如今,编制病毒和木马的技术门槛变得越来越低,在Vista完全普及以前,人们在Win2000/XP/2003系统上还是主要依靠杀毒软件来进行保护。
但是,反病毒企业有限的病毒工程师在遍及全球的病毒制造者面前疲于奔命的现实,注定了部分小规模流行的病毒和木马将成为“漏网之鱼”。当杀毒软件面对病毒噤若寒蝉、或者干脆就被木马关闭的时候;当单位计算机上存放有重要数据,不能轻易格式化硬盘并重装系统的时候,怎么办?其实,平时常用的工具软件---winhex,完全可以提供强大的对抗病毒/木马的能力。WinHex平时主要用于16进制数据编辑,它也可以用来检查和修复各种文件、恢复删除文件等。它的强大之处在于,可以让你看到存储介质上的所有文件和数据,包括FAT32/NTFS文件系统的配置文件。最关键的是,它具有直接读写硬盘扇区的能力,并在高级安全选项中,可以选择绕开操作系统的进程保护,直接修改进程在磁盘上的的扇区数据。实际上,这个技术和目前市面上许多杀毒软件厂商采用的“底层粉碎顽固rootkit”的原理是一样的。
下面,我以一次实际的反病毒案例为大家详细介绍如何巧妙运用winhex的强大功能.(版本不限,笔者用的是14.8版)
一台部门的数据服务器,无意中连接到了某电影下载网站,网站主页恶意挂马并运行脚本,导致数分钟内,该数据服务器连续连接数个地址并下载和运行了10几个木马程序,而后自动重启。观察注册表发现,控制自动运行的“run”键和“AppInit_DLLs”下已经被塞满各类木马,见图1和图2。
图1
图2
因该数据服务器内有大量重要软件和数据,不能轻易格式化硬盘和重装系统。此时,系统中所带的某国产着名杀毒软件被木马关闭,双击无法打开;系统文件crugd.dll被损坏(桌面右下角反复提示);察看隐藏文件和系统文件被木马禁止;与木马有关的注册表相关选项均被锁定----典型的“狠角色”。于是使用winhex,直接从磁盘文件系统入手进行对抗。
更多内容请看系统优化大全、系统安全设置、系统安装手册专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- ISA Server实验环境搭建与企业VPN配置 (130次浏览)
- Rootkit技术之内核钩子原理 (124次浏览)
- Windows 系统安全技术概念讲解 (111次浏览)
- 大盘点!史上最牛的三大病毒 (102次浏览)
- 使用Kerberos5实现统一认证(一) (86次浏览)
- 不用花钱 教你九项企业级安全防护措施 (85次浏览)
- 安全技巧:个人PC中毒后紧急处理措施介绍 (80次浏览)
- 全民红客 CNN攻击技术解析 (79次浏览)
- IEXPLORE.EXE狂占内存怎么办? (78次浏览)
- 专家详解Netfilter/iptables FAQ (77次浏览)
