如今出現了越來越多的對抗防毒軟體以及檢測工具掃瞄的病毒,他們會關閉甚至刪除殺毒軟件以及檢測工具。一般用戶很難判斷他們藏在哪裡,做了些什麼。而這時防毒軟體以及安全工具確普遍無法執行。
本文主要列舉說明一些需要注意和檢測的系統位置,以防範常見的抗防毒軟體類病毒。
一:Run鍵值
典型病毒:AV終結者變種
目的現象:開機啟動雙進程堅守、關閉防毒程式等。
檢測位置:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
補充說明:該位置屬於常規啟動項,很多程序會寫。
二:執行掛鉤
典型病毒:大量惡意軟體以及病毒均會寫入
目的現象:防毒軟體難於清理、關閉防毒程式等。
檢測位置:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
補充說明:很少有正常程序會寫入該位置,病毒幾率非常大。典型例外:瑞星反防毒軟體
三:Appinit_dlls
典型病毒:機器狗新變種、磁碟機變種。
目的現象:安全模式也加載、關閉防毒程式等。
檢測位置:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls
補充說明:很少有正常程序會寫入該位置,病毒幾率變態大。典型例外:AVG互聯網安全套裝
四:服務以及驅動
典型病毒:灰鴿子變種
目的現象:難於發現與清理、關閉防毒程式等。
檢測位置:
HKLM\System\CurrentControlSet\Services
補充說明:病毒寫入底層服務與rootkits驅動,導致清除困難。
五:映像劫持
典型病毒:大多數AV病毒均會寫入此位置
目的現象:簡單粗暴地讓某個特定副檔名的文件無法執行
檢測位置:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions
補充說明:被劫持的文件不一定是exe文件。
六:目前已知刪除安全軟體檔案的檢測位置
典型病毒:飄雪變種
目的現象:防毒軟體安裝檔案被刪除、SREng改名後執行立即被刪除等。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
補充說明:已知變種均會修改hosts文件。
七:Boot.ini文件
典型病毒:磁碟機變種
目的現象:獨佔啟動Boot.ini文件,導致未更新的grub重啟刪除工具失效。
檢測位置:Boot.ini
補充說明:在Vista操作系統下對該項檢測沒有意義。
小結:檢測報告的分析工作需要具備常用軟體以及作業系統豐富的使用經驗,才可以比較迅速準確地定位到具體問題。本文僅將對抗防毒軟體類病毒常見的關注位置找出來供大家參考。其實還有很多病毒會加載的位置本文不做詳述。
PapaCheck檢測工具v3.0目前可以比較全面地檢測到包括對抗防毒軟體、刪除安全工具病毒在內的非感染型病毒的寫入位置。如在Vista下面使用時,需要滑鼠右鍵單擊該檔案後點擊「以系統管理員身份執行」。
註解:在程式執行時請閱讀其中的免責訊息。在檢測的過程中有可能會提示「沒有找到pkmws.dll,因為這個程序未能啟動重新安裝應用,所以可能會自行修復此問題點擊「確定」即可。提示「插入軟盤」,點擊「取消」即可。相關提示並不影響檢測報告的產生。如果您沒有執行掃瞄操作,按「CTRL+C」鍵終止或直接關閉程式,則會在當前目錄生成papa.com、papascan.bat、papawb.com、papashell.exe、 papatask.exe這五個檔案。相關檔案釋放與調用不會對您系統造成影響,檢測結束後直接刪除即可。
下載PapaCheck輔助檢測抗防毒軟體類病毒 V3.0
PapaCheck輔助檢測抗防毒軟體類病毒
隨機文章
訂閱:
張貼留言 (Atom)
0 意見:
張貼留言