|
卡巴斯基虽然是一款非常不错的杀毒软件,但是仍然不能百分之百的保护系统不受病毒的入侵和破坏,不过最新的卡巴斯基提供了一个不错的功能,就是可以创建一个类似于SRENG日志的系统报告,我们通过安全报告中的信息内容,就可以判断出列表中的病毒文件、注册表等信息,然后编写出对应的AVZ脚本就可以快速的清除病毒了。 一、分析系统信息 为了更好的介绍AVZ脚率的操作,本文我们就使用PcShare木马来配合演示。首先打开卡巴斯基的主窗口,点击窗口左下角的“支持链接”,然后在弹出的窗口中点击“支持工具”,再在“技术支持服务信息”窗口中点击“创建系统状态报告”按钮,这时卡巴斯基就会收集系统信息并生成报告了。 报告生成后,点击窗口中的“查看”按钮,卡巴斯基就会打开存放报告的文件夹,可以看到安全报告是以sysinfo.zip压缩包的形式存在的。由于该目录下的文件受到了卡巴斯基的保护,因此我们需要先将压缩包复制到其它目录下,然后就可以将里面的报告解压出来进行查看了。
解压后可以看到两个文件,即avz_sysinfo.htm和avz_sysinfo.xml,使用浏览器打开avz_sysinfo.htm文件就可以查看了。由于卡巴斯基是一款俄罗斯的软件,因此我们看到的报告里的文字有可能是乱码,可以点击IE浏览器的“查看”菜单,选择“编码”中的“简体中文(GB2312)”,这样就可以比较好的查看报告中的信息内容了,虽然报告中的描述仍然是英文,但是基本的信息还是可以看明白的。 二、查看安全报告 报告里列出来了系统中正在运行的进程、内核模块、服务、驱动、自动运行,还有信息的名称、软件版权、软件厂商等信息,同时还会通过不同颜色的信息来告诉用户,比如系统信息会用绿色进行显示,第三方信息会用黄色进行显示,而危险的信息则使用刺眼的红色进行显示。当发现标注为红色的信息后,我们就需要特别的注意了,尤其是那些没有软件信息的内容。在每一个信息的下方,都有一个脚本操作区,里面包括了隔离、删除、Bc删除和终止等操作。 在“内核模块”里发现了一个可疑的vojspr.Dll模块,事实上PcShare木马服务端的一个特征就是可以随机生成。点击“删除”来尝试删除这个文件,如果删除不掉的话我们还可以点击“Bc删除”,“BC”就是“BootClcaner”的意思,就是在重新启动进入系统前将病毒删除掉。对于那些已经加载到内存又赖着不出来,删除不掉的病毒就可以使用“Bc删除”了。另外,我们在报告中还发现了一个可疑的vojspr.Sys驱动,这也是木马用于隐藏服务端程序所使用的,同样点击脚本区中的“Bc删除”即可。 操作完成后,我们先转到报告文件的底部,在这里有一个“脚本命令”编辑框,里面就是我们刚才操作的脚本代码。
三、编写清除代码 接下来查看系统的安全报告,发现了木马程序的启动服务,另外我还发现Hosts文件也被更改了,当然这个文件的修改和PcShare木马没有关系。于是我又添加了“ExecuteSysClean;”、“BC_Activatc;”和“RebootWindows(true);”三行代码,分别表示删除所有引用病毒文件的启动项以及激活BootCleaner并重新启动操作系统。 现在点击“技术支持服务信息”窗口中的“执行AVZ脚本”按钮,在弹出的窗口中分别输入对应的脚本代码,然后点击“执行”命令就会执行脚本代码了。由于脚本中有“重启”功能,因此操作系统会自动重启,这样木马服务端就成功的被删除了。 本文来自 危险漫步博客 转载请注明; 本文地址:http://www./article/1602.html |
|
|
