关于病毒模块插入系统、应用程序进程的问题

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介:
最近,在论坛看帖子时发现:中毒后,杀而不净的现象比较普遍。更有甚者,毒没杀净,杀软反而被干掉了。其实,这也不是什么新鲜事,针对各有名杀软的病毒早就有。卡巴斯基这样的名杀软被病毒干掉也不是什么新鲜事。
不废话了。言归正传。
中毒后,杀不净,常见的原因之一是病毒插入了系统/应用程序进程。
不将被插进程中的病毒模块处理掉,毒是杀不净的。
如何发现进程被插?常见的方法是:在中招的电脑上扫SRENG日志。SRENG日志的“正在运行的进程”部分可找到进程被插信息(阅读这部分日志判断进程中的病毒木块————需要经验)。当然,你也可以用IceSword一一检视进程列表中各进程的“模块信息”(比较累)。
按照手工杀毒时的不同处理方式,被插进程大致可分为以下几类:
1、系统核心进程。系统核心进程不能结束。否则,系统崩溃。
下面是阅读论坛中求助帖时,在SRENG日志见到的一个具体例子:
正在运行的进程
[PID: 668][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\E5CEBDF.DLL] [Microsoft Corporation, ]
这段日志提示:系统核心进程C:\WINDOWS\system32\csrss.exe被病毒模块插入了。插入此进程的病毒模块是C:\WINDOWS\system32\E5CEBDF.DLL。
如果不采取相应措施卸掉csrss.exe进程中的E5CEBDF.DLL,病毒文件C:\WINDOWS\system32\E5CEBDF.DLL无法删除。
除了csrss.exe以外,属于系统核心进程的还有:
SystemRoot\System32\smss.exe
SystemRoot\System32\winlogon.exe
SystemRoot\System32\lsass.exe
SystemRoot\System32\services.exe
SystemRoot\System32\svchost.exe
处理这些进程中的病毒模块,我尝试过:
(1)用IceSword禁止进程创建,然后,强制卸除之。有时可以成功卸除,有时卸除失败(系统崩溃,重启)。
(2)如果(1)失败。可以尝试“禁止进程创建”后,强制删除病毒模块文件,有时也可达到目的(如木马Keygen.exe的处理)。
(3)如果(1)、(2)均失败,可以尝试用SSM解决问题:将病毒模块录入SSM的规则中,禁止病毒模块加载。将SSM设置为“启动加载”。然后,重启系统。
(4)将病毒模块录入Tiny的黑名单。重启系统。
(5)在安全模式下尝试删除病毒模块(成功率并非100%)。需要注意的是:有些病毒感染后,用户根本无法进入安全模式。这时,就别想这招了。没用。
总之,中招者必须想办法将这些系统核心进程处理干净。否则,病毒杀不净。
2、explorer.exe(资源管理器)进程。这种进程插入比较常见。
explorer.exe进程可以结束(不会导致系统崩溃)。但是,用户若结束了explorer.exe进程,那他就只能对着一个空荡荡的桌面发呆了。
插入了explorer.exe进程的病毒模块,用IceSword禁止进程创建后,一般可以顺利卸除。
3、一般应用程序进程。
这种情形最容易处理。用IceSword禁止进程创建,然后,找到相应进程,结束之。
4、比较“掉轨”的情形:
用IceSword,预先设置了禁止进程创。然后,根据SRENG日志提供的信息,所有被插进程都处理干净了,但病毒文件依然无法删除!
导致这种情形的原因常被忽视: 您遇到了“动态插入”(即:中毒后,用户运行哪个程序,病毒模块随即插入其进程中)。很可能是————您运行IceSword时,病毒插入了IceSword进程。这时,应检查IceSword进程的“模块信息”,找到其中的病毒模块,强制卸除之。
将所有被插进程处理干净后,即可开始删除病毒文件。
注意:如果前面用IceSword处理进程时一切顺利,删除病毒文件时,请不要更换工具,继续用IceSword操作。
删净病毒文件后,还要删除病毒添加的注册表项(根据SRENG日志)。
当然,您愿意先删除病毒添加的注册表项,然后再删除病毒文件,也是可以的。这只是个操作顺序问题。用IceSword禁止进程创建并处理干净所有进程后,这种不同的操作顺序————没有什么本质区别。
总之,进程插入问题,是导致病毒屡杀不净的常见原因。手工杀毒时,需重视这个问题,并根据实际情况,灵活采取相应的措施。
此贴于2007-4-3 10:16:23被baohe修改
  
