项目四手工杀毒技巧总结.pptx

项目四：手工杀毒技巧总结;任务1：手工杀毒;手工清除AV终结者;2.生成以下注册表项来达到使病毒随系统启动而启动的目的 HKEY_CLASSES_ROOT\CLSID\随机CLSID\\InprocServer32 病毒文件全路径 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\随机CLSID 病毒文件全路径 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\ShellExecuteHooks 生成的随机CLSID HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 随机字符串 病毒文件全路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword3.映像劫持 通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加注册表项来进行文件映像劫持，可阻止大量安全软件及系统管理软件运行，并执行病毒体。 　　被劫持的软件包括： 360rpt.exe; 360Safe.exe; 360tray.exe; KAV32.exe; KAVDX.exe; KAVPFW.exe; ……….;4.修改以下注册表，导致无法显示隐藏文件 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Advanced Hidden dword HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。 11.隐藏病毒进程，但是可以通过结束桌面进程显示出来。 12.在硬盘分区生成文件：autorun.inf 和 随机字母+数字组成的病毒复制体，并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。 ;清除AV终结者;U盘巡警的手工清除;病毒预防经验;病毒查杀经验总结