2017-11-12865浏览量对一款病毒（木马）程序的区分_病毒安全_

分析病毒（木马程序）

小技术专家2017-11-12865浏览量

简介：

分析病毒（木马程序）

普通用户在听说病毒（木马）软件时会感到非常神秘。尽管听起来比普通用户更，但他们并没有想象中的那么神秘。所有病毒（木马）软件我们都必须依赖某些媒体和载体。互联网和USB闪存驱动器（移动设备等）是病毒传播的主要媒介。病毒和木马程序表现为精妙，也就是说，它们必须以磁盘上文件的形式存在。他们将采取某些策略和各种方法来掩饰自己。因此，可以通过跟踪和分析病毒文件来完全删除病毒（木马）。 ）程序。本文是从文件的角度删除病毒程序。

（一）识别病毒

在本文中，木马病毒文件已被准确定位，即文件wmgtpvd.exe是病毒文件。找到病毒文件的方法有几种：

（1）使用防病毒软件扫描磁盘文件以防病毒。扫描结束后，病毒软件将显示检查结果。在这些结果中，找到的病毒文件通常会突出显示红色。

（2）使用数据包捕获工具监视端口。计算机启动后，默认情况下未建立正常的应用程序网络连接。如果在数据包捕获工具中找到了网络连接，则可以认为是该系统可能存在木马程序，并连接到外部网络。

（[3）使用某些过程查看软件进行检查。

（[二）查看病毒属性

选择“ wmgtpvd.exe”文件后，右键单击，在弹出菜单中选择“属性”，然后在“ wmgtpvd.exe属性”中选择“版本”以查看版本信息，如下所示图1 ..

图1查看病毒程序文件属性

说明：

（1）可以通过文件属性查看该木马的产品版本，产品名称，公司名称，语言等信息。通过文件属性，您可以主要了解该病毒可能来自哪个国家，但是一些病毒编写者会混淆该语言，例如，病毒编写者是日语，他的母语应该是日语，但是他编写的语言是英语，因此在文件属性中显示为“英语”，并且不能判断该程序是由英国人编写的。

（2）根据文件的描述进行相关的搜索和判断。使用文件的描述来确定程序是正常的系统文件还是应用程序文件。这种判断通常与经验有关，并且普通用户很难判断，但是网络搜索可以解决这个问题，打开浏览器后，您可以在百度，谷歌等搜索引擎中找到该文件的相关信息，如图2所示。病毒文件是在Google上找到的，后来我在百度上搜索了但没有结果，该文件太生锈了，因此很可能是一个不受欢迎的病毒程序，因为当前的互联网用户已经结束了1亿，许多用户将在bbs和其他地方遇到病毒后发布他们遇到的问题。获得帮助。

图2通过Google等搜索引擎搜索病毒信息

（[三）通过工具软件打开病毒文件并获取有关病毒文件的信息

对于exe文件，请勿直接运行它。您可以使用Winhex或UltraEdit以二进制格式打开病毒文件。打开后，从上到下检查右侧的信息。如图3所示，您可以发现该病毒文件是“为了将病毒插入svchost.exe进程”，并且将访问网站地址：[url] [/ url]。

图3使用UltraEdit打开病毒文件

说明：

（1）通常，病毒文件不会处理所有字符串，因此部分字符串将始终保留在文件中。您可以通过文件编辑（例如UltraEdit，WinHex或程序集）打开病毒文件。诸如OD之类的工具检查文件中剩余的字符串，这些字符串通常可用于获取一些重要信息，例如木马访问网站的地址，木马的文件发布以及启动方法。

（2）一般来说，病毒软件通常是打包的。查看文件时，可以使用诸如PEid和Fi之类的外壳检测程序来首先检查外壳，然后将病毒文件直接拖到Peid窗口中，如下所示：如图4所示。如图所示，我们知道文件没有打包，而是使用Microsoft Visual C ++ 6. 0编写的。

图4使用PEid查看病毒的外壳

（3）在查看此病毒文件时，我们还发现有一个文件“ cluslib.dll”。如图5所示，该文件应该是服务加载器。

图5获取服务加载器

（[四）清除病毒文件

清除病毒文件的方法有很多，一种是使用防病毒软件进行检查和杀死，这种方法只能检查和杀死已知的病毒，另一种是手动删除病毒文件。手动删除涉及纯手工删除，另一种是在安全检查软件的帮助下进行删除。以下是手动删除病毒文件的过程。

（1）使用频繁管理器或任务管理器结束病毒打开过程。

（[2）查找病毒文件所在的特定目录，然后删除该病毒文件。

（[3）删除病毒服务启动选项。

（4）从注册表中搜索与病毒文件名称有关的信息，如果确认与病毒文件有关，则将其删除。

（5）重新启动计算机。使用端口检查器和进程查看器查看病毒是否仍连接到网络并打开一个新进程。如果没有，则表明该病毒已被完全清除。

在处理此病毒时，首先打开DOS命令提示符到目录，然后使用“ dir cluslib.dll / s / a”命令查看该文件。找到文件后，使用Icesword软件中的文件强制删除文件Delete，然后删除主病毒程序wmgtpvd.exe，最后删除注册表中有关wmgtpvd.exe和cluslib.dll的信息。重新启动计算机后，检查进程和端口，一切正常，并且病毒已得到处理。

本文是从simeon2005 51CTO博客转移的，原始链接为：

安全搜索推荐

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-368786-1.html