用户名:  密 码:        注册新用户     忘记密码
 
今天是:    ·发布信息 ·用户注册 ·用户中心  设为首页      加入收藏  
注意检测 防范反抗杀毒软件工作电脑病毒
发布时间:2008-04-17 09:45:44 发布人:OK青岛网 新闻来源:OK青岛网

如今出现了越来越多的对抗杀毒软件以及检测工具扫描的病毒,他们会关闭甚至删除杀毒软件以及检测工具。一般用户很难判断他们藏在哪里,做了些什么。而这时杀毒软件以及安全工具确普遍无法运行。 

本文主要列举说明一些需要注意和检测的系统位置,以防范常见的抗杀软类病毒。 

一:Run键值 

典型病毒:AV终结者变种 

目的现象:开机启动双进程坚守、关闭杀毒程序等。 

检测位置: 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 

补充说明:该位置属于常规启动项,很多程序会写。 

二:执行挂钩 

典型病毒:大量恶意软件以及病毒均会写入 

目的现象:杀毒软件难于清理、关闭杀毒程序等。 

检测位置: 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 

补充说明:很少有正常程序会写入该位置,病毒几率非常大。典型例外:瑞星反病毒软件 

三:Appinit_dlls 

典型病毒:机器狗新变种、磁碟机变种。 

目的现象:安全模式也加载、关闭杀毒程序等。 

检测位置: 

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls 

补充说明:很少有正常程序会写入该位置,病毒几率变态大。典型例外:AVG互联网安全套装 



四:服务以及驱动 

典型病毒:灰鸽子变种 

目的现象:难于发现与清理、关闭杀毒程序等。 

检测位置: 

HKLM\System\CurrentControlSet\Services 

补充说明:病毒写入底层服务与rootkits驱动,导致清除困难。 

五:映像劫持 

典型病毒:大多数AV病毒均会写入此位置 

目的现象:简单粗暴地让某个特定文件名的文件无法执行 

检测位置: 

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions 

补充说明:被劫持的文件不一定是exe文件。如Papa在处理恐怖鸡感染号病毒时,为了防止ani.ani还原病毒主文件,便劫持ani.ani文件。 

六:目前已知删除安全软件文件的检测位置 

典型病毒:飘雪变种 

目的现象:杀毒软件安装文件被删除、sreng改名后运行立即被删除等。 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 

补充说明:已知变种均会修改hosts文件、在QQ目录下写入隐藏的病毒dll并且修改APIHOOH。 

七:Boot.ini文件 

典型病毒:磁碟机变种 

目的现象:独占访问Boot.ini文件,导致未更新的grub重启删除工具失效。 

检测位置:Boot.ini 

补充说明:在Vista操作系统下对该项检测没有意义。 

小结:检测报告的分析工作需要具备常用软件以及操作系统丰富的使用经验,才可以比较迅速准确地定位到具体问题。本文仅将对抗杀软类病毒常见的关注位置找出来供大家参考。其实还有很多病毒会加载的位置本文不做详述,请具体问题具体分析。 

PapaCheck检测工具v3.0目前可以比较全面地检测到包括对抗杀毒软件、删除安全工具病毒在内的非感染型病毒的写入位置。如在Vista下面使用时,需要右键单击该文件后点击“以管理员身份运行”。 

注:在脚本运行时请阅读其中的免责信息。在检测的过程中有可能会提示“没有找到pkmws.dll,因此这个程序未能启动重新安装应用可能会修复此问题”点击“确定”即可。提示“插入软盘”,点击”“取消”即可。相关提示并不影响检测报告的生成。如果您没有执行扫描操作,按“CTRL+C”键终止或直接关闭了程序,则会在当前目录生成papa.com、papascan.bat、papawb.com、papashell.exe、papatask.exe这六个文件。相关文件释放与调用不会对您系统造成影响,检测结束后直接删除即可。 

 (本文已被浏览 1496 次)
 发布人:admin
 → 推荐给我的好友
上篇文章:特洛伊 Win32.SillyDl.EBH 不断...
下篇文章:青岛出版社加速图书数字化出版进程
  → 评论内容 (点击查看)   共0条评论,每页显示5条评论   浏览所有评论
(没有相关评论)
  → 发表我的评论
您的姓名: 您的Email:
评论内容:
250字内
发表评论:      发表评论须知 →
  • 尊重网上道德,遵守《全国人大常委会关于维护互联网安全的决定》及中华人民共和国其他各项有关法律法;
  • 本站有权保留或删除您发表的任何评论内容;
  •  张瑞敏和海尔“最受...
     番茄花园版作者被拘...
     比尔•...
     马云首度回应网店新...
     青岛软件外包欲突破...
     明星网友共享奥运盛...
     我国网民2.53亿...
     321路、605路...
     百度C2C支付平台...
     青岛加氢裂化环评第...
     青岛加氢裂化环评第...
     互联网公司争打浏览...
     独女家庭每年增发400...
     互联网域名再起“淘...
     淘宝网继续推行免费...
     淘宝屏蔽百度搜索 ...
     病毒研究拿下诺贝尔...
     我市确定经适房基准...
     国内成品油4月调价...
     市北率先启动社区居...
     青岛同一堂老榆木家...
     山东液化天然气(LNG...
     青岛出台促进残疾人...
     困难居民每年可享400...
     我市提高企业工伤待...
     二代残疾人证将换发
     2.1万低保边缘居...
     住宅用地出让价格创...
     岛城三景点将限时免...
     “助残月”为残疾人...
     12件实事哪件惠及...
     我市确定经适房基准...
     清明加开至泰山济南...
     张瑞敏和海尔“最受...
     岛城50亿元抄底资...
    关于我们   在线聊天   友情链接   在线留言    繁體中文   TOP
    信息提示:本站信息资源均来自网友自发及网上收集,版权均归原作者所有,如有侵权请与我联系,本站将立即删除
    版权所有:
    OK青岛网  http://www.okqd.net/
    QQ:654264169 电话:0532-83895235 传真:0532-82687376
    网站备案号:37020020080015