• 绝大部分时间手工杀毒的时候都会选择例如狙剑、XueTr之类的工具,但这些工具毕竟是针对驱动级问题的,针对一些日常的简单问题,偶尔还是力不从心。

    针对这一情况,批处理就显得轻量并可定制化了。

    我从网上下载了一份批处理研究了一下,简单地扩充了一下,制作了一个集文件隐藏/显示切换、扩展名隐藏/显示切换、解锁任务管理器、解锁运行对话框、打开控制面板、解锁搜索功能的一个批处理。在这里干脆放出来,以方便和我一样的手杀朋友。

    因为Blo...

  • 安防工具简单用

    其实安全工具需要给客户提供的不是自动的、傻瓜式的清除,而是关于系统的真实信息反馈和强劲的可操纵能力,杀软忽视了这点,结果只能在强大的Rookit前黔驴技穷了,这也正是我推荐这些工具的缘故了.
    之前介绍的几款工具中,sreng和icesword虽然比较底层,但二者的可操作性都不够,功能也不够多,很多时候看到了可疑痕迹却没法下手,实在恼人.但单讲检测,二者还都是不错的,所以重点介绍Wsyscheck和syscheck、SRKit的一些重要功能.
    ...
  • 以下是本人收集的部分强大的安全工具,其各有特色,功能强大,欢迎各位下载使用,且请使用时小心谨慎!

    本次提供的软件包含:
    Wsyscheck (http://liuyanghejerry.blogbus.com/files/11971091321.rar)
    syscheck (http://liuyanghejerry.blogbus.com/files/11971091322.rar)
    icesword (http://liuyanghejerry...
  • 嗯……个人开张了一个技术小组,名曰深蓝技术小组,该小组目前为止只有我一个人……那啥,随时欢迎大家加入,当然,也别太菜哈~~群号:39496012
  • 呀...老有人说咱BLOG里实质内容太少,而且没有关于自己的事情...哎,这也是没办法的,写时事评论容易和政府起矛盾,写个人的情感吧,阴暗面又太多,而且牵扯到周围的朋友就不好了,尽管咱是个开放大度的人,但别人就不一定咯...说来说去,还是决定给人间带来些智慧,给世界播撒点美丽──我是说,讲点实用的电脑知识吧.
    在没挨砖之前,赶快说下:咱不是高手,也不是强人,用电脑上网的时间夸张点也才5年,学历只是目前十分过剩的高中且正在攻读,顺带说句,还是在重点学校的非重点班...咱没拿过程序员的什么等级证书,也没参加过什么知名的PC比赛,程序语言一个也没拿下,脚本语言只有一种算能看懂,硬件方面基本白痴,软件方面全靠GOOGLE,相关书籍一大箱子,多数没有吸收......但是(这连词特点就是分量足...),在今后的文章中,各位一定会有所收获.最后附加句:本系列文章适合只会用电脑,不懂原理的人看~...
  • 首先先从现象说起。到底自己的计算机有没有中木马呢?

