Vista裸奔实战教程（非原创）|:: ＩＴ数码 :: - 啄木论坛

发帖: 1247

啄木币: 198

鲜花: 297

只看楼主倒序阅读使用道具 0楼发表于: 2009-01-26

说实话，自从上回我下定决心把九系统里的七个给我玩烂的系统重装后，我就一直处于裸奔状态，无论Vista还是XP、2003和2000。很早以前不上网时，感到裸奔天经地义；几年前开始频繁上网，感觉没有杀毒软件就是自杀；升入大学，学习信息安全专业，有充足的时间研究系统、病毒，杀毒软件在与病毒的斗争中也越来越处于弱势，越来越不能信任……裸奔重新成为一种时尚。

讲句得罪人的话，现在的杀毒软件清一色的垃圾，无论是大家推崇的卡巴、nod32，还是被人鄙视的国货瑞星、日薄西山的诺顿，在这个病毒横行且越来越智能化的今天，杀毒软件只能起到一个屏障的作用——插U盘、上恶意网站时时能够提示你有毒……当你真正中毒以后，杀毒软件往往无能为力，就算查出毒来也杀不干净——毕竟病毒体现了人的智慧，杀毒软件只是一种机器的智慧，他无法包罗万象！杀毒软件越来越像疫苗而不是起死回生的灵药。

其实，中不中毒与操作习惯有关，人人都可以做到裸奔而不易中毒；中了毒以后能不能手动清干净是一个技术活，虽然三言两语很难教会，但是我希望能以一些实例来帮助大家提高。

一、御敌于国门之外篇
为什么会中毒？其实几乎100%的病毒都利用的社会工程学——一些人的操作习惯和管理上的漏洞，图方便的心理……技术上来说，像熊猫烧香、磁碟机这样的毒王毕竟是很少的，大部分的病毒不过就是一些编程初学者的作品，这些病毒不用杀毒软件你就能解决，而磁碟机等你就算装了杀毒软件往往也难以免受其害……

现在病毒传播最猖狂的方式是什么？毫无疑问——U盘！
1.自动播放必关：此言一出，怕是又有一批微软拥趸来找我麻烦了……默认等于最优的观点又摆上了台面……讲述自己使用自动播放如何如何方便又如何如何不中毒的言论又会出来……我今天不是来吵架的，Vista虽然对自动播放的功能做了改进，不像XP那样容易中毒了，但是隐患还是很大，病毒想突破Vista的自动播放还是有章可循的。

2.绝对不能双击打开U盘：不想中毒的话，哪怕是自己的U盘，也不要随意双击，包括右键以资源管理器打开也不安全（我们信息安全导论老师推荐的方法，可见其思维有些落后了），现在最安全的方法自然是用WINRAR等压缩文件管理器和一些安全工具里的文件管理器，但是太麻烦，取个折中的，地址栏里输盘符——理论上也会被病毒利用，但是至少我没见过这种毒，可见数量较少，大部分时候地址栏输盘符是安全的。

3.不要管好不好看，隐藏文件一定要显示：很多同志隐藏文件是不显示的，这不是好习惯，而且，显示隐藏文件要彻底，有些人这一项不打开：图1

不打开是没用的，病毒肯定不光是隐藏属性，往往也是系统属性……从这里进一步能看出“微软推荐”的可笑——推荐的安全设置为病毒流行大开绿灯！

4.学会手工删除U盘病毒：U盘病毒更新是很快的，而且据说现在的杀毒软件仅仅能查杀30%的病毒，再加上U盘全扫带来的时间消耗，更重要的是U盘中往往没有系统文件、重要程序干扰你判断，因此，学会手动查删U盘病毒很有必要，进入U盘，如果有autotrun.inf必然要删除，若根目录下有隐藏属性的exe、vbs、com、xml……文件一定要删，除非你能确定这是你自己的文件，有一处大家容易忽略——recycler文件夹，一般U盘是没有回收站的，如果出现了recycler，建议删除，删不掉就用文件粉碎机，就算是真的回收站，粉碎了也没关系，还有一种病毒会建立图标、文件名类似于你的文件夹的exe文件，多加注意，昨天我室友就中了招，今天我后面的杀毒演示就是以那个病毒为准的。

