找回密碼註冊
作者: admin
查看: 144695
回復: 0

精華與得獎推薦: 圖檔下載

文章標籤:

文章分享:

+ MORE精選文章:

+ MORE活動推薦:

GEX PRO 850W玩家開箱體驗分享活動

卓越性能,超值選擇 GEX PRO 系列通過 80 PLUS 金牌認證,實現高達 ...

體驗極速WiFi 7!MSI Roamii BE Lite Mesh

第一名 guanrung1110 https://www.xfastest.com/thread-293988-1- ...

極致效能 為遊戲而生 990 PRO SSD 玩家體驗

[*]極致效能固態硬碟 [*]PCIe 4.0 速度大幅提升 [*]優化的電源效率 ...

Micron Crucial PRO D5 6400超頻版 玩家開

解銷更快的遊戲速度! 利用低延遲遊戲記憶體的強大功能 利用 Cruci ...

打印 上一主題 下一主題

基本的病毒分析與手動解除方式

[複製鏈接]| 回復
跳轉到指定樓層
1#
admin 發表於 2017-5-15 23:07:40 | 只看該作者 |只看大圖 回帖獎勵 |倒序瀏覽 |閱讀模式
前言
  為什麼這次的次WannaCry災情會如此嚴重呢?,「3C達人」難責其究,身為大眾媒體理應提供正確資訊,而非片面資訊「更新容易出包,沒事不要更新」
來源,又沒有給予用戶正確且完整資訊,如「不更新會怎樣?」、「什麼時候可以更新?」造成用戶恐慌不敢更新;加上多數用戶抱著「病毒不甘我的事」,「平常都沒亂點網站/郵件不會中毒」等僥倖心態與專業知識不足,多方因數助長這次的次WannaCry之亂。
  追究過去事沒有意義,提供給使用者正確且實用的資訊才是我的本意,本篇內容我會簡單介紹病毒的分類、攻擊模式、感染途徑、簡單的自我檢測與移除方法,希望各位不會中毒,不不幸中毒了也希望本篇內容能對各位有幫助。

電腦病毒在我自己的分類可以分為三種
  • 木馬型:潛伏在用戶電腦內,竊取個資、密碼與一些見不得人的東西qq
  • 病毒型:損壞作業系統、刪除檔案、綁架首頁、桌面,屬於損人不利己型,現在比較少見!
  • 跳板型:用你的電腦挖礦或當跳板出去做一些非法的事情,但警察是找上你qq


攻擊型態可以分成兩類
  • 主動攻擊型:這次的主角WannaCry就是主動攻擊型,先用各種手段如掃port、社交工程、網頁點擊多種途徑感染,染毒電腦會掃描區域網路內的IP,如果有漏洞,就會群聚感染,加密,傳染性極強。
  • 社交工程型:使用一些聳動標題的垃圾信、引人注目的網頁標題、或您已經中獎點取換獎品之類的方式感染電腦。
   
  防範方式不外乎是更新作業系統、網路設備、不亂開來入不明網站/信件等。


如何判斷是否中毒
  針對不同類型的病毒來個別講述其特色,但辨識方法大同小異。
  • 木馬型:CPU與記憶體使用量比較小,需要從管理員與開機常駐偵測
  • 病毒型:CPU使用率容易暴增,使用者較容易發現,較先進的病毒會有負載平衡,讓使用者感覺不出來特別異常,這種類型的病毒就只能從工作管理員偵測。
  • 跳板型:主要特徵會有異常流量網路封包,但不隨時發作,所以需要從開機常駐判斷


Windows內建的監控程式
  三種類型病毒特徵都會有不正常的開機常駐、異常的CPU / IO / 記憶體使用量,下面會逐一教大家如何判斷電腦是否中毒,下面先教大家如不借用第三方軟體來確認是否中毒。

工作管理員(Taskmgr.exe)  
  觀察執行路徑與命令是否異常
1、啟動方式:開始工具列→啟動工作管理員;快速鍵Ctrl + Shift + Esc



2、Windws 7 (檢視→選擇欄位);Windwos 10 (詳細資料→右鍵→選擇欄位)




Windows 10 設置方式

3、勾選「命令列」。


4、設定完成工作管理員,可以看到處理序工作目錄,方便識別該程式是否異常。

Windows 7 工作管理員


Windows 10 工作管理員

5、調整完後,先切CPU使用率排序,看一下最高CPU使用的程序有無異常,這邊舉例deluge來觀察此檔案是否異常,對例deluge右鍵內容。


6、搭配Google搜尋檔案內容,就可以知道這隻程式是不是病毒了,當然也有偽裝的可能,後面再講怎麼拆穿病毒的偽裝。


系統設定(msconfig.exe)
  全部的開機常駐程式都會在這邊顯示,從這邊可以觀察開機常駐是否異常。
1、Windows 7 啟動方式:開始→輸入「msconfig」→啟動