    发现篇
    1、你应当安装杀毒软件,而且最好不是在感觉已经中了的时候,并且要升级到最新的版本。这时启动杀毒软件的主程序进行全面扫描。注意,一定是全面扫描,包括引导区、系统盘、其他盘、邮箱(如果你用客户端的话)、经常用的存储设备,不要保留某个自己的隐私文件夹给杀毒软件开红灯哦。杀毒软件是木马的的一关,在优秀的杀毒软件盘查下,N多常见的木马都会露出马脚,即使是做过免杀,也未必逃得过。如果杀毒软件扫出来了,不用怀疑,直接干掉……这现象明显吧?
    2、在操作系统没有打开大型软件(包括QQ、浏览器、Word(及其同胞)下载工具等等)时,甚至连小软件都没有打开,调用任务管理器(“性能”标签页)居然能看到CPU占用率奇高甚至达到100%,哼哼,不知道是病毒还是木马了,远程在你家进行一些密码猜解类的任务也是高等黑客的木马用途哦。
    3、同样用任务管理器,查看进程,勾选“显示所有用户的进程”,按内存使用排列,看看,什么进程占用的内存比较大,如果是个自己没见过的名字,就要注意了,另外如果你压根没开和浏览器相干的程序,浏览器也在睡觉,却仍然会有iexplore.exe出现,警惕吧。都没有问题的话,再切换到用户标签页,应该只有你一个用户在活动吧?应用程序标签页就不说了,有莫明其妙的东西直接确定为木马……
    4、在运行里输入“services.msc”查看系统的服务项,看看有没有陌生的服务,尤其那些没有详细描述,又处于“已启动”状态、启动类型为“自动”的的服务,一定要注意,它很可能就是木马哦!
    5、你的文件关联是否有异样呢?比如打开*.txt却冒出来图片浏览器,或者干脆就找不到程序,而且程序名还是奇怪的名字,什么ok.exe……遇到这种情况,除非是自己搞的关联,否则直接确定为病毒或者木马所为。
    6、在开始-程序-启动里,有陌生的可执行文件,比如:*.exe *.bat *.com,以及*.dll(动态连接数据库)需要警惕,8成就是木马。现在很多杀马的人都会忽略这个项目,认为太明显而不注意。
    7、IE的问题。IE浏览器也是木马最喜欢的东东,通常如果你的IE没有补丁的话,就会中网马,当时如果卡机的话,那就是溢出型的漏洞了……而且有些木马也喜欢更改IE的相关设置,甚至干脆捆绑上,一启动IE就会启动木马。
    8、陌生的网络请求。你家有好的防火墙的话,是最好的了,因为木马需要和远程主机或者网络进行连接,所以当防火墙提示你有什么程序正在试图访问网络的话,不要轻易许可哦!另外,就算没有安装防火墙,如果冷不丁弹出个IE页面的话,也有中木马的可能哦。(当然,流氓软件一样擅长)
    9、文件丢了……。搞笑的现象,记得曾经有个木马么还是病毒,会自动把指定格式的文件藏起来,让你找不到(可不是改属性为隐藏那么简单……),然后让你汇钱赎……遇到这种情况,先断网,因为黑客有可能正在监视你哦。
    10、RAR自解压文件。曾经非常流行的木马传播手段,自解压有时不仅仅是放出几个你需要的文件那么简单,很多黑客都会修改RAR压缩包的文件头来欺骗你,即使是右键选择用RAR打开,却仍然会放出你不想看到的东西。另外,修改RAR的文件代码也可以让它访问网络,遇到XXX.rar.exe的文件,千万不要双击,否则出现解压提示框的同时,某木马/病毒就已经在你计算机里安家了……对于RAR自解压文件,尽量不要使用,万一被迫使用,也要用右键“用RAR打开”,然后谨慎的观察网络,如果网络有来自RAR的连接,赶快杀毒吧……
    11、运行-cmd,输入“net user”,就会显示出已经在本机上建立的账户,包括管理员在内,看看有没有不认识的账户,有的话,9成中木马,而且被开了3389……(黑客技术如果够高的话,甚至可以让net user都举不出他创建的账户来)
    12、N多人都用QQ吧?如果QQ没有被意外损坏,而键盘加密却失败,也就是密码框的右边是个异样的锁(被禁止的锁),绝对是盗号木马!
    13、你家的计算机会自己向网站或别人的电脑发动攻击……应该就是僵尸一类的木马。
    14、待续……
    以上是偶暂时能想出来的现象,各位先对照着检查吧,如果偶能再想出其他的来,再续。



