微点交流论坛

标题: 学习基本的手动杀毒技巧 [打印本页]

作者: segourigh 时间: 2006-4-21 08:31 标题: 学习基本的手动杀毒技巧

学习基本的手动杀毒技巧

WIN2000/NT/XP 系统常规进程列表

◆ 常用的相关运行命令列表：
「services.msc」 '启动系统后台服务管理
「gpedit.msc」 '策略编辑器，可进行大部分常规的系统设置修改
「msconfig」 '系统配置程序，可查看系统常规的部分设置和自启动项目
「regedit」 '注册表编辑器，实时修改系统注册表项目
'需注意的是系统配置程序的「启动」查看后面会有加载的方式和基本的注册表位置
◆ 常用的相关系统快捷键
'系统键盘上有个印有 WINDOWS 徽标的按键称为 WIN 键
WIN + D '显示或隐藏所有窗口项目
WIN + F '搜索
WIN + R '运行
WIN + E '启动资源管理器
WIN + Print Screen '保存当前显示器图象至剪贴板
Ctrl + Alt + Del '启动系统任务管理器
◆ 注册表中常规自启动加载项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
'注意有些键未必会有，存在了就要检查，都是以 Run 开头，还有 RunAsService 等
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
'在此父键下的「Shell」的键值应该为：Explorer.exe '少数病毒或木马会在此进行伪装
'在此父键下的「Userinit」的键值应该为：C:\WINDOWS\system32\userinit.exe, '注意是否被修改
'另注意是否在此键下是否多出了「Run」或者「Load」项 '正常情况下是没有的，只要出现就要注意它指向什么程序了
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
'在此键下也有可能会出现类似的，但不常见。
◆ 另外的加载方式就在开始菜单的「启动」菜单里或者以批处理方式启动
批处理方式：AUTOEXEC.BAT '位于主引导分区根目录下，应该是空的。
◆ 系统服务方式加载的木马会伪装进程，需要对服务有一定了解
'运行「services.msc」可查看服务列表并进行服务的停止、启动、禁用等操作
'建议在刚全新安装系统后查看次列表以方便以后查出陌生服务项
'有些杀毒软件会增加服务项，注意区分。
◆ 有些常规的程序的位置要注意
'svchost.exe , csrss.exe , lsass.exe 位于 C:\WINDOWS\SYSTEM32\ 下
'升级或追加系统补丁后可能在备份文件中出现第二个，如果没有就只存在一个
'常见有病毒或木马对其进行伪装，一般会在 C:\WINDOWS\ 目录下进行伪装
'这些进程在系统任务管理器中显示的只要是你的用户名就存在问题
'正常的显示「用户名」应为：SYSTEM、LOCAL SERVICE、NETWORK SERVICE 等
知道这些一些常规的病毒都可以手动进行发现和清除。
对付顽固的病毒或木马可以在「安全模式」下或「DOS模式」下进行强制清除
开机时按F8可选择进入「安全模式」
用 WIN9X 的启动盘可引导进入DOS模式

作者: sxh_sxh 时间: 2006-4-21 09:29
欢迎灌水，值得认真学习！

作者: 囚中城 时间: 2006-4-21 14:37
正常用户名还有个administrator
最高权限的，嘿嘿

作者: 危星用户 时间: 2006-4-21 19:00
楼主辛苦了...偶长知识了。.....

作者: zqrsc 时间: 2006-4-22 08:54
不错~不错~ 虽然基本但却是应该掌握的基础知识。
赞一个。

作者: 0000000000 时间: 2009-6-24 14:19
no

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn