如今出现了越来越多的对抗杀毒软件以及检测工具扫描的病毒,他们会关闭甚至删除杀毒软件以及检测工具。一般用户很难判断他们藏在哪里,做了些什么。而这时杀毒软件以及安全工具确普遍无法运行。
本文主要列举说明一些需要注意和检测的系统位置,以防范常见的抗杀软类病毒。
一:Run键值
典型病毒:AV终结者变种
目的现象:开机启动双进程坚守、关闭杀毒程序等。
检测位置:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
补充说明:该位置属于常规启动项,很多程序会写。
二:执行挂钩
典型病毒:大量恶意软件以及病毒均会写入
目的现象:杀毒软件难于清理、关闭杀毒程序等。
检测位置:
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellexecuteHooks
补充说明:很少有正常程序会写入该位置,病毒几率非常大。典型例外:瑞星反病毒软件
三:Appinit_dlls
典型病毒:机器狗新变种、磁碟机变种。
目的现象:安全模式也加载、关闭杀毒程序等。
检测位置:
HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWindowsAppinit_Dlls
补充说明:很少有正常程序会写入该位置,病毒几率变态大。典型例外:AVG互联网安全套装
四:服务以及驱动
典型病毒:灰鸽子变种
目的现象:难于发现与清理、关闭杀毒程序等。
检测位置:
HKLMSystemCurrentControlSetServices
补充说明:病毒写入底层服务与rootkits驱动,导致清除困难。
五:映像劫持
典型病毒:大多数AV病毒均会写入此位置
目的现象:简单粗暴地让某个特定文件名的文件无法执行
检测位置:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionImageFileexecutionOptions
补充说明:被劫持的文件不一定是exe文件。如Papa在处理恐怖鸡感染号病毒时,为了防止ani.ani还原病毒主文件,便劫持ani.ani文件。
六:目前已知删除安全软件文件的检测位置
典型病毒:飘雪变种
目的现象:杀毒软件安装文件被删除、sreng改名后运行立即被删除等。
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
补充说明:已知变种均会修改hosts文件、在QQ目录下写入隐藏的病毒dll并且修改APIHOOH。
七:Boot.ini文件
典型病毒:磁碟机变种
目的现象:独占访问Boot.ini文件,导致未更新的grub重启删除工具失效。
检测位置:Boot.ini
补充说明:在Vista操作系统下对该项检测没有意义。
小结:检测报告的分析工作需要具备常用软件以及操作系统丰富的使用经验,才可以比较迅速准确地定位到具体问题。本文仅将对抗杀软类病毒常见的关注位置找出来供大家参考。其实还有很多病毒会加载的位置本文不做详述,请具体问题具体分析。
PapaCheck检测工具v3.0目前可以比较全面地检测到包括对抗杀毒软件、删除安全工具病毒在内的非感染型病毒的写入位置。如在Vista下面使用时,需要右键单击该文件后点击“以管理员身份运行”。
注:在脚本运行时请阅读其中的免责信息。在检测的过程中有可能会提示“没有找到pkmws.dll,因此这个程序未能启动重新安装应用可能会修复此问题”点击“确定”即可。提示“插入软盘”,点击”“取消”即可。相关提示并不影响检测报告的生成。如果您没有执行扫描操作,按“CTRL+C”键终止或直接关闭了程序,则会在当前目录生成papa.com、papascan.bat、papawb.com、papashell.exe、papatask.exe这六个文件。相关文件释放与调用不会对您系统造成影响,检测结束后直接删除即可。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
趋势科技安全预警:新一轮勒索软件将蔓延中国大地
今天,全球服务器安全、虚拟化及云计算安全领导厂商趋势科技发出安全预警,新一轮勒索软件在中国开始蔓延。
-
为什么光有杀毒软件还不够?
杀毒软件(AV)是一个较大规模安全防护策略的重要组成部分,能够减缓恶意软件在互联网上的传播速度。但光有杀毒软件还是不够的……
-
应用程序安全管理的“八大”主张(二)
任何环境中最大的风险之一是终端用户安装和运行所有他们想要的软件的能力。有很多工具可用来限制终端用户是否可以在桌面上运行程序。
-
应用程序安全管理的“八大”主张(一)
在BYOD、云计算、大数据充斥的年代里,应用程序仍然是企业信息安全不可忽略的危险地带,系统管理员应该把管理应用程序及其安全作为首要任务。