    清除篇

    1、首先就是把能找到的木马的组成部分都删除掉,能删多少删多少,而且要彻底的删,按住shift再删除,不经过回收站。
    2、现在的木马都比较厉害,不会说随便就因为你3了几个组成部分就死掉的,通常它们会比一般软件难处理的多,经常是刚一删除就再生了或者重新启动时再生,甚至干脆就删不掉,那么先不要赞叹它们有着胜过超梦的再生能力,而是把它们的位置都记住,重启计算机进入安全模式,再尝试3它们,最好一起3。
    3、一定要对注册表进行清理,如果有预先准备好的备份最好,实在不行找个clean reg也是可以的,当然,你完全可以使用工具进行修复,比如瑞星的注册表恢复工具,这个BBS里有提供,咱就不给下载了。
    4、必须查启动项。很多木马都会自动加入启动项,好在下次启动计算机时自动运行。启动项不仅仅是启动文件夹下的那几个,而是涉及到注册表。建议使用专用的工具,比如冰刃(BBS已经提供)
    5、对于*.sys的文件,一定要慎重处理,确定是木马的一部分后再3。
    6、排查木马时不要忘了system32这个文件夹,这个文件夹可以说是木马非常喜欢待的地方。
    7、很多木马都会起一个和系统程序很类似的名字,一定要注意区分。
    8、有工具就尽量用工具,如果确定了木马的种类,尽量用专杀工具(正规出身的最好)。
    9、很多木马查杀工具并不好用,甚至还不如杀毒软件
    10、清理木马前,请断掉网络连接,关闭QQ。
    11、在已经确定被污染的系统里,不要再去安装杀毒软件,亡羊要补牢,但是杀毒软件在这种情况下安装很多时候不会正常工作,给以后带来了隐患
    12、可以尝试在瑞星的官方网站上使用在线查毒,然后自己手动杀毒
    13、对于异常的系统,在进程中又找不到可疑的名字,那么可以用一些牛工具查看进程模块,看是否有异样,冰刃就可以做到
    14、已经确定为木马的文件,杀毒软件却视而不见,说明木马被改造了:加壳或者加花指令、修改特征码。对于加壳,可以使用PEid进行查壳并脱壳,这时再用杀毒软件进行查杀,如果是加了花指令或者修改例如特征码,比较麻烦,各位用别的方法吧。
    15、木马不只是单纯的存在于系统盘中,其他的盘也可能存在,而且要注意还原文件夹。
    16、U盘也需要查,U盘病毒很多时候都会把木马扯进来
    17、待续……

    预防篇

    1、不要随便下载东西,下载尽量去大网站。
    2、家里必须安装有杀毒软件,这里推荐:卡巴斯基和瑞星。(因为现在黑客界是以过卡巴、瑞星为荣的,其他的杀毒软件都54了……而且本人觉得好用)顺便提一下的就是,卡巴斯基在发现木马/病毒以后会直接把宿主程序也一起结束掉,连winlogon.exe也不例外……
    3、不要盲目相信杀毒软件以及防护性软件,现在的木马技术发展很快的
    4、很多人喜欢什么美化版、破解版、汉化版……非官方的这些版本都有可能就携带有木马
    5、下载工具在下载完毕时,最好设置为杀毒,比如迅雷就可以自动让主流杀毒软件进行查杀
    6、P2P原理的应用方便了很多人,但是必须注意其安全,吸血骡就是个例子(虽然不是个木马)
    7、定期备份关键的东东,比如你的宝贝资料、注册表,这里顺便推荐下一键恢复的光盘版和硬盘版(注意,不要对其备份进行碎片整理,否则将破坏该备份!)
    8、管好自己计算机的端口,比如最危险的3389,关闭的方法很多,这里就不多说了
    9、管理员账户必须有强壮的密码,而guest账户则禁用!
    10、善用加密软件
    11、时常给windows打补丁,尤其是针对IE的。常用软件也别忘常升级,QQ刚被爆出某严重漏洞的说……
    12、防火墙建议配备。
    13、禁止掉自动播放,在组策略里可以设置
    14、推荐安装影子或者沙盘,以便预防来自网络的新/免杀木马
    15、待续……