本次课程打算把所有启动位置讲完,以及一些特殊的启动方式,算是比较高级了,学完本课,与反病毒相关的基础也就差不多了,接下来的课程重在实践了,手工杀毒,日志分析等.
组件关联启动
(注:本文中的“\”,如有需要体验或者使用,请替换成半角斜线)
今天的课程打算把所有启动位置讲完,以及一些特殊的启动方式,算是比较高级了,学完本课,与反病毒相关的基础也就差不多了,接下来的课程重在实践了,手工杀毒,日志分析等.
一,组件关联启动
上次讲到了勾子挂接启动ShellExecuteHooks,这次来讲讲组件关联启动,注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
名称任意,值为一CLSID,该CLSID是指向HKEY_CLASSES_ROOT\CLSID下面同名的对象(组件类)的,在 InProcServer32的右边可以看到关联的文件名(通常是DLL文件).系统启动时explorer.exe将自动加载这里的目标组件.这就是某些病毒将自己注入到explorer.exe的办法,多见于一些流氓软件.用了很多清理软件,但还是会弹出广告等,这时就要检查这个位置了,清理方法 ShellExecuteHooks是一样的,最后不要忘了删除关联的文件.
二,结束Winlogon.exe进程
以前我们在讲进程时曾经讲到过Winlogon.exe进程,它管理windows的登陆注销等,如果这个进程被结束,系统将不能正常软关机.也许你会说这个进程根本无法结束,或一结束就蓝屏死机等.用windows任务管理器当然是不行的,我用了冰刃(IceSword)来结束它,不要直接试图去结束这个进程,不然你会死得很惨,结束这个进程是需要技巧的,在此感谢菜新同学(cxwr,雷特反病毒小组成员之一)的指点,方法如下:
首先打开冰刃,点左边的进程.我用的冰刃是花花(FlowerCode)修改版的.(见附件)
冰刃的功能是十分强大的,看一下程序名称这一列,直接显示出了进程所对应的文件路径,其中两个进程的程序名称是特殊的,显示为NT OS Kernel,意为NT操作系统内核.
正式开始前请退出你的安全防护软件,以免引起蓝屏.
先结束所有非系统进程,由于冰刃不显示进程所属用户名,大家可以打开windows任务管理器对照,你可以用任务管理器来结束进程,也可以用冰刃来结束进程,用冰刃结束进程的方法为选要要结束的进程,右键选择结束进程即可.接着结束svchost.exe,services.exe等进程,当进程只剩下图中所示的几个时,就要注意了,一不小心就会死得很惨的.
现在除了任务管理器和冰刃外,还有五个进程,其中最后两个是系统内核进程,是不能被结束的,现在还在剩三个了,按顺序,必须先结束smss.exe,现在可以放心地结束Winlogon.exe了,好了,我们的目的也达到了.(如果你把任务管理器和冰刃关的话,系统中就只剩下三个进程了.).不过此时系统也做不了什么了,不能启动新的进程.(在结束Winlogon.exe前你仍然可以创建新进程,并恢复至正常状态,这需要你对服务非常地了解).如果此时你再结束csrss.exe的话,结果会蓝屏,这个进程是管理进程调度,物理内存与虚拟内存的使用调节等.现在只能按电源键关机了.
正由于 Winlogon.exe这个进程的特殊性及不容易被结束等特性,使得病毒DLL千方百计地注入这个进程,使得一般用户根本无法处理.在冰刃中选择这个进程,右键,模块信息,这里列出了所有加载的模块文件名,如果有病毒模块,可以选中它后点右边的卸徐,如果无法卸徐,可以点强制解除,但可能会引起 winlogon.exe进程崩溃而导致蓝屏.
网友评论