电脑如同我们的家一样,在使用一段时间之后就需要清理维护。特别是在病毒横行的今天,如何做好安全维护,在电脑出现问题的时候如何将问题找出并解决问题,是想成为安全工程师和电脑高手的朋友应该掌握的基本技能。也只有这样,我们才能够在电脑工作异常时,临危不乱处变不惊,防止因为盲目的误操作,出现本不应该出现的数据损失。
现在绝大多数电脑用户都会安装杀毒软件,他们对于杀毒软的依赖程度相当高,如果怀疑电脑中毒了,就会想到用杀毒软件。而如果杀毒软件也同时出现故障,很多用户就不知道该怎么办了。
以我个人遇到的情况来看,有些病毒会直接关闭杀毒软件进程,有些会停止杀毒软件后台服务,还有一些会悄悄地更改用户的网络协议与关键文件,让杀毒软件升级功能失效。而当用户察觉系统有异样后,再次安装杀毒软件往往也会失败,甚至更换另一种杀毒软件也会遇到阻碍。失去了防御病毒的武器会让许多用户束手无策,这时正好是我们安全工程师大显身手的时候。
用户难处理的症状
症状1:无法上网,杀毒软件主动防御关闭或无法执行 症状解析:这种情况比较多见。病毒通常是修改了IE中的代理选项,让用户无法正常上网。所以用户如果遇到这样的问题,应该即时检查IE浏览器中的“Internet选项”,病毒可能修改了“连接→局域网设置”中的代理服务器一项,用户只需要将代理服务器的勾选去掉皆可。也有部分病毒会删除用户电脑中的网络协议,让用户的网络操作彻底失效。
而让杀毒软件主动防御失效,病毒常采用的招数是,通过修改系统默认加载的DLL 列表项来实现DLL 注入(),在注入后设置全局钩子。然后根据杀毒软件的关键字,找到杀毒软件的窗口,往目标窗口发送大量的垃圾消息,是它无法处理而进入假死状态。这时杀毒软件的主动防御功能就失效了。
杀毒软件无法执行,极有可能是由映像劫持造成的。病毒通过修改注册表将杀毒软件程序重定向,可以导致杀毒软件无法运行。此外,也有可能是因为病毒删除了杀毒软件的服务或者程序。
症状2:仅杀毒软件和安全辅助工具无法升级 症状解析:这种情况的迷惑性更大一些,许多用户都是隔了一段时间才反应过来的。病毒修改了Windows操作系统中的HOSTS文件,阻止了杀毒软件和安全辅助工具的升级。用户在Windows访问网站首先要输入在浏览器中输入域名,此时这个域名会通过DNS服务器解析成为网站的IP地址,例如我们输入网址www.ruijia.cn,就将会被解析为122.156.44.155的IP地址后,电脑才能够正常访问。
根据Windows系统规定,在进行DNS请求以前,Windows系统会先检查自己的HOSTS文件中是否有这个地址映射关系,如果有则调用这个IP地址映射,如果没有再向已知的DNS服务器提出域名解析,也就是说HOST文件的请求级别比DNS高。因此一旦病毒修改了HOSTS文件的内容,用户就无法访问杀毒软件网站
剖析案例掌握技巧
现实中的中毒症状往往比较复杂,有可能出现症状1和症状2杂糅的情况。下面的这个案例就是非常典型的。
现场状况:有一次,领导派我去帮其他部门处理一下电脑故障。赶到现场后,立即询问了电脑症状,得知他在启动电脑时,发现杀毒软件没有出现在桌面的右下角,他试图重新启动杀毒软件,但是没有成功,后来又尝试重新安装杀毒软件也不行,于是就向我们救助。
我在故障电脑中打开网页,发现可以上网,但打不开杀毒软件相关的网站。重新启动后,尝试进入安全模式,不过没有成功。此外,我还发现注册表无法进入,这就增大了解决问题的难度。
解决方法:检查完完用户电脑后,我已经大致明白了造成这些症状的原因,主要原因就是映像劫持,而HOSTS文件也被窜改了。身为一名安全工程师,自然备有一些安全分析工具。当时我选用的是ATools(下载地址:http://www.shudoo.com/bzsoft),大家也可以挑自己顺手的安全分析工具。
我把闪存插入用户电脑护,运行了ATools,首先检查的就是进程与线程,软件会用黄色标明异常的进程与线程。我在“Explorer.exe”进程下发现了黄色标明的DLL文件注入。接着,我结束了Explorer.exe进程。然后在ATools中调用注册表工具,找到HEKEY-LOCAL-MACHINE\software\microsoft\windows\currentversion\explorer\advanced \folder\hidden\showall,将Checkedvalue的的键值改为“00000001”。
再在注册表中中找到HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options,将以杀毒软件和安全工具命名的项删除,再运行杀毒软件就成功了。
随后定位到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options;在Image File Execution Options上,选择“安全→权限”,将出现的用户列表内所有带有“写入”的权限去掉,确定退出。最后,我用安全辅助工具还原了HOSTS文件,之后,再上网就正常了。
责任编辑:小草
您现在的位置: 