基本的病毒分析與手動解除方式

前言
　　為什麼這次的次WannaCry災情會如此嚴重呢？，「3C達人」難責其究，身為大眾媒體理應提供正確資訊，而非片面資訊「更新容易出包，沒事不要更新」來源，又沒有給予用戶正確且完整資訊，如「不更新會怎樣？」、「什麼時候可以更新？」造成用戶恐慌不敢更新；加上多數用戶抱著「病毒不甘我的事」，「平常都沒亂點網站/郵件不會中毒」等僥倖心態與專業知識不足，多方因數助長這次的次WannaCry之亂。
　　追究過去事沒有意義，提供給使用者正確且實用的資訊才是我的本意，本篇內容我會簡單介紹病毒的分類、攻擊模式、感染途徑、簡單的自我檢測與移除方法，希望各位不會中毒，不不幸中毒了也希望本篇內容能對各位有幫助。

電腦病毒在我自己的分類可以分為三種

• 木馬型：潛伏在用戶電腦內，竊取個資、密碼與一些見不得人的東西qq
• 病毒型：損壞作業系統、刪除檔案、綁架首頁、桌面，屬於損人不利己型，現在比較少見！
• 跳板型：用你的電腦挖礦或當跳板出去做一些非法的事情，但警察是找上你qq
  

攻擊型態可以分成兩類

• 主動攻擊型：這次的主角WannaCry就是主動攻擊型，先用各種手段如掃port、社交工程、網頁點擊多種途徑感染，染毒電腦會掃描區域網路內的IP，如果有漏洞，就會群聚感染，加密，傳染性極強。
• 社交工程型：使用一些聳動標題的垃圾信、引人注目的網頁標題、或您已經中獎點取換獎品之類的方式感染電腦。
  

　　　
　　防範方式不外乎是更新作業系統、網路設備、不亂開來入不明網站/信件等。


如何判斷是否中毒
　　針對不同類型的病毒來個別講述其特色，但辨識方法大同小異。

• 木馬型：CPU與記憶體使用量比較小，需要從管理員與開機常駐偵測
• 病毒型：CPU使用率容易暴增，使用者較容易發現，較先進的病毒會有負載平衡，讓使用者感覺不出來特別異常，這種類型的病毒就只能從工作管理員偵測。
• 跳板型：主要特徵會有異常流量網路封包，但不隨時發作，所以需要從開機常駐判斷
  


Windows內建的監控程式
　　三種類型病毒特徵都會有不正常的開機常駐、異常的CPU / IO / 記憶體使用量，下面會逐一教大家如何判斷電腦是否中毒，下面先教大家如不借用第三方軟體來確認是否中毒。

工作管理員(Taskmgr.exe)  
　　觀察執行路徑與命令是否異常
1、啟動方式：開始工具列→啟動工作管理員；快速鍵Ctrl + Shift + Esc



2、Windws 7 (檢視→選擇欄位)；Windwos 10 (詳細資料→右鍵→選擇欄位)




Windows 10 設置方式

3、勾選「命令列」。


4、設定完成工作管理員，可以看到處理序工作目錄，方便識別該程式是否異常。

Windows 7 工作管理員


Windows 10 工作管理員

5、調整完後，先切CPU使用率排序，看一下最高CPU使用的程序有無異常，這邊舉例deluge來觀察此檔案是否異常，對例deluge右鍵內容。


6、搭配Google搜尋檔案內容，就可以知道這隻程式是不是病毒了，當然也有偽裝的可能，後面再講怎麼拆穿病毒的偽裝。


系統設定(msconfig.exe)
　　全部的開機常駐程式都會在這邊顯示，從這邊可以觀察開機常駐是否異常。
1、Windows 7 啟動方式：開始→輸入「msconfig」→啟動


2、從啟動這邊可以看到全部的開機常駐程式，如果看到不認識的程式一樣搭配Google搜尋就可以知道這程式是否屬於病毒。

Windows 7 開機「常駐程式」設定畫面


Windws 10 開機「常駐程式」設定畫面

資源監視器(perfmon.exe)
　　可以觀察程式的CPU/記憶體使用率、程式位置與IO、網路封包等讀寫狀態。
1、開啟工作管理員→效能→資源監視器 (Windwos 7、10操作相同)



