网络通信 频道
IT168首页 > 网络通信 > 网络通信资讯 > 正文

利用七天长假,学习系统安全分析

作者:任我小行 编辑: IT168 2005-09-29 00:00
分享

    【IT168 专稿】十一七天长假,是不是喜欢没事有事的逛逛网,21世纪网络的社会,拿笔者我来说,一天不上网就感觉到手疼,不舒服,俩天不上网就感到头晕,非要上一会才可以。什么?你说我得了上网综合症,哈哈,当然也可以这么说,但其实只是感觉而已,好了不说别的,说正题,,但只要你上网,那中毒肯定是会不断的,中毒了怎么办?

    每次都请我们的杀毒软件法宝吗?但法宝不是功能较多的,很多顽固急症是杀毒软件也杀不掉的,这个时候你是不是经常请你的临近的朋友,论坛的朋友,一次可以,俩次可以,但N次之后,别人不烦,你自己会不会烦呢?所以什么都要自己学,学着坚强,学着自己分析病毒。本站为你的十一长假带来了7个分析报告,通过这一系列的学习,你会知道原来这个就这么简单!

    首先如果你的电脑出现异常了,不要着急,最科学的办法是先用日志扫描工具对你的爱机进行一次全面的扫描,切记胡乱的自己查看任务管理器,看到什么可疑的,就私自的删除,那样非常有可能会把常用的什么服务进程的给删除掉,造成不必要的麻烦。本文就为你推荐俩款系统安全的利器HijackThis 。

    软件下载地址(需注册后下载):http://safebbs.it168.com/viewthread.php?tid=2448&extra=page%3D1

    软件小介绍:

    HijackThis是由一位荷兰学生编写,它能够扫描注册表和硬盘上的特定文件,找到一些恶意程序(如恶意网页或蠕虫木马病毒)“劫持”浏览器或注册表的入口,并修复大部分被恶意修改的。

    当你在网络的海洋里翱翔的时候,如果突然机器出现了长时间的待机,系统不稳定,遭到恶意网页,那么就需要请我们的HijackThis出来了,很简单,下载,直接双击,会出来个警告页面,见图1,不管它,是是提醒我们如果不熟悉程序不要乱删,很贴心的服务,因为删很容易,到时候再恢复可就难了,进入,可以看到一个页面,见图2,一般我们要选扫描系统并保存日志,当然你也可以直接点扫描系统,然后就会看到如图3,根据这个分析下程序,不必要的将其删除,然后改注册表对应键值就OK 了。

    具体如何分析呢?这个就需要我们首先把一些常用的系统进程等熟悉清楚,此外还有其他服务的,再就是杀毒软件的进程了,要做到烂熟于胸,这个吗?这里我就不详细的介绍了,去百度一下,会出来很多连接的可以轻松解决的。

    这里我以分析一个日志为例,告诉大家如何分析:

    例一:

    HijackThis_zww汉化版扫描日志 V1.99.1
    保存于 14:15:47, 日期 2005-9-26
    操作系统: Windows XP SP2 (WinNT 5.01.2600)
    浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    当前运行的进程:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\KAV6\KWatchUI.EXE
C:\Program Files\DuDu\DDDClient\DuDuAcc.exe
C:\Program Files\DuDu\DDDClient\dudupros.exe
C:\KAV6\MailMon.EXE
C:\KAV6\KAVSvc.EXE
C:\KV2004\KVSrvXP.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\KAV6\KAVPlus.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\qq\QQ.exe
C:\Program Files\Tencent\qq\TIMPlatform.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Documents and Settings\Administrator\桌面\HijackThis1991zww\HijackThis1991zww.exe

