双进程木马查杀方法的技术分析.docVIP

双进程木马查杀方法的技术分析 双进程木马查杀方法的技术分析 PAGE / NUMPAGES 双进程木马查杀方法的技术分析 双进度木马查杀方法的技术剖析 纲要：双进度木马就是有两个病毒进度设为相互监听模式，当一个进度被用户停止时，另一个进度就会马上将它生成恢复，采纳了双进度保护体制，来达到攻击计算机的目的。本文议论了几种查杀双进度木马的方法。 重点词：双进度；监听；木马 中图分类号： TP393 文件表记码： A 文章编号： 1007-9416（ 2014） 03-0179-01 双进度木马运转原理剖析 双进度木马就是有两个病毒进度设为相互监听模式，当 一个进度被用户停止时，另一个进度就会马上将它生成恢 复，这是网吧系统中常有的保护体制，网吧的计费系一致般 采纳这种技术手段，来防备客户端歹意停止计费进度。目前 也有好多木马和病毒也采纳了双进度保护体制，来达到攻击 计算机的目的。目前很多流行的木马和病毒中，存在这样的 一种运转模式，当用户试图杀死扣束一个病毒进度时，会自 动产生一个新的进度，这种病毒我们称为双进度病毒或双病 毒木马。 利用批办理技术查杀双进度木马 双进度木马取胜的奥密就在这种相互守卫相互启动的 进度体制上，就是说，假如用户没法同时结束两个进度，那 么它们就会借助对方无穷复生。可是，这种木马并不是无懈可 击，考虑到病毒是经过监控进度列表的进度名称来检查被守 护进度存在与否。 只要使用 notepad 程序进行木马进度替代， 便可以欺诈守卫进度，达到消除双进度木马的目的。 往常系统中会存在相互监督的两个木马进度 intranet.exe 和 systemmonitor.exe，而遇到木马感染的用户常常不知道哪个是木马的监护进度。但是， systemmonitor.exe 进度是异样的进度是毫无疑问的，这是由于正常的系统进度列表中是不 存在这样的系统进度的。 一旦发现中了这样的木马后，第一运转 msinfo32 ，弹出系统信息，挨次单击左边的系统纲要、软件环境和正在运转 任务，能够很清楚的看到 systemmonitor.exe 进度的所在路径是系统目录下的 System32 文件夹。而后定位到该系统文件夹，把 notepad.exe 记事本程序复制到到 D：＼根目录并重命名为 systemmonitor.exe。翻开程序并输入以下程序代码最后保留为扩展名为 bat 的文件。（图 1）。 @echo off rem 强迫结束“ systemmonitor.exe”病毒木马进度 taskkill /f /im systemmonitor.exe rem 强迫删除病毒文件 del /f /s /q %systemroot% ＼ System32＼ systemmonitor.exe rem 强迫将安全的记事本文件复制到系统目录，如存在 矛盾则替代 echo y|copy d：＼ systemmonitor.exe C：＼ Windows ＼ System32＼ 运转批办理程序， systemmonitor.exe 木马进度就会被这 个专杀工具杀死并从硬盘上删除，经过假装的 notepad 程序 被复制到指定的目录。这样，木马进度被杀死后，守卫进度 会启动我们预先假装的 notepad 程序。接下来只要找到生成 目行进度的守卫进度并强迫删除便可以达到杀毒的目的，用 户运转： taskkill/f/im systemmonitor.exe ，或许经过任务管理 器的进度列表，把监督进度生成的 systemmonitor.exe 结束， 能够知道 systemmonitor.exe 进度的父进度是由 PID 为 3288 的木马进度创立的，从任务管理器的进度列表我们能够知道 PID 为 3288 的进度是 intranet.exe，这就是木马守卫进度。 再次用方才的方法翻开系统信息窗口我们能够知道 intranet.exe 的路径也存在于系统目录下，改正方才的 bat 文 件强迫结束 intranet.exe 进度同时进入 system32 系统目录把两个木马进度 intranet.exe 和 systemmonitor.exe 文件删除即可。 改正文件关系使木马无效 从理论上讲，计算机内所有文件都是由二进制编码或其 他编码构成的，所以 notepad 程序基本上能够翻开所有种类 的文件，碰到没法识其他编码会显示为乱码。借助这样的一 个体制用户能够试试把病毒关系的翻开方式设置到记事本 打卡，使病毒启动时自动用 notepad 翻开，使之启动的功能 作废。经过运转 regedit 命令翻开注册表，找到 HKEY_CURRENT_USER ＼ Software ＼Microsoft ＼ Wind ows＼CurrentVersi