手動清除計算機病毒案例探析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了手動清除計算機病毒案例探析范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：計算機病毒是編制者在計算機程序中插入的破壞計算機功能或者數據的代碼，能影響計算機使用，能自我復制的一組計算機指令或者程序代碼（1）。計算機病毒具有很強的隱蔽性，有些可以通過病毒軟件監測出來，有些隱蔽性很強，具有一定的環境適應性能力，這類病毒處理進來通常很困難（2）。由于殺毒軟件更新的滯后性，用常規的殺毒方法未必能及時有效，且很容易損壞正常軟件，造成計算機無法正常運轉等損失。正確分析計算機的異常行為，查找發病源，通過手動殺毒，也是一種直觀的方法及有價值的嘗試。

關鍵詞：計算機病毒；殺毒軟件；手動殺毒

計算機感染病毒后通常會出現一些容易發覺的異常表現行為，如計算機啟動速度慢、程序運行卡頓、文件損壞或丟失以及出現間歇性斷網等。通過計算機行為的異常表現，然后反推問題的根源，再通過適當的殺毒方法進行病毒清除。下面是一個服務器出現異常的案例：筆者打開服務器時異常卡頓，打開任務管理發現svchost運行程序占用CPU資源達到99%以上，嚴重影響了服務器的運行，這是病毒的一種典型表現。

1病毒特征分析

1.1Svchost進程分析

Svchost.exe是Windows操作系統中的核心進程文件，從動態鏈接庫（DynamicLinklibrary，DLL）中加載的通用主機進程,該進程是系統運行的基礎進程之一，且不能被中止(3)。因為svchost.exe是一個基礎進程，可以訪問很多系統資源和文件，所以svchost.exe非常容易被病毒所利用。被病毒利用之后，系統常會彈出svchost.exe錯誤，當然svchost.exe病毒也有不少專殺工具。很多木馬程序喜歡偽裝成這個服務程序來逃過查殺。為進一步確認，筆者通過資源管理器觀察了一下這個進程的更多屬性，發現了更多異常之處。

1.2怪異的命令行參數

該進程是通過一串命令啟動起來。具體命令是:svchost-ogulf.moneroocean.stream:10001-uxxxxx–do⁃nate-level=1

1.3可疑的管理員賬戶

經查證，進程svchost.exe的啟動用戶是Administrator，是這臺計算機的超級管理員。windows默認的系統管理員賬號是預留出來的，系統默認情況下隱藏這個賬號，除非在計算機上沒有其他賬號可用。超級用戶只能有一個，但進一步查看Admin⁃istrator的文件夾，居然有兩個，這說明服務器存在病毒，需要我們進一步深入分析。

2解密

2.1參數的含義

參數中的gulf.moneroocean.stream看起來是個域名，嘗試訪問之后，發現是門羅幣的網站，那么該病毒極有可能與門羅幣有關。Monero中文翻譯成門羅幣，是區款連比特幣的一種。參數合起來的意思是:通過gulf.moneroocean.stream服務器從事挖礦活動，將受益放到賬戶為xxxxx的錢包地址當中，受益的1%捐贈給這個木馬的開發人員。

2.2真假賬戶

至于真假賬號的問題，我們猜想可能是某一個賬號采用了特殊字符，而windows文件系統無法正常顯示這個字符，于是看起來和真正的administrator是一樣的。為了證實這一點，我們把兩個文件夾的名字拷貝到notepad++里，果然原形畢露了。有一個賬戶用的A其實是希臘字符的A，在windows下看起來和A一模一樣。如果不夠細心的話，很容易認為這個進程就是Administrator起來的，進而容易誤判它為系統進程，達到魚目混珠的目的。

3手動查殺病毒

手動殺毒不會像殺毒軟件那樣，受病毒庫大小的制約，特別是對于那些新病毒，手動殺毒技術明顯優于使用殺毒軟件進行殺毒(5)。其次，手動殺毒技術的人工參與性質決定了它擁有充分的靈活性，這是作為計算機程序的殺毒軟件無法比擬的。手動殺毒技術能夠跟蹤單個病毒運行、了解病毒習性，從而在滅殺病毒后完美修復曾被起破壞的系統。通過分析，可以確認這就是門羅幣的挖礦木馬病毒，從任務管理器將它直接關掉是很簡單的事，但是難保他憑借什么觸發器再啟動起來，所以需要找到它的啟動位置并把它徹底刪除才是根本的解決辦法。手動殺毒一般應從幾方面入手：1）查內存，排查可疑進程。目的是為了將病毒從內存中清除掉。2）查啟動項，刪除病毒啟動項。3）通過病毒啟動項判斷病毒所在位置，從根本上刪除病毒。4）修復系統，常見的病毒會對系統部分損壞，必須對損壞的文件或系統進行修復。首先，為了保證操作的流暢性，我們先將資源占用率降下來。通過資源管理器只給這個進程分配1個CPU，使之最大CPU占用率不超過25%，這樣我們的手動操作就變得無比流暢。其次，為了找到這個可執行程序的地址，需要在資源管理器增加路徑一欄PATH，可以獲取路徑。這里采用了Powershell來獲取可執行文件的物理地址。通過powershell的命令，我們得出病毒可執行文件的物理地址為:c:\windows\fonts\ses\svhost.exe。不僅隱藏在系統目錄，而且在偽裝成windows的字體文件。但是用這個地址實際上也是不存在的。用資源管理器找不到這個地址，直接在地址欄輸入地址也不行。經過一番查證，這種情況是因為病毒已經被操作系統標記為系統文件，并加以隱藏，所以用戶的資源管理器是無法訪問到的。需要使用dos命令來訪問該目錄。果然通過dos命令是可以進入到這個文件夾內部，但是卻查看不到任何文件。通過dos，在dir命令后面加個參數/ah，就可以讓病毒原形畢露。接下來用copy命令將這個程序拷貝出來，就可以發現他的真身了。注意copy命令仍然要增加參數/h，否則拷貝一樣會失敗的。隨后就是關閉進程，再使用del命令將病毒刪除即可。至此，此次服務器中毒事件已完美解決，沒有系統損壞及文件丟失。