2、資源瀏覽器將CPU與磁碟設定使用率高在上，可以觀察一般的綁架病毒或攻擊型病毒


3、如果是木馬或是其跳板病毒可以從網路來觀察異常程式



如何判定病毒
　　如何判斷病毒，這不外乎事經驗的累積與對於Windows的作業程序了解。我自己在判斷是否為病毒有兩個很重要的指標。

• 病毒行為模式：監看CPU / IO / 記憶體使用率，只要有異常消耗資源的程式，就原形畢露了。
• 病毒路徑與檔名：遇到會自動平衡資源消耗或不吃資源病毒 / 木馬，監看硬體使用率不一定看得出端倪，就需要借助「開機常駐」或工作管理員的「執行命令」來判斷。
  

資源監視器 / 工作管理員

• 攻擊型病毒會吃較多CPU、可以從工作管理員輕易的抓到病毒行為。
• 加密型病毒也會吃很多CPU與I/O讀寫，可從資源監視器的磁碟與CPU使用率判斷。
• 跳板/木馬型病毒會送出很多異常封包，可以從資源監視器的網路，「具有網路活動的處理程序」來判斷。
  

　　※使用技巧，可以勾選執行緒名稱，詳細資料就僅更新選定之執行緒。


檔案名稱 / 開機常駐
　　一些病毒會使用「隨機產生路徑」讓懶人殺毒包無法輕易刪除病毒，但手動刪除來看反而刺眼，非常容易被發現。
　　從「系統設定→啟動」可以看到開機所有的常駐程式，針對檔案名稱或資料夾名稱來過濾，沒有一個程式開發者會無意義名稱來命名，如果看到這種毫無意義的命名方式幾乎99%都是病毒，可以直接刪除，有沒看過或可疑的程式名稱可以搭配google來驗明正身。


個人經驗模式判斷但不一定適合每一個病毒(參考用)
　　為了快速大量傳輸，病毒都會盡量把檔案設計得很小，絕大部分病毒檔案都小於1MB，且由多個很詭異檔案名稱組成，分散在多個資料夾，且都沒有圖示icon。


抓的病毒是用服務或是外部指令執行
　　如果用Windows服務執行，從工作管理員/資源監視器是看不到異常的資源使用率，如上一次的Eyny加密病毒」，藉由Windows PowerShell來執行，這從資源監視器來看就只是一個微軟的程序，但是會異常吃很多資源，這邊簡單用PowerShell執行一段指令，則工作管理員內的「命令」就會顯示外部執行的「命令」。



如何殺毒
　　在知道病毒名稱與檔案位置後，要刪除病毒會碰到問題是，病毒都會寫多個檔案監控執行緒是否存在，其中一個被關閉，其他程序還是會把病毒再次執行，拚手速也不可能一次把全部執行緒關閉，所以我們要借助安全模式來刪除病毒。
1、先將可疑的「名稱」及「檔案位置」記錄起來，並取消開機執行，注意通常病毒會不只一個的開機執行檔案，要把全部可疑的路徑跟檔案都取消執行，寧可錯殺也不放過(錯殺還可以開回來，所以放心大膽的取消吧)。

2、進入安全模方法，系統設定→開機→安全開機→重新啟動


3、進入安全模式後，先別急著刪除病毒資料夾與檔案，先用「病毒名稱」在「登入編輯程式(regedit.exe)」內搜尋一輪(快速鍵Ctrl + F)，看看有沒有其他的服務一併刪除，免除後患。


4、再確定以下「開機執行」與「啟動服務」部分沒有可疑程式

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  

5、確認開機啟動內有可疑程式


6、確定開/關機服務使否有異常 (僅適用Windows 7 Pro 與 Win 10 Pro，家用版無法開啟)

開啟「本機群組原則編輯器 (gpedit.msc) 」


※※如果是Windows 7、10 Home 版的用戶需要去「登入編輯程式(regedit.exe)」 確認啟動/ 關機服務是否有異常規則。

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Shutdown
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Startup
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup
  

7、確定「服務」與「開機常駐」都已經刪除後再將病毒檔案刪除。
　＊＊重點流程，錯了會造成病毒刪除不完全，會有死者甦醒的可能＊＊


8、將安全模式啟動取消，系統設定→開機→取消勾選「安全開機」→重新啟動

Dang Wang 2017/05/15 著