» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 暴强的PE杀毒，棒杀病毒于无形的杀手锏   作者: 标题: 暴强的PE杀毒，棒杀病毒于无形的杀手锏 hlxhcr 中级用户 积分 241 发帖 241 注册 2008-3-14 #1  暴强的PE杀毒，棒杀病毒于无形的杀手锏 暴强的PE杀毒，棒杀病毒于无形的杀手锏    本帖介绍如何在PE系统下，利用杀毒软件杀掉硬盘中的病毒。     先发发牢骚：杀毒前路漫漫，了无尽头，跟病毒拼时间拼精力是件很无奈的事。其次，“猪头”实在太多，任何世界级杀软到他们手中都变得狗屎不如，都要惨死在病毒、木马之下。     言归正传，大家惯用的杀毒方式有三种：正常模式下杀毒、安全模式下杀毒、DOS下杀毒。第一种方式由于病毒嵌入系统进程中，各进程相互保护，再加驱动级和影像劫持等，使杀毒变得异常困难；第二种有时连安全模式都破坏了，根本进不去；至于第三种，由于DOS管理内存的缺陷，在检查大文件时往往会死机。     而PE杀毒则可克服上述缺点，硬盘中病毒无法作恶，不存在杀软被病毒反杀、劫持等问题，只要杀毒软件可以识别，病毒就可以杀掉。     PE下杀毒有可能是未来杀毒的主要手段，因此，特意在这里介绍给大家试试。     一般的杀毒软件都要经过改造才可以在PE下运行。“长枫论坛 http://bbs.cf91.com/index.php”已经搞出了这种东西，感兴趣的网友可到该论坛下载（如果提示要登录的话，就注册一个会员帐号吧），如果你有某种杀软的绿色版，也可以用来试试。 长枫论坛杀毒三剑客PE光盘通用版（3SwordPE.RAR ）下载：http://bbs.cf91.com/read.php?tid=8256，如图 [simg]http://bbs.cf91.com/attachment/Mon_0708/17_355_7e3b6c62a248ff4.gif[/simg]   该论坛同时介绍了制作制作PE启动软盘、U盘、移动硬盘的方法，有兴趣的可以试试。     因为手头上已经有了功能强大的“深山红叶PE工具盘”或“老九PE老毛桃修改版”光盘，没必要再搞一个，把杀毒文件提取出来，配合光盘PE系统来杀掉硬盘中的病毒就可以了。     以下是详细步骤：     一、制作杀毒文件并拷贝到U盘中     1、下载后将3SwordPE.RAR解压，如图 [simg]http://bbs.cf91.com/attachment/Mon_0708/17_355_eb029effaf0c3e0.gif[/simg]       2、升级杀毒软件的病毒库。尽可能将病毒库升到最新，以便能够识别更多病毒。双击Setup.bat，出现以下界面，按键盘上的上下箭头键，将光标移到“更新病毒库”项，回车。打开升级病毒库窗口，升级时间有点长，耐心等待过程结束，之后关闭cmd窗口。如图 [simg]http://bbs.cf91.com/attachment/Mon_0708/17_355_c99ece5a27aa230.gif[/simg]       3、释放杀毒程序到U盘中。用WinRAR或UltraISO打开3SwordPE.ISO，找到OUT_PRO文件夹下的JIANGMIN、KINGSOFT、RISING三个文件夹，释放到U盘中。如图 [simg]http://bbs.cf91.com/attachment/Mon_0708/17_355_7913b2e1385cc1b.gif[/simg]       4、修改一下用于卸载的程序。用WinRAR打开JIANGMIN下的Un_KV.exe程序，点“注释”，把Path和Setup行的B:\改成X:\(因为深山红叶和老九的PE系统盘符是X，最后确定。如图。     同样方法修改KINGSOFT、RISING文件夹的UN_KAV.exe和UN_RAV.exe [simg]http://bbs.cf91.com/attachment/Mon_0708/17_355_e8ad3d006f00823.gif[/simg]   [simg]http://bbs.cf91.com/attachment/Mon_0708/17_355_799c70e048a22c8.gif[/simg]   [simg]http://bbs.cf91.com/attachment/Mon_0708/17_355_d95b49e0039b4bc.gif[/simg]       二、启动PE系统，运行PE版杀毒软件     在中毒电脑里设置光驱为第一启动设备，放入PE工具盘启动PE系统，启动完成后，要设置一下“虚拟内存”，以便PE版的杀毒软件能够顺利运行。如图 [simg]http://bbs.cf91.com/attachment/Mon_0708/17_355_39cb2cf6db432fa.jpg[/simg]   [simg]http://bbs.cf91.com/attachment/Mon_0708/17_355_e7459a73e475943.jpg[/simg]       插上U盘，打开U盘中JIANGMIN、KINGSOFT或RISING文件夹，双击运行其中的JiangMin.exe、KingSoft.exe或Rising.exe（尽量不要运行与中毒机相同的杀软，以免覆盖了硬盘中杀软的文件），打开杀毒程序界面，然后杀毒。