4工具軟件的使用

4.1PowerShell的使用方法技巧

隨著微軟對Win10系統的不斷升級，內置的默認命令行工具也逐漸從Cmd遷移到了PowerShell。WindowsPowerShell作為新一代的命令行自動化管理工具，因其簡潔高效成為眾多管理員喜愛的工具，也是微軟推薦的管理工具。(6)但須注意，PowerShell與Cmd各自的資源占用情況不同。當我們運行Cmd時，大概只需占用不到1M的內存，幾乎可以忽略不計。而使用PowerShell時，需要占用大約20M的內存，兩者幾乎相差40~50倍。因此，如果你的電腦比較老舊，性能較低，使用Cmd無疑可以獲得更高的流暢性。如果電腦配置較高，用PowerShell是一個不錯的選擇，功能強大，效率高。

4.2Notepadd++顯示特殊字符

Notepad++是Windows操作系統下的一套文本編輯器，有完整的中文化接口及支持多國語言編寫的功能(UTF8編碼)。功能比Windows中的Notepad(記事本)強大，除了可以用來制作一般的純文字說明文件，也十分適合編寫計算機程序代碼。Notepad++不僅有語法高亮度顯示，也有語法折疊功能，并且支持宏以及擴充基本功能的外掛模組。

4.3通過任務管理器顯示進程的參數，并限制其資源使用量Windows

任務管理器提供了有關計算機性能的信息，并顯示了計算機上所運行的程序和進程的詳細信息；如果連接到網絡，那么還可以查看網絡狀態并迅速了解網絡是如何工作的。它的用戶界面提供了文件、選項、查看、窗口、關機、幫助等六大菜單項，其下還有應用程序、進程、性能、聯網、用戶等五個標簽頁，窗口底部則是狀態欄，從這里可以查看到當前系統的進程數、CPU使用比率。

5經驗與收獲

本次殺毒行動使我們受益匪淺。不管是知識運用上，還是工具的使用上，都是一次很重要的嘗試，也驗證了我們的技術水平。現將用到的知識和工具列出如下:1）Notepadd++顯示特殊字符。利用本命令，將文本內容考入Notepad++，就能將真實的文本內容顯示出來。從而識別出病毒文件。2）通過任務管理器顯示進程的參數，并限制其資源使用量。通過任務管理器能的參數設置，改變CUP的使用狀況。通過powershell獲取進程的可執行程序地址。3）通過命令拷貝顯示/操作隱藏的系統文件，有些Dos命令加上特殊的參數，能起到事半功倍的作用。總而言之，手動殺毒技術需要很高的操作系統功底，對于網絡管理員是一種應該掌握的技能，對于一般的使用人員應慎重使用。手動殺毒能夠深入自動殺毒軟件所不能涉及的死角，在殺毒軟件無法發揮作用或者已經被病毒破壞的情況下，及時發現病毒并成功獵殺病毒，盡可能保護計算機系統，減少損失，采用應急手段的方法之一。基本的計算機安全維護還是要靠防火墻，殺毒軟件，殺木馬軟件來完成保護。

參考文獻：

[1]賴英旭，劉思宇.計算機病毒與防范技術（第二版）[M].清華大學出版社,2019.

[2]韓筱卿,王建鋒,鐘瑋.計算機病毒分析與防范大全[M].北京:電子工業出版社,2008.

[4]劉滋,王點,王斌.區塊鏈隱私保護技術[J].計算機與設計,2019(6).

[5]蔡劍鋒.基于新理念的殺毒軟件[J].信息安全與通信保密,2006,4(9):142-144.

[6](道·瓊斯)WindowsPowerShell.實戰指南(第2版)[M].人民郵電出版社.

作者:馬振偉 單位:北京聯合大學