|
|
[原创]Anti Antivirus-Terminator
从今年上半年起,本人经常遇到一些电脑脑使用者的求助,称其电脑出现故障,症状为使用的杀毒软件不能启动,系统运行速度明显降低,程序运行时常出现错误,打开有杀毒软件的文件夹,资源管理器自动退出,上网查找“中毒”、“病毒”等关键字,浏览器自动关闭。
在对付这种后来被称为\"AV终结者“的病毒时,笔者积累了一定的经验,在此和各AntiVirus同好共享。
1.相关知识
1.1镜像挟持(IFEO)
全称为Image File Execution Options,个人认为MS公司设计这个选项时,是为了运行一个可执行文件时,能够打开相关程序,对普通用户意义不大。其定位在注册表的HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options 正常电脑用户这个分支里有数十个子项,和系统的正常使用如视频解码、系统清理、程序调试有关。
而AV终结者通过在此项下面加入Antivirus软件的可执行文件名,导致windows系统启动时,AV软件不能启动,从而躲过防卫系统,攻击电脑。
1.2自动运行与windows系统服务
系统启动时,一般都要自动启动一些常用程序,如大家都熟悉的屏幕右下角的输入法指示器,音频和视频管理软件,以及AV软件等,如果想看一下自己的自动运行的程序,请在“开始\"->“运行\"中输入\"msconfig\",查看一下最后的启动项。一般来说,只要保留输入法指示器ctfmon和杀毒软件就可以了,其他到用时再开。
而windows系统服务是工作在后台,起到维持电脑正常运行的一些如网络服务,升级补丁,磁盘管理等基本服务,在正常的任务管理器下是看不到的。msconfig里可以看到系统加载的后台服务,但要更详细地了解系统后台到底运行了什么,请在“开始\"->“运行\"中输入\"gpedit.msc\"。
“AV终结者”会在自动运行里加载病毒体,同时会加自身注册成系统服务,达到自动运行的目的。
1.3autoruns.inf
这个文件位于各磁盘分区的根目录下,MS公司又一好心帮倒忙的设计,其本意是在打开磁盘时,能够同时运行一些预先设计好的程序,如一些软件安装光盘,左键双击就会打开安装界面。结果就被病毒设计者钻了空子,通过精心编写autoruns.inf里的目标程序,达到在用户没有知觉的情况下,启动病毒的目的。
现在的autoruns.inf越写越高级,最先只是左键双击会中毒,通过右键点击可以打开受感染磁盘分区,现在即使是右键点击也会中毒了。
1.4守卫进程
简单说,两个名称不相同的程序不停地同时监控系统,如果观察到对方被强行关闭,马上就会重新启动一个新的对方程序,达到病毒时刻运行的目的。
2.杀毒利器
SReng、Autoruns-系统扫描。
ProceXP、icesword-进程管理
Mcafee8.5.0、360安全卫士-杀毒软件
KillRemovablediskVirus1.5.exe、showhidden.reg-免疫程序
深山红叶winpe启动盘-他山之石
windows系统盘-最后一招
3.杀毒过程
Antivirus软件被terminatored了,怎么办?如上,就是IFEO被人家CDTH了,那好,我们只要“反hijiack“就可以了。
“开始\"->“运行\"中输入\"regedit\",按ctrl+F打开搜索页,输入\"image file\",只选中\"顶“复选框,开始搜索,马上就会定位到Image File Execution Options这个分支。(我这么做是因为我根本记不住这么长的具体注册表路径 -_-!!!)
这里,我们可以看到我们那些可爱的AV软件都被加到了黑名单,如avp.exe、360tray、shtat等,前面所说的SReng和autoruns、procexp、icesword也在上面。
一个个删掉吧,如果觉得不方便,先把autoruns.exe先救出来,然后启动autoruns,把镜像劫持里的东西全给除最后一个外,全OOXX了,以解救AV软件。
但是,有时候这一招是不灵的,因为新的AV终结者病毒时刻都在监视着这个分支的情况,根本不让用户改动,how to deal?这时候,可以使出用户权限自残大法。
在Image File Execution Options这个注册表分支上点右键,在跳出的菜单中选权限,把除了Administrators之外的用户全删掉,然后选取下面\"Administars权限\"拒绝框中的“完全控制”复选框,这样IFEO里面所有的东西全和系统脱钩。
好,一般来说AV和扫描器是能启动了,但病毒体呢?先不要重启,先用msconfg看一下启动菜单吧,把莫名其妙的启动顶给删了,不过要先记下病毒体的具体位置。
这年头,是个病毒就隐身,而且在资源里修改了也不行,这时,请双击showhidden.reg吧,如果没有,请google之或考之。
同样的,看一下后台服务,看看有没有不正常后台程序。
(那些是正常的,哪些是不正常的服务,限于篇幅,无法列出,请查阅有关资料)
再msconfig,看一次启动菜单。
为什么?还是那句话,有些高级的AV终结者病毒就是不会让你修改启动项的,你动它反动,就是不许动,那么先启动icesword吧,看看那些刚才记下来的病毒体,结束它。
我考,结束不了,马上病毒就重新启动了,那iceword同时选中两个病毒,双杀呢?
一般来说这样就行了,这样就可以顺利地把病毒进程给结束掉,然后打开它们所在的文件夹,删掉就行了,然后把服务里的那些不明不白的东西也给OOXX了。
但是,也有结束不了的时候。
那咋办?
另找一个系统吧,而且是不会被感染的。
那就要用到深山红叶winpe启动盘了,用这张盘启动电脑后,那个界面和正常的windows系统是很像的,我们就可以很方便地打开刚才已经记下来病毒所在目录,删之。 这个时候,可以直接删除各个盘根目录下的autoruns.inf和病毒体(这些病毒的名字一般都是随机英文字母的组合),这样就一脚把病毒从硬盘里踢了出去了。
进入正常的windows系统,去掉那些启动里还有残留的病毒项,用sreng修复一下系统,如果前面锁了IFEO,那么请解除之。用病毒名称在注册表里查找,删除不正常的值。
然后呢?
用AV全盘扫描杀毒呗。AV个人很喜欢Mcafee8.5.0,这是因为Mcafee可以自定义规则,一般来说,把禁止程序注册为自动运行、禁止程序注册为服务选上,就可以防住大部分病毒。
最后呢?
堵上漏洞呗。
首先,用KillRemovablediskVirus1.5.exe作一下全盘免疫,它会在各个盘根目录下加入一个autoruns.inf的隐藏的、系统的、不可删除的文件夹(ntfs文件系统,FAT32不行),那么auto病毒就不行了。
找个windows补丁包,打上SP2发行之后的所有补丁。
用360安全卫士,打上全部补丁,顺便把U盘免疫也搞上。
4、可能碰到的麻烦
我没有碰到禁用注册表的AV终结者,如果连regedit都不能用了,怎么办?
病毒如果注册成驱动,那怎么办?一些流氓软件就这么做过,我对付不了,如果AV终结者也这么做,怎么办?
5、题外话
我经常被人家叫去重装系统和杀毒,以致于随身携带着一个U盘,做与启动型,里面把常用的软件都带上了,上面提到的软件里面全有,还有一些装机时常用的应用软件和系统补丁,全部加起来不过400M,到用时,拿出来考一下,就可以工作了。
|
|
发表于 2007-12-23 19:03:32
