熊貓燒香之手動查殺

熊貓燒香之手動查殺

　　電腦已經(jīng)走進我們的生活，與我們的生活息息相關(guān)，感覺已經(jīng)離不開電腦與網(wǎng)絡(luò)，對于電腦安全防范，今天小編在這里給大家推薦一些電腦病毒與木馬相關(guān)文章，歡迎大家圍觀參考，想了解更多，請繼續(xù)關(guān)注學(xué)習(xí)啦。

　　一、前言

　　作為本系列研究的開始，我選擇“熊貓燒香”這個病毒為研究對象。之所以選擇這一款病毒，主要是因為它具有一定的代表性。一方面它當(dāng)時造成了極大的影響，使得無論是不是計算機從業(yè)人員，都對其有所耳聞;另一方面是因為這款病毒并沒有多高深的技術(shù)，即便是在當(dāng)時來講，其所采用的技術(shù)手段也是很一般的，利用我們目前掌握的知識，足夠?qū)⑵淦饰?。因此，我相信從這個病毒入手，會讓從前沒有接觸過病毒研究的讀者打消對病毒的恐懼心理，在整個學(xué)習(xí)的過程中開個好頭。

　　本篇文章先研究如何對“熊貓燒香”進行手動查殺。這里所說的手動查殺，主要是指不通過編寫代碼的方式對病毒進行查殺。說白了，基本上就是通過鼠標(biāo)的指指點點，有時再利用幾條DOS命令就能夠?qū)崿F(xiàn)殺毒的工作。但是不可否認的是，采用這種方法是非常粗淺的，往往不能夠?qū)⒉《緩氐撞闅⒏蓛?，但是從學(xué)習(xí)手動查殺病毒起步，有助于我們更好地理解反病毒的工作，從而為以后更加深入的討論打下基礎(chǔ)。

　　需要說明的是，手動查殺病毒并不代表在什么軟件都不使用的前提下對病毒進行查殺，其實利用一些專業(yè)的分析軟件對于我們的查殺病毒的還是很有幫助的，這些工具我會在對不同的病毒的研究中進行講解。另外，出于安全考慮，我的所有研究文章，都不會給大家提供病毒樣本，請大家自行上網(wǎng)尋找，我只會給出我所使用的病毒樣本的基本信息。

　　二、手動查殺病毒流程

　　手動查殺病毒木馬有一套“固定”的流程，總結(jié)如下：

　　1、排查可疑進程。因為病毒往往會創(chuàng)建出來一個或者多個進程，因此我們需要分辨出哪些進程是由病毒所創(chuàng)建，然后刪除可疑進程。

　　2、檢查啟動項。病毒為了實現(xiàn)自啟動，會采用一些方法將自己添加到啟動項中，從而實現(xiàn)自啟動，所以我們需要把啟動項中的病毒清除。

　　3、刪除病毒。在上一步的檢查啟動項中，我們就能夠確定病毒主體的位置，這樣就可以順藤摸瓜，從根本上刪除病毒文件。

　　4、修復(fù)被病毒破壞的文件。這一步一般來說無法直接通過純手工完成，需利用相應(yīng)的軟件，不是我們討論的重點。

　　三、查殺病毒

　　我這里研究的“熊貓燒香”病毒樣本的基本信息如下：

　　MD5碼：87551e33d517442424e586d25a9f8522，

　　Sha-1碼：cbbab396803685d5de593259c9b2fe4b0d967bc7

　　文件大?。?9KB

　　大家在網(wǎng)上搜索到的病毒樣本可能與我的不同，但是基本上都是大同小異的，查殺的核心思想還是一樣的。

　　這里我將病毒樣本拷貝到之前配置好的虛擬機中(注意要備份)，首先打開“任務(wù)管理器”查看一下當(dāng)前進程：

　　因為我的虛擬機系統(tǒng)中沒有安裝任何軟件，是很純凈的，所以一共有18個進程(包含任務(wù)管理器進程)，可以認為這18個進程是系統(tǒng)所必須的。有時我們就需要這樣的一個純凈系統(tǒng)，來與疑似中毒的系統(tǒng)進行進程的對比操作。然后我們運行病毒，再次嘗試打開“任務(wù)管理器”，發(fā)現(xiàn)它剛打開就立刻被關(guān)閉了，說明病毒已經(jīng)對我們的系統(tǒng)產(chǎn)生了影響，而這第一個影響就是使得“任務(wù)管理器”無法打開。不過沒關(guān)系，我們可以在cmd中利用“tasklist”命令進行查看。

　　通過對比可見這里多出了一個名為spoclsv.exe的進程，那么我們可以通過命令“taskkill /f /im 1820”(強制刪除PID值為1820的文件映像)，從而將這個進程結(jié)束掉：

　　這時就可以發(fā)現(xiàn)“任務(wù)管理器”可以被打開了，說明我們工作的第一步是成功的。然后需要對啟動項進行排查，可以在“運行”中輸入“msconfig”：

　　這里很快就能夠鎖定“spoclsv.exe”這一項，我們首先需要記下其文件位置：

　　C:\WINDOWS\system32\drivers\spoclsv.exe

　　然后是注冊表位置：

　　HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　然后將這個啟動項前面的對勾取消，來到注冊表相應(yīng)的位置，將Run中的“spoclsv.exe”刪除，并且刪除病毒文件本體：

　　以上工作完畢后，重啟系統(tǒng)，再次打開“任務(wù)管理器”，可以被正常打開，說明我們的工作是成功的。然后打開“我的電腦”，用鼠標(biāo)右鍵點擊一下各個盤符(我的系統(tǒng)只有C盤)。

　　我們在手動查殺病毒的時候，就應(yīng)該養(yǎng)成一個習(xí)慣，那就是使用右鍵來打開盤符，而不是通過雙擊左鍵的方式。在這里我們可以看到，鼠標(biāo)右鍵菜單中多出來了一個“Auto”項，那么很明顯C盤中存在autorun.inf的文件?？梢栽赾md中查看一下。

　　因為我已經(jīng)確定C盤中存在autorun.inf文件，而使用dir命令卻沒有看到，說明它應(yīng)該是被隱藏了，所以這里要使用“dir /ah”(查看屬性為隱藏的文件和文件夾)命令。而我們也確實發(fā)現(xiàn)了autorun.inf與setup.exe這兩個可疑文件(因為正常文件是不需要隱藏的，特別是EXE文件更加不需要隱藏自己，所以這個setup.exe屬于可疑文件)。因為這兩個可疑程序的屬性是隱藏的，所以這里可以先去掉其隱藏屬性，然后再進行刪除。

　　重啟系統(tǒng)后，所有手動查殺病毒的工作完畢，我們的系統(tǒng)就又恢復(fù)正常了。

　　四、小結(jié)

　　事實上，“熊貓燒香”對于我們的電腦的危害遠不止于此，只是說在不使用任何輔助工具的前提下，我們能做的基本上就是這些了。對于“熊貓燒香”病毒的手動查殺部分就到這里，在以后對于別的病毒的研究中，由于它們比“熊貓”要強大，我們不得不使用一些專業(yè)工具作為輔助。也希望大家能夠親自去嘗試，勤動手，由這里開始，不再懼怕病毒。