发贴时间:2007-4-3 10:25:12
部分回复:

1、辨认系统进程中病毒模块问题:凭经验。正常系统中C:\WINDOWS\system32\文件夹中没有E5CEBDF.DLL这个文件(这个回答可能让你失望)。
2、用IceSword强制邪除系统进程中的病毒模块,实质是“结束病毒模块的运行状态”(运行的文件是无法删除的)。
3、不结束病毒模块的运行状态而强制删除病毒模块文件的例子较少(这样做,要辅以特殊措施),据我的经验,也只有IceSword可以实现这种操作(尽管成功率不是100%)。那个Keygen.exe木马的处理就是个例子。强制删除病毒文件后,待硬盘无读写动作时,立即断开系统电源,即可奏效。这算个特例吧。
尽管是特例,但也是实践证明成功的例子,必要时可以考虑这样的方法。总之,手工杀毒讲究的是“灵活”,不必拘泥于什么“成规”。有时,就是要打破成规。
转载自卡卡论坛病毒版baohe大虾的大作

















本文转自starger51CTO博客,原文链接: http://blog.51cto.com/starger/22559,如需转载请自行联系原作者

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
2月前
麒麟系统mate-indicators进程占用内存过高问题解决
【10月更文挑战第7天】麒麟系统mate-indicators进程占用内存过高问题解决
268 2
|
28天前
|
网络协议 Linux 虚拟化
如何在 Linux 系统中查看进程的详细信息?
如何在 Linux 系统中查看进程的详细信息?
58 1
|
28天前
|
Linux
如何在 Linux 系统中查看进程占用的内存?
如何在 Linux 系统中查看进程占用的内存?
|
3月前
|
监控
MASM32写的免费软件“ProcView/系统进程监控” V1.4.4003 说明和下载
MASM32写的免费软件“ProcView/系统进程监控” V1.4.4003 说明和下载
|
2月前
麒麟系统mate-indicators进程占用内存过高问题解决
【10月更文挑战第5天】麒麟系统mate-indicators进程占用内存过高问题解决
178 0
|
3月前
|
监控 Ubuntu API
Python脚本监控Ubuntu系统进程内存的实现方式
通过这种方法,我们可以很容易地监控Ubuntu系统中进程的内存使用情况,对于性能分析和资源管理具有很大的帮助。这只是 `psutil`库功能的冰山一角,`psutil`还能够提供更多关于系统和进程的详细信息,强烈推荐进一步探索这个强大的库。
52 1
|
3月前
|
监控 API
【原创】用Delphi编写系统进程监控程序
【原创】用Delphi编写系统进程监控程序
|
5月前
|
运维 关系型数据库 MySQL
掌握taskset:优化你的Linux进程,提升系统性能
在多核处理器成为现代计算标准的今天,运维人员和性能调优人员面临着如何有效利用这些处理能力的挑战。优化进程运行的位置不仅可以提高性能,还能更好地管理和分配系统资源。 其中,taskset命令是一个强大的工具,它允许管理员将进程绑定到特定的CPU核心,减少上下文切换的开销,从而提升整体效率。
掌握taskset:优化你的Linux进程,提升系统性能
|
5月前
|
弹性计算 Linux 区块链
Linux系统CPU异常占用(minerd 、tplink等挖矿进程)
Linux系统CPU异常占用(minerd 、tplink等挖矿进程)
191 4
Linux系统CPU异常占用(minerd 、tplink等挖矿进程)
|
4月前
|
算法 Linux 调度
探索进程调度:Linux内核中的完全公平调度器
【8月更文挑战第2天】在操作系统的心脏——内核中,进程调度算法扮演着至关重要的角色。本文将深入探讨Linux内核中的完全公平调度器(Completely Fair Scheduler, CFS),一个旨在提供公平时间分配给所有进程的调度器。我们将通过代码示例,理解CFS如何管理运行队列、选择下一个运行进程以及如何对实时负载进行响应。文章将揭示CFS的设计哲学,并展示其如何在现代多任务计算环境中实现高效的资源分配。

相关实验场景

更多