科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道强势出击 镇压网络病毒“拒捕”高招

强势出击 镇压网络病毒“拒捕”高招

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

为了“躲避”杀毒软件的剿杀,许多木马或病毒程序使出各式各样的“防杀”本领,主动出击来破坏杀毒软件的运行环境,甚至直接破坏杀毒软件本身,以便实现让用户无法“围剿”病毒的目的。

作者:论坛整理 来源:zdnet网络安全 2008年3月20日

关键字: 病毒 防病毒 病毒防范 反病毒 木马 杀毒软件

  • 评论
  • 分享微博
  • 分享邮件

为了“躲避”杀毒软件的剿杀,许多木马或病毒程序使出各式各样的“防杀”本领,主动出击来破坏杀毒软件的运行环境,甚至直接破坏杀毒软件本身,以便实现让用户无法“围剿”病毒的目的。

面对木马或病毒的疯狂“反攻”,我们难道就只能眼睁睁地看着手头的杀毒软件毫无用武之地吗?答案是否定的!我们可以充分发挥自己的聪明才智,自己动手、多方出击,来应对木马或病毒程序的“防杀”功能,以便让杀毒软件恢复运行常态!

1、乔装改扮,欺骗木马病毒

我们知道,现在许多木马、病毒程序都是通过侦察系统中的进程名,来识别当前计算机系统中是否安装了杀毒软件,一旦发现系统中的某个进行名与常用杀毒软件的主文件名完全相同的话,这些木马、病毒程序就会智能地启用“防杀”功能,来破坏杀毒软件的运行环境,甚至直接破坏它们的程序本身。

为了“避开”木马、杀毒软件的侦察、识别,我们可以通过乔装改扮杀毒软件主运行文件名称的方法,来欺骗木马、病毒程序,从而实现正常运行杀毒软件、最终消除木马病毒的目的。比方说,本地计算机中事先安装了金山毒霸2007杀毒软件,该程序的主运行文件名称一般为“kav32.exe”,当该杀毒软件在系统中正常运行后,系统的进程列表中会相应地产生一个名为“kav32.exe”的系统进程;根据这一特性,许多木马、杀毒程序往往都是先判断系统中是否存在“kav32.exe”进程,一旦发现该系统进程存在的话,这些木马、杀毒程序才会自动启用“防杀”功能。

因此,我们可以主动出击,事先将金山毒霸2007的主运行文件名称修改成一个木马、病毒不容易猜着的长文件名(如图1所示),那样一来就能轻松地将木马、病毒骗过,从而达到正常运行杀毒软件的目的了。

图1

当然,为稳妥起见,我们最好在使用杀毒软件查杀病毒或木马程序之前,先通过“360安全卫士”等专业程序,来将本地计算机中的注册表、IE浏览器以及其他相关项目全部恢复正常,之后再运行杀毒软件进行病毒查杀操作。

2、启动服务,恢复安全中心

为了提高系统的安全防范性能,Windows XPSP2操作系统特意为我们普通用户提供了安全中心功能(如图2所示),通过该功能我们能够及时知道当前计算机系统是否存在安全危险,因此有了安全中心的“保驾护航”,木马或病毒程序想将自己隐藏在本地计算机系统中就非常困难了。为了逃避计算机系统安全中心的“监视”,许多木马、杀毒程序的“防杀”功能往往会主动破坏安全中心的自动“监视”本领,从而实现在悄无声息中攻击计算机的目的。

事实上,计算机系统的安全中心之所以无法正常发挥作用,是因为木马、病毒程序的“防杀”功能强行禁用了本地系统的相关服务,为此我们可以按照如下步骤,把与安全中心相关的系统服务重新启动起来,就能及时检测到木马或病毒程序的入侵痕迹了:

图2

首先以系统管理员身份登录进Windows XP SP2计算机系统,并在该系统桌面中用鼠标右键单击“我的电脑”图标,从弹出的快捷菜单中执行“管理”命令,打开本地系统的计算机管理窗口;

其次在该管理窗口的左侧显示区域,用鼠标逐一展开“服务和应用程序”/“服务”分支,在对应“服务”选项的右侧列表区域中,双击其中的“Windows Security Center”项目,打开该服务的属性设置对话框;

在该对话框的“常规”标签页面中,我们可以清楚地看到目标服务当前的运行状态。一旦发现“Windows Security Center”服务被停止运行的话,我们必须先单击“启动”按钮将该服务先启用起来,之后再将该服务的“启动类型”设置为“自动”,最后单击“确定”按钮,如此一来“Windows Security Center”服务又能正常运行了。

3、借用外力,揪出隐藏黑手

不少木马或病毒程序自身都带有强行抑制杀毒软件正常运行的病毒进程,如果我们能够“揪”出隐藏在木马或病毒程序背后的黑手,将这些抑制杀毒软件运行的病毒进程关闭掉的话,那么杀毒软件就能恢复正常运行了。为了有效地“揪”出隐藏黑手,我们可以借用一款名为ICESword的专用工具,来关闭抑制杀毒软件运行的病毒进程,下面就是该方法的具体操作步骤:

首先从网上下载并安装好ICESword外力程序,在弹出的主界面左侧列表区域中单击一下“监视进程终止”工具按钮,来尝试将本地计算机系统中的一切监视进程全部关闭掉,然后再试着启用杀毒软件,看看它能否正常工作。要是杀毒软件还是无法正常启用的话,我们不妨在主界面的右侧列表区域,用鼠标右键单击一下空白位置,并从弹出的快捷菜单中单击“刷新列表”命令,相信这么一来抑制杀毒软件运行的病毒进程就能显示出来了;

其次单击主界面左侧列表区域中的“进程”标签,并在该标签页面中将前面找到的病毒进程强行关闭掉;为了防止病毒进程还有关联进程存在,我们还需要单击“监视进程创建”按钮,查找出最新创建成功的工作进程,然后借助“调用方进程映像名”查看功能,“揪”出与病毒进程相关联的一些工作进程;

再返回到“进程”标签页面中,借助Ctrl功能键一次性将刚才发现的所有关联进程全部选中并强行关闭掉,如此一来杀毒软件就可能正常运行了。

4、双管齐下,恢复安全模式

大家知道,以前木马或病毒程序是无法在系统的安全模式下运行的,然而现在的一些木马、病毒程序不但能够在安全模式上正常运行,而且还能破坏系统的安全模式,让用户无法进入到安全模式运行杀毒软件,来彻底地查杀木马、病毒程序。

为了恢复系统的安全模式,并让系统能够正常地运行杀毒软件,我们可以使用ICESword程序和System Repair Engineer程序进行双管齐下,让System Repair Engineer程序先恢复安全模式的正常工作状态,再使用ICESword程序斩断抑制杀毒软件运行的背后黑手,最后我们就能重新进入系统安全模式,来运行杀毒软件并进行彻底地查杀病毒操作了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章