永远忘不了

那一天,天气晴朗,阳光和熙
我与你走在林荫道上
很安静
我们都没说话

路旁的树悠悠地舞动着枝丫
——风在轻轻地吹
河里荡起一串涟漪
——有只青蛙

我紧张且小心翼翼地走着
因为我怕踩到蚂蚁
突然我飞起一脚
然后,听到了凄惨的嚎叫
原来踢到了石头

你问我为什么
因为我以为那儿有只苍蝇
那种痛我永远都忘不了
永远,永远
                                                                      伟大诗人

(很久以前,突发感想,胡诌的一首o(∩_∩)o)

Posted in : 我的作品by : YullinAugust 5, 20080 CommentsTag : 伟大, 诗人, 永远

一款好用的dll卸除工具unlocker

        现在利用进程插入手法的病毒越来越多了,因为这可以很好的掩盖病毒,使其可以合法地访问网络,因为它不再使用进程来通信,而是寄居于其宿主进程中(而宿主进程大多为系统进程),利用宿主进程来通信,访问网络,这样防火墙对其就无可奈何了。

        杀软虽然可以查到它是病毒,但是由于其被合法的宿主进程调用了,而无法删除,所以需要我们自己来手动删除,但是我们不可能用冰刃的查看模块功能一个进程一个进程地找,虽然说病毒最喜欢寄居的就那么几个进程,如:explorer.exe,svchost.exe等,但是也说不定它什么时候就换了口味了,况且explorer.exe中调用的dll很多,也不是那么好找的。好了,说了这么多的废话,下面就要隆重请出我们今天的主角了,当当当当当……它就是unlocker(unlocker:谢谢大家,谢谢cctv,chanel v,mtv,xxtv,谢谢所有的fans,感谢你们的支持……),我们的unlocker一直走的是平民路线,所以它的使用是非常简单的,只要对着你所要卸除的dll文件,右键->unlocker一下就全解决了。简单吧!

       另外,对于平常遇到的你想要删除某个文件时系统提示本文件正在使用,这种虽小但很烦的情况时,也可以用它。至于它的好处要你用过之后才能有所领悟,还等什么,现在就开始吧。

Posted in : by : YullinAugust 5, 20080 CommentsTag : 病毒, 杀毒, 工具, Ubuntu Linux

系统进程的判定

       通常我们遇到杀软解决不了的病毒时,我们就需要进行手工清除了,手工清除的第一步就是判断那个是可疑进程,然而对于平常并不熟悉系统的人来说,要判断起来是比较麻烦的,所以我搜集了一些关于系统进程的东西。

       系统进程,常见的有一下一些:

最基本的系统进程

也就是说,这些进程是系统运行的基本条件,有了这些进程,系统才能正常运行!

最基本的系统进程列表

smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
       附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少):
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
         允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基
于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
        以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)
支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序 。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

         其实最常见的也就是smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe、svchost.exe
SPOOLSV.EXE、explorer.exe、internat.exe这几个,其中svchost.exe允许有多个(一般是5,6个),其余的都是一个,当然当你打开多个文件夹的时候,explorer.exe会有多个,而且在xp和vista系统中除了explorer.exe是在C:\windows目录下外,其它都是在windows\system32目录下,2000系统是在winnt目录下。

        有很多病毒都会玩那种欺骗把戏,如果你不仔细的话,很可能就会被骗到,比如:rundll.exe就是一个正常的进程,但是rundl1.exe就不是了,是不是很难分辨清楚?其实它就是把两个L中的一个换成了数字1。其它的还有比如把字母o换成数字0以此来迷惑用户,如:explorer.exe和expl0rer.exe。所以大家在看的时候要仔细了。

        然后,其它的进程就是你安装并正在运行的程序了,除了这些。然后你不认识的就要好好考察一番了。

(本文结合另一篇“我的手动清除病毒过程”会更加明了)

 

Posted in : by : YullinAugust 4, 20080 CommentsTag : 病毒, 杀毒, 进程, Ubuntu Linux

我的手动清除病毒过程

      本人小中过几次病毒,渐渐总结出一点心得,都是些普通杀软无法搞定的毒。其中也有大名鼎鼎的熊猫,都是需要手工清除的。

      首先判断自己的系统中毒了,中毒后一般都有特征的,除了有显性的,还有一些是隐性的特征,显性的容易知道,但是隐性的就不那么容易了,这就需要一些经验了,一般判断系统是否中毒都是从进程入手,有的厉害的病毒是不会让你调出任务管理器的,这里就要用到一款工具,我推荐很有名的冰刃。它除了可以显示所有的进程外,还可以强制结束掉一些任务管理器无法结束的进程。

       好了,工具准备好了,就可以开始开工了,找到可疑进程,然后找出它的路径,找到其真身,用冰刃结束掉它的进程,再删除掉其真身就可以了。对于简单点的到这里就基本完工了,之后就是清除注册表的中的残留信息了。但是稍微强悍一点的病毒都是双进程的,相互守护,这时就需要冰刃,它可同时结束掉两个进程(^_^冰刃的好处要自己用了才知道哦,呵呵,不是打广告的,别砸我),结束掉之后就是跟前面的工作一样的了。

       也有一些是插入正常合法进程的病毒,最容易被强奸的进程是explorer.exe,这个时候呢就需要使用冰刃的查看模块功能,前提是你已经知道是哪个dll文件了,这样就可以强制卸除之后,再删掉了。

       暂时也就只有这么多了,希望大家提出宝贵意见。

Posted in : by : YullinAugust 3, 20080 CommentsTag : 病毒, 手动, 杀毒, Ubuntu Linux

关于印象劫持

      如今,作为病毒与杀软对抗的一种手段,印象劫持已广泛应用于病毒编写之中。

      下面,用我不多的知识说说印象劫持。

       所谓的IFEO就是"Image File Execution Options" ,它是注册表中的一个项(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options),这个项主要是调试程序用的,所以对于一般用户而言意义不大(默认是只有管理员和local system有权读写修改)。

       原理:NT系统(xp也是基于NT的)在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。

        当然,把这些键删除后,程序就可以运行!

一个印象劫持的小实验:

开始-运行-regedit,展开到: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 然后在这个下面新建一个项,把项的名字改成xxx.exe 然后点xxx.exe,在右侧新建一个字符串,名称为Dubugger 在字符串里指点另一个exe文件的路径,如("%system%/system32/cmd.exe"); 最后,只要文件名是xxx的所有exe文件,都会去执行你在debugger中指定的文件!

如果我们添加上如下的IFEO项目,几乎所有稍为有些名气的杀毒软件和杀辅助软件都挂了,呵呵。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
哈哈,知道它的厉害了吧!!!

预防方法:

方法一:

它要修改Image File Execution Options,所以先要有权限,才可读

打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\,选中该项,右键→权限→高级,取消administrator和system用户的写权限即可。

方法二:

  打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\,把“ImageFileExecutionOptions”项删除即可。

方法三:
使用IFEO映像挟持修复程序修复!(该方法是用于中毒修复,不能作防范)

很多东西都是网上搜到的,呵呵。希望对大家有帮助。

 

 

 

Posted in : by : YullinAugust 3, 20083 CommentsTag : 病毒, 印象劫持, Ubuntu Linux