通过恶意网站传播病毒，也是病毒传播的一大主要途径
防止这种病毒传播其实很简单，我不信你只上远景能上出毒来，注意一下别去可能有危险的网站就是了，建议常常上不明网站（比如常常百度查找一些八卦内容的）打开UAC和Defender，通常就不会有问题，这时如果UAC突然报告，禁掉就行了。至于某些对黄网有偏爱的网友，建议你们还是老实装杀软的好……正规网站被挂马、挂毒的概率不能说没有，我们学校网站就遭遇过，真要是这样，那也没办法，所以我这个以前反对UAC的人还是建议不想看到黑脸的同志们去组策略里把UAC改成直接提升吧，这样平时基本没有提示，病毒改注册表或者往系统盘里删加文件还是会提示的。

局域网传播病毒的抵御
有些病毒会自动传到局域网的每台机器，看似很可怕，其实这种病毒大家不必太担心，通过局域网中病毒的概率比较小，真要是安全为重，用windows防火墙吧，病毒流行期间，阻止所有传入连接就是，对上网、迅雷没有影响，最多就是有些程序的自动更新失效而已。

文件型的感染
下载文件和附件下到了病毒怎么办？一般下载器和邮箱都有病毒检测，不必担心，而且你下一个游戏时结果下来一个几百K的文件你会去打开么？

二、关门打狗篇
病毒种类很多，手工杀毒方法不统一，最关键的是经验和对系统文件的了解，我以昨天替同学手工杀毒的例子演示，很抱歉，由于当时没有截图，所以我这回做的演示都是我自己模仿病毒的行为创建一些文件和注册表项目，实际上并没有毒，只是给许多从未玩过手工杀毒的同志们建立一个印象……

首先，这是一个新病毒，同学机器上的最新卡巴斯基对他完全没有反应，同学不小心直接双击了我从复印店带回来的U盘，中毒了……病毒首先修改了注册表项，导致注册表锁定、任务管理器锁定、文件夹选项锁定……但是，可以用一些第三方工具修改注册表，因此，想要手工杀毒的朋友，这些方便的工具是必不可少的——wSyscheck就是一款很不错的工具，支持vista，个人认为比冰刃好用。
图2

使用wSyscheck编辑注册表，把病毒的启动项干掉，位置有两处，local_machine和current_user里都有，具体路径如图左下角，在local_machine还是current_user里具体情况不同，这里病毒伪装成yahoo的程序，但细心的人会发现，iexplorer.exe不可能出现在C:\Windows\system32里，必然不正常
图3

解决掉启动项后，关掉可疑进程，用软件的进程管理器就行，关掉后如果立即重现，记得选上软件设置里的“禁止创建文件和进程” 图4
用软件的文件管理工具删除病毒体，通常，以我的经验，病毒体出现概率较高的地方有——C:\、C:\windows、C:\windows\system32\drivers、C:\windows\system32、C:\windows\system，重点检查这几个文件夹，果然……
C盘根目录有不正常的文件夹——c:\autorun.inf\nsfd.
由于带非法字符"."，所以只能用命令行删除：图5 图6

查到c:\windows。发现两个不该出现的文件——iexplorer.exe和word.exe，由于这并非原来的病毒体，是我自己仿照当时的情况创建的，所以是零字节……^_^，删除之图7
类似的，在c:\windows\system32里也找到了这两个文件，干掉
再找c:\windows\system，发现文件svchost.exe，这是系统文件名，但位置不对，真的应该在system32里：图8
进入软件的服务管理选项卡，将文件指向临时文件夹或者用户文件夹的服务全部连同文件删除（基本上是病毒的），只保留指向已知程序、驱动等的服务，因为建立服务麻烦些，我没有模拟，所以忘了写图9

文件和服务全部干掉，现在用软件的注册表编辑器给注册表、任务管理器、文件夹选项解封：
进入如图的路径，将病毒所修改的三项键值改为0或者删除：图10
完成后，进入真正的注册表编辑器，搜索和病毒文件相关的信息，如word.exe、iexplorer.exe，删除，记得iexplorer.exe在windows文件夹下的是病毒，程序文件夹下的是IE，别删错了，而真word的可执行程序是winword.exe，别弄混了，删注册表很危险的。

重启，病毒被清除，看了上面的同志们应该发现，这不是个很猛的病毒，但是却充满著作者的意图，病毒运行就好像作者亲自复制文件、运行文件、修改注册表一样，我今天模拟的时候就感到如此，杀毒软件机械的特征码匹配与人类的智慧差距太大，至少，注册表项杀软就清不干净！

希望对有志于裸奔的勇者们有帮助！[/color

[ 此帖被xiaohared在2009-01-26 16:43重新编辑 ]