ati2avxx恶意代码手工查杀
来源:互联网 发布:CVI ibevent windows 编辑:程序博客网 时间:2024/06/03 13:17
恶意代码手工查杀
实验目的
手工查杀木马病毒ati2avxx.exe 对手工查杀木马的流程进行实践
实验要求
运行所给的恶意程序的样本,分析运行成活原因,利用所给工具对其进行查杀,使系统恢复正常
实验工具
- IceSword
- ProcessExplorer
- ProcessMonitor
实验过程
运行前的准备
首先保存虚拟机快照,目的是能够重复实验,保证实验的准确性与最后的成功.
并且,为了实验方便,在程序运行前,首先打开IceSword
,因为本恶意程序就是不让程序正常打开,实验目的只是查杀验证,方便使用工具
检查
首先将病毒文件修改为exe,并点击运行,运行完程序,程序会自动消失,隐藏起来
此时开始利用IceSword
工具进行检查
会发现有个奇怪的进程正在运行,并且从来没有见过,范围已经锁定了,进一步的确定
咦,发现这个位置有问题
然后利用ProcessExplorer``ProcessMonitor
工具确认一下
种种迹象表明这个就是那个恶意程序,由于其是隐藏的,发现不了,正准备打开隐藏文件,结果发现这个恶意程序把系统注册表修改了
可以看到ati2avxx.exe
和explore.exe
一直在运行,当杀掉ati2avxx.exe
时会发现又被重启啦。看来两个必须同时kill掉
分析
在ProcessExplorer
中可以看到ati2avxx.exe
是被 explore.exe
加载的,而explore.exe
是ati2avxx.exe
的守护进程
然后利用IceSword
工具同时干掉进程,会发现没有重启
接着利用ProcessMonitor
可以设置filiter
,将进程为ati2avxx.exe
的过滤出来。
首先看一下创建那些文件
会发现一些文件只是单纯的混淆视听用的,但有几个属于重要的moyulh.dll
、tgknpb.inf
、tgknpb.exe
、autourn.inf
等等
我们先按照名字把明显的文件删除
删除完毕后开始删除备份,毕竟一个恶意代码程序为了保证其存活程度,会隐藏几个备份文件,避免主要程序被删除后,能够继续恢复,而这几个备份文件肯定不会取名非常明显,会隐藏在一堆系统文件之中.
直接利用Everything
删除文件,这个在windows
中查找文件,删除文件比较方便彻底
为了防止少删除几个文件,按照时间排序然后分析删除
删除IMES.dll
最后整个系统文件查询一遍,把有问题的删啦,然后就基本上算是删除完
重启后发现没有程序,进程也没有,啥都没有表示成功
实验收获
通过此次试验我基本熟悉手工查杀的一些流程,了解当一个恶意程序被加载后,需要首先kill掉所相关联的进程,避免生成,然后为了防止程序的日后继续产生,需要对程序相关文件以及相应的备份文件进行彻底的删除,如果漏掉一个就有可能会继续运行。而如果不事先kill掉进程,删掉文件也会生成。
这次的恶意程序具有保护进程,并且修改了很多地方的注册表,包括隐藏文件,进一步的将自己隐藏起来。并且为了具备强大的生存性,将备份文件多个隐蔽,很难查找
然后了解IceSword
、ProcessExplorer
、ProcessMonitor
三个工具的基本功能以及学会简单的使用。
综合而言,这次的手工查杀实验使我明白,如果要成功的写一个恶意程序,其功能的强大只是一方面,如何使其齐备强大的隐藏性和生存性是其重要的方面。而在查杀方面,不能简单的以为删除文件就算完事,必须找到相关的所有程序,注册表等相关,全部删除才能彻底的查杀恶意代码。
- ati2avxx恶意代码手工查杀
- 手工查杀木马病毒
- 手工查杀木马
- 灰鸽子的手工查杀
- 手工查杀木马病毒方法
- 两个开源恶意代码的查杀引擎 clamav yara
- 恶意代码--杀毒软件查杀的对抗技巧分享
- 手工查杀优盘中的病毒
- 手工查杀病毒入门基础知识简介
- 浅谈android手机木马手工查杀
- 恶意代码
- 恶意代码
- "中国黑客II"病毒分析 并手工查杀
- 熊猫烧香病毒超强分析(手工查杀方法)
- 一分钟学会手工查杀流氓驱动
- 2006十大病毒手工查杀方法
- 专家谈手工查杀AV终结者病毒详解
- 手工查杀木马病毒 lpk.dll, usp10.dll
- Mask R-CNN
- 人工智能、机器学习与深度学习
- 【TensorFlow】tf.scatter_update()
- C++/MFC-时间与日期
- Python中 sys.argv[]的用法简明解释
- ati2avxx恶意代码手工查杀
- Deep Residual Learning for Image Recognition
- 安卓中沉浸式状态栏实现
- 关于DigitalClock属性过时的解决办法——替代者TextClock
- 一、树莓派3B烧录系统
- 学习使用:before和:after伪元素
- Build Your Own Angularjs 读书笔记(AngularJS牛逼的地方在于它内嵌了一个表达式到Function对象的编译器。。。当然还有DI框架)
- 关于win03利用SID原理--克隆管理员账号
- 深度卷积网络在计算机视觉中的应用研究综述