科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道在命令行下检测和清除恶意软件(下)

在命令行下检测和清除恶意软件(下)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

自从恶意软件背后的黑幕公诸于众之后,越来越多的安全厂商加入围剿恶意软件的战场,但恶意软件同时也在不断进化,许多新技术应用到恶意软件的开发中,恶意软件对查杀的抵抗性越来越强。

作者:论坛整理 来源:zdnet网络安全 2008年1月22日

关键字: 过滤防护 恶意软件 命令行

  • 评论
  • 分享微博
  • 分享邮件
从这个木马程序会隐藏网络连接和自身文件的特性来看,可以确定样本使用了Rootkit技术,常用的恶意软件工具不一定能清除它。接下去笔者将继续给大家演示如何在命令行下清除该木马程序:
1、因为木马程序安装之后生成一个自启动服务,首先要做的就是停止并禁用该服务,依然使用Psservice:

图7

Psservicestopzzxrubbr停止可疑服务
Psserviceconfigzzxrubbrdisabled禁用可疑服务
使用psservice的好处是即使恶意软件禁用了微软控制台mmc,用户依然可以通过命令行下的操作控制服务,同时对一些不支持用户交互操作的服务(大部分恶意软件的服务属于此类)也可以管理
2、重新启动系统之后,我们可以用dir来再次确认可疑服务的可执行文件是否存在:
图8

可以看到3个和可疑服务同名的文件,但扩展名不同的文件。
3、好了,木马的文件已经全部找到,有三种方法可以清除:
1)删除法,适合于恶意程序在内存中的进程已经停止的场合,使用系统自带的删除命令del:
图9
2)重命名法,适用于目标恶意软件无法删除、或内存中无法清除恶意软件进程的场合,有时需要和系统另外一个命令attrib(命令行:attrib–h–s–rtarget)配合使用,改名之后需要重启。重启后目标恶意软件因为文件名已经改变而无法启动,然后用户手动删除恶意软件的可执行文件即可:
图10

3)修改权限法,是恶意软件清除操作中最后也是最有效的一招,多用于无法删除和重命名目标恶意软件的场合,使用修改权限法,还可以对目标恶意软件进行免疫。重启后,目标恶意软件因为没有执行权限无法启动,达到清除目的:
图11

Cacls命令是Windows自带的命令行下文件权限管理工具,/d参数为拒绝指定用户对指定文件的访问,在恶意软件清除操作中,通常拒绝掉system和administrators用户即可。
经过以上步骤,一个带Rootkit功能的恶意软件样本已经被检测并清除。其他类型的恶意软件清除的步骤也大同小异,用户需要了解的是常见恶意软件的可执行文件存放的地点,还有建议用户在安全模式下进行清除。举另外的例子,比如常见的使用Autorun.inf的病毒,在系统命令行下杀掉病毒进程之后,并在各个分区根目录下删掉autorun.inf和病毒可执行文件、再清理系统目录即可清除。总之,命令行下进行恶意软件的检测和清除并不复杂,用户在图形界面下如果遇上清除不了的顽固恶意软件,可以尝试使用本文介绍的方法进行清除。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章