恶意代码技术分析与应急响应.pptVIP

* 恶意代码技术分析及应急响应 * 本地病毒木马程序检查 查找相关木马程序所在位置: 直接使用杀毒软件查杀 将可疑进程的名字到google上去查找看是否有相关资料 自己使用netstat –ano(winxp以上版本)或者fport.exe(win2000及以下版本)软件查看 到注册表里去查找 使用一些其他的进程查看软件 * 恶意代码技术分析及应急响应 * 本地病毒木马程序检查 手动清除的基本过程: 关闭系统还原功能 重新启动系统到安全模式下(启动时按F8) 找到相应文件删除掉 修改相应的注册表值 * 恶意代码技术分析及应急响应 * 本地病毒木马程序检查 修改注册表,恢复系统查看隐藏文件的功能: HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN 将CheckedValue的值改为2 HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 将CheckedValue的值改为1 * 恶意代码技术分析及应急响应 * 本地病毒木马程序检查 到C:/windows/system32下去找到