如图 [simg]http://bbs.cf91.com/attachment/Mon_0708/17_355_948fe6c45e8ce4a.gif[/simg]   [simg]http://bbs.cf91.com/attachment/Mon_0708/17_355_dc5d7a6e3fda632.gif[/simg]   如果时间允许的话，就将上述三款杀软都运行一次，交叉绞杀，尽可能避免病毒漏网。     三、卸载PE版杀软。杀毒完成后，双击Un_KV.exe、UN_KAV.exe或UN_RAV.exe来卸载杀软复制在硬盘中的杀毒文件。     以下是杀毒实战截图。如图 [simg]http://bbs.cf91.com/attachment/Mon_0708/17_355_d818f2944968678.jpg[/simg]   [simg]http://bbs.cf91.com/attachment/Mon_0708/17_355_1849bdd064fec80.jpg[/simg]   [simg]http://bbs.cf91.com/attachment/Mon_0708/17_355_be638e346f9abfd.jpg[/simg]       四、清理病毒在注册表的加载项     在PE下杀毒，杀掉了病毒文件本身，而病毒改写了的注册表键值还在硬盘的系统中，为了使杀毒后的系统能够顺利运行，有必要清理注册表。     1、去除病毒“映象劫持”。重启电脑，进入安全模式（如果安全模式被破坏，只好进入正常模式）。运行Autoruns这个软件（如果Autoruns也被“劫持”的话，将Autoruns程序改名即可），点“映象劫持”标签，删除“Your Image File Name Here without a path”以外的项删除，如图 [simg]http://bbs.cf91.com/attachment/Mon_0708/17_355_250cecb06eec217.jpg[/simg]       2、删除病毒启动项、服务和虚拟驱动。运行软件SREng（System Repair Engineer），点“注册表”标签，删除病毒的启动项，修复Userinit等； 点“服务”标签，再点“Win32 服务应用程序”按钮，勾选“隐藏已认证的微软项目”，然后找病毒加入的服务并删除，完后退出； 继续点“驱动程序”按钮，勾选“隐藏已认证的微软项目”，找到病毒的驱动并删除。     3、修复安全模式等等。   用Autoruns、SREng、修复安全模式(略) 请问:微点能否把杀毒文件提取出来，配合光盘PE系统来杀掉硬盘中的病毒?若能又如何提取?请版主或杀毒高手帮忙回答.不胜感激. ※ ※ ※ 本文纯属【hlxhcr】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-5-10 17:02 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #2   微点暂不支持在PE系统下的启动。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2008-5-10 17:15 e898998 新手上路 积分 6 发帖 6 注册 2008-5-9 #3   微点搞个光盘版，呵呵 ※ ※ ※ 本文纯属【e898998】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-5-12 10:54 肯德基 注册用户 积分 67 发帖 67 注册 2008-5-4 #4   要是微点也支持就好了 ※ ※ ※ 本文纯属【肯德基】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-5-15 20:21 weidiansd 注册用户 积分 50 发帖 50 注册 2007-5-27 #5   我来了，给楼主送个支持，闪啦楼主拜拜 ※ ※ ※ 本文纯属【weidiansd】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-5-17 03:58 zhou_yiwei 新手上路 积分 3 发帖 3 注册 2008-5-17 #6   楼主写的太好了,,,真的,,对我们来说这是一种好事情呀.建议强烈置顶下. ※ ※ ※ 本文纯属【zhou_yiwei】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-5-17 10:35 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号