2、從啟動這邊可以看到全部的開機常駐程式,如果看到不認識的程式一樣搭配Google搜尋就可以知道這程式是否屬於病毒。

Windows 7 開機「常駐程式」設定畫面


Windws 10 開機「常駐程式」設定畫面

資源監視器(perfmon.exe)
  可以觀察程式的CPU/記憶體使用率、程式位置與IO、網路封包等讀寫狀態。
1、開啟工作管理員→效能→資源監視器 (Windwos 7、10操作相同)



2、資源瀏覽器將CPU與磁碟設定使用率高在上,可以觀察一般的綁架病毒或攻擊型病毒


3、如果是木馬或是其跳板病毒可以從網路來觀察異常程式



如何判定病毒
  如何判斷病毒,這不外乎事經驗的累積與對於Windows的作業程序了解。我自己在判斷是否為病毒有兩個很重要的指標。
  • 病毒行為模式:監看CPU / IO / 記憶體使用率,只要有異常消耗資源的程式,就原形畢露了。
  • 病毒路徑與檔名:遇到會自動平衡資源消耗或不吃資源病毒 / 木馬,監看硬體使用率不一定看得出端倪,就需要借助「開機常駐」或工作管理員的「執行命令」來判斷。

資源監視器 / 工作管理員
  • 攻擊型病毒會吃較多CPU、可以從工作管理員輕易的抓到病毒行為。
  • 加密型病毒也會吃很多CPU與I/O讀寫,可從資源監視器的磁碟與CPU使用率判斷。
  • 跳板/木馬型病毒會送出很多異常封包,可以從資源監視器的網路,「具有網路活動的處理程序」來判斷。
  ※使用技巧,可以勾選執行緒名稱,詳細資料就僅更新選定之執行緒


檔案名稱 / 開機常駐
  一些病毒會使用「隨機產生路徑」讓懶人殺毒包無法輕易刪除病毒,但手動刪除來看反而刺眼,非常容易被發現。
  從「系統設定→啟動」可以看到開機所有的常駐程式,針對檔案名稱或資料夾名稱來過濾,沒有一個程式開發者會無意義名稱來命名,如果看到這種毫無意義的命名方式幾乎99%都是病毒,可以直接刪除,有沒看過或可疑的程式名稱可以搭配google來驗明正身


個人經驗模式判斷但不一定適合每一個病毒(參考用)
  為了快速大量傳輸,病毒都會盡量把檔案設計得很小,絕大部分病毒檔案都小於1MB,且由多個很詭異檔案名稱組成,分散在多個資料夾,且都沒有圖示icon


抓的病毒是用服務或是外部指令執行
  如果用Windows服務執行,從工作管理員/資源監視器是看不到異常的資源使用率,如上一次的Eyny加密病毒」,藉由Windows PowerShell來執行,這從資源監視器來看就只是一個微軟的程序,但是會異常吃很多資源,這邊簡單用PowerShell執行一段指令,則工作管理員內的「命令」就會顯示外部執行的「命令」。



如何殺毒
  在知道病毒名稱與檔案位置後,要刪除病毒會碰到問題是,病毒都會寫多個檔案監控執行緒是否存在,其中一個被關閉,其他程序還是會把病毒再次執行,拚手速也不可能一次把全部執行緒關閉,所以我們要借助安全模式來刪除病毒。
1、先將可疑的「名稱」及「檔案位置」記錄起來,並取消開機執行,注意通常病毒會不只一個的開機執行檔案,要把全部可疑的路徑跟檔案都取消執行,寧可錯殺也不放過(錯殺還可以開回來,所以放心大膽的取消吧)。

2、進入安全模方法,系統設定→開機→安全開機→重新啟動


3、進入安全模式後,先別急著刪除病毒資料夾與檔案,先用「病毒名稱」在「登入編輯程式(regedit.exe)」內搜尋一輪(快速鍵Ctrl + F),看看有沒有其他的服務一併刪除,免除後患。


4、再確定以下「開機執行」與「啟動服務」部分沒有可疑程式
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

5、確認開機啟動內有可疑程式


6、確定開/關機服務使否有異常 (僅適用Windows 7 Pro 與 Win 10 Pro,家用版無法開啟)

開啟「本機群組原則編輯器 (gpedit.msc) 」


※※如果是Windows 7、10 Home 版的用戶需要去「登入編輯程式(regedit.exe)」 確認啟動/ 關機服務是否有異常規則。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Shutdown
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Startup
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup

7、確定「服務」與「開機常駐」都已經刪除後再將病毒檔案刪除。
 **重點流程,錯了會造成病毒刪除不完全,會有死者甦醒的可能**



8、將安全模式啟動取消,系統設定→開機→取消勾選「安全開機」→重新啟動

Dang Wang 2017/05/15 著



更多圖片 小圖 大圖
組圖打開中,請稍候......
您需要登錄後才可以回帖 登錄 | 註冊 |

本版積分規則

小黑屋|手機版|無圖浏覽|網站地圖|XFastest  

GMT+8, 2024-11-27 19:08 , Processed in 0.118114 second(s), 68 queries .

專業網站主機規劃 威利 100HUB.COM

© 2001-2018

快速回復 返回頂部 返回列表