比所有可疑啟動項目和所有可疑進程,是否可以一一對應,如果不可以,那么就要看是哪里出現的問題,就對那里進行進一步的研究。看看是否是因為病毒的運行方式或者保護方式問題,或者有其他病毒的存在。當然,原因不只這一些,還是需要大家積累經驗。實踐是根本。
5、看其余項目
第一個要看的就是autorun.inf這個項目,如果某個盤有此文件,或者每個盤都有,那么就說明你的計算機中了病毒,處理方法很多,這里介紹幾種。當然處理的時候,要保證系統中沒有病毒運行了。
第一種:利用WinRAR。具體方法:打開所感染的硬盤,刪除對應文件。說明不會感染計算機,方便實用。
第二種:利用資源管理器。具體方法:在打開顯示隱藏文件和系統文件的前提下,利用資源管理器,在資源管理器左面選擇感染的盤符,右面刪除對應文件。說明對于某些病毒又感染的危險。
第三種:利用命令提示符。具體方法利用了
DOS
命令,具體命令如下:
Attrib –s –h –r –a X:\autorun.inf
Attrib –s –h –r –a X:\對應啟動文件(EXE或者PIF)
Del X:\autorun.inf
Del X:\ 對應啟動文件(EXE或者PIF)
其中X代表感染的盤符。
說明可以刪除徹底,需要懂一些DOS命令和CMD的使用方法。
第四種:利用冰刃。具體方法打開冰刃后,點擊下面的文件,后面的處理如同資源管理器。說明刪除徹底,建議新手使用。
第二個要看的就是HOSTS文件,這里的看法是按照行,日志前面寫的是網址對應的DNS解析的IP地址,如果所有IP地址都是同一個,或者和其他計算機解析的IP地址不同,那么就有問題,最主要的還是同一個或者同為127.0.0.1。處理方法很簡單,利用記事本打開Host這個文件,路經在C:\WINDOWS\system32\drivers\etc,這個處理最好是在病毒刪除以后。
第三、處理所有可以文件(清除病毒文件)
這個是最關鍵的一步,這一步就要刪除病毒了,看到論壇以前有人光用SRE這類日志掃描程序刪除,就非常氣憤,因為這個程序無法完全解決問題。現在先來說明一下原因,第一,若病毒運行,病毒會不時的自動檢測啟動項是否被修改,你用SRE刪除以后,病毒會立刻檢測到,自動添加,當重新啟動的時候就會重新回來,解決方法倒是有一個,這個可以在安全模式下進行,但是有部分病毒在安全模式下照樣會運行,下一點就說明了這個。第二,有很多病毒選擇了Winlogon啟動或者初始化動態鏈接庫啟動再或者驅動啟動,這三類啟動有一個共同特點,就是病毒在安全模式下也會運行,那么SRE對其根本沒有效果。那我們怎么進行處理呢,最可靠的方法還是使用冰刃(IceSword)。
手工檢測電腦病毒的方法