O2 - BH AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BH QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\qq\QQIEHelper.dll
O2 - BH QQIEHelper - {5EB7CB50-E375-4718-B4C0-9AD12EFA2F84} - C:\WINDOWS\System32\aclayer.dll (file missing)
O2 - BH DDDMon Class - {6BDE1669-B490-48E3-B668-456314F2D6C3} - C:\Program Files\DuDu\DddClient\dddiemon.dll
O2 - BH BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - C:\KV2004\KvShell.dll
O2 - BH IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - IE工具栏增项: 博采 - {4DA2EE61-6399-4C39-AEB9-0D990E610D29} - C:\WINDOWS\system32\BOCAIT~1.DLL (file missing)
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 金山毒霸 - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV6\KAIEPlus.DLL
O3 - IE工具栏增项: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll
O3 - IE工具栏增项: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - C:\KV2004\KvShell.dll
O4 - 启动项HKLM\\Run: [BCUpdate] C:\WINDOWS\system32\BCUP.exe
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [KAVRUN] C:\KAV6\KAVRUN.EXE
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DuDu加速器.lnk = C:\Program Files\DuDu\DDDClient\DuDuAcc.exe
O8 - IE右键菜单中的新增项目: &使用DuDu 加速器下载 - res://C:\Program Files\DuDu\DddClient\dddmext.dll/202
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\PROGRA~1\FLASHGET\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - IE右键菜单中的新增项目: 导入当前页到超星阅览器(&A) - C:\Program Files\SSREADER36\ss_all.htm
O8 - IE右键菜单中的新增项目: 导入选中部分到超星阅览器(&S) - C:\Program Files\SSREADER36\ss_select.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\qq\SendMMS.htm
O8 - IE右键菜单中的新增项目: 百度-搜索MP3 - res://C:\WINDOWS\DOWNLO~1\BaiduBar.dll/BAIDUMP3.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索图片 - res://C:\WINDOWS\DOWNLO~1\BaiduBar.dll/BAIDUIMG.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索新闻 - res://C:\WINDOWS\DOWNLO~1\BaiduBar.dll/BAIDUNEWS.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索歌词 - res://C:\WINDOWS\DOWNLO~1\BaiduBar.dll/BAIDULYRIC.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索网页 - res://C:\WINDOWS\DOWNLO~1\BaiduBar.dll/BAIDUSEARCH.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索贴吧 - res://C:\WINDOWS\DOWNLO~1\BaiduBar.dll/BAIDUPOST.HTM
O8 - IE右键菜单中的新增项目: 百度-词典搜索 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDU_DIC.HTM
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - C:\Program Files\浩方对战平台\GameClient.exe (file missing)
O9 - 浏览器额外的按钮: 下载管理 - {3DB9F45E-AA74-4373-A466-C18A9F1C500D} - C:\Program Files\DuDu\DddClient\DuDuAcc.exe
O9 - 浏览器额外的“工具”菜单项: 下载管理 - {3DB9F45E-AA74-4373-A466-C18A9F1C500D} - C:\Program Files\DuDu\DddClient\DuDuAcc.exe
O9 - 浏览器额外的按钮: 金山卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - url:http://www.joyo.com (file missing)
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\qq\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\qq\QQIEHelper.dll
O9 - 浏览器额外的按钮: 金山毒霸网站 - {e1fc9760-7b95-49cd-80b9-8c9e41017b93} - url:http://www.duba.net (file missing)
O9 - 浏览器额外的按钮: 在线查毒 - {f58d36c3-40be-4418-a786-d8fbe3eb3554} - C:\KAV6\kavie.htm
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O12 - IE插件,支持文件类型.spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll
O23 - NT 服务: Kingsoft AntiVirus Service (KAVSvc) - kingsoft Antivirus - C:\KAV6\KAVSvc.EXE
O23 - NT 服务: KVSrvXP - JiangMin Ltd. - C:\KV2004\KVSrvXP.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    分析:

    从这个可以看出,只有O3 - IE工具栏增项: 博采和O4 - 启动项HKLM\\Run:有点问题,其他都很正常,这个原因主要是上网不小安装了博采网摘插件,以及安装对电脑没多大用处的软件
DUDU加速器

    处理方案:

    先到控制面板里面卸载DUDU加速器
    然后用HijackThis修复
    O3 - IE工具栏增项: 博采 - {4DA2EE61-6399-4C39-AEB9-0D990E610D29} - C:\WINDOWS\system32\BOCAIT~1.DLL (file missing)
    O4 - 启动项HKLM\\Run: [BCUpdate] C:\WINDOWS\system32\BCUP.exe
    并使用工具(Killbox)删掉:C:\WINDOWS\system32\BCUP.exe
    就OK 了,怎么样?是不是很简单,其实任何事情只要你去学,就没有难的。

0
相关文章
    盛拓传媒简介 关于IT168 广告服务 使用条款 投稿指南 联系我们
    北京盛拓优讯信息技术有限公司. 版权所有 中华人民共和国增值电信业务经营许可证 编号:京B2-20170206 北京市公安局海淀分局网监中心备案编号:11010802020118
    广播电视节目制作经营许可证:(京) 字第25315号 信息系统安全等级保护备案:11010813655-00001 京公网安备11010802020118号
    违法和不良信息举报电话 :010-58859066,18101376593,shengtuo20@it168.com