A. 當一個程序運行時怎樣查看這個程序啟動了哪些腳本文件
,偶們開始檢查當前進程,當前進程是什麼呢?當前進程就是現在所有正在運行的程序!查看當前進程,就是查看現在有哪些程序正在運行,如果有未知的程序呢?可能就是木馬了,因為通常木馬也是做為一個程序存在的。
怎麼看當前進程呢? 請藉助專業工具,實在沒有工具時,再同時按下Ctrl + Alt + Delete鍵調出任務管理器來查看。
那什麼樣子的程序是未知程序呢?
這里,我要再強調一下子,一定要找一個能夠對進程文件進行數字簽名驗證的進程查看工具,不然你無法區分某一進程是否為可疑進程,只憑文件名字是完全不夠用的。
如果一個進程不是系統進程,也不是你正在運行的某一程序的進程,那這個進程就是我們說的可疑進程。(不能通過數字簽名驗證的為非系統進程)
找到了可疑進程又如何呢?殺掉後刪除么?
NO,不要殺它~不殺的原因有三點:
1、殺掉它的結果是什麼,很難預料,如果其正在與其它程序或內核驅動進行交互,你殺它,很可能就是自殺,會把系統殺崩的。
2、殺掉並刪除它,並不會清除它寫入注冊表的啟動項,這樣每次開機時仍然會嘗試載入這個程序,雖然文件已經不在,無法使木馬運行,但每次的試圖載入,都是需要時間的,這也是系統變慢的一個原因所在。
3、最後,只憑上面的檢測,只能說明這個進程是可疑進程,但無法就此確認這就是木馬,所以,你現在殺掉它,很可能會誤殺~
那應該怎麼辦呢?答案是不理它,找到後,把文件名字記下來,然後進行下一步的檢查工作,暫時不要理它。
如果沒找到呢?
那說明,你的機器可能很乾凈,沒有木馬。
或者,木馬是進程隱藏或無進程木馬。
進程隱藏型的怎麼辦呢?
我們先了解一些木馬隱藏進程的手段~
當前流行的木馬隱藏進程的手段如下:
0、初級隱藏,查找任務管理器窗口枚舉子窗口找到列進程的列表框,把自己的名字抺去~,這種用一般專業工具即可查。
1、中級隱藏,HOOK Win32API 過濾掉馬兒自己的進程。只要是驅動級別的進程管理工具基本都可以查。
2、中高級隱藏,HOOK SSDT NtQuerySystemInformation,過濾掉馬兒自己的進程,具有恢復SSDT功能的驅動級工具可查。
3、次高級隱藏,INLINE HOOK SSDT,過濾掉自己進程,恢復INLINE的或直接枚舉進程鏈的可查。
4、准高級隱藏,自活動進程鏈中摘除自己的進程,基於線程調度鏈表檢測技術的工具可查。
5、高級隱藏,繞過內核調度鏈表隱藏進程,基於HOOK-KiReadyThread技術來檢測的工具可查。
對於隱藏進程,請使用具有相應功能的檢查工具來檢查~
當然了,我們也不一定死乞白咧的非要把木馬隱藏的進程找出來,實在找不出,就當沒有或當作無進程的木馬,直接進行下一步檢查就可以了。
因為,進程檢查只是檢查的手段之一,看不到、殺不掉木馬的進程,並不妨礙我們把木馬清掉。
OK,無論對進程的檢查結果如何,我們接下來都要開始下一步的檢查,模塊檢查!
參照圖如下:
下面的圖是一張進程檢查圖(請以數字簽名驗證的結果為主,以文件路徑名字為輔來判斷,瑞星殺毒軟體的進程不是系統進程,但通過文件名字與路徑,我們可以知道,這是瑞星的主控程序,呵呵,不要死心眼,要多方面結合起來判斷~ ^-^):
第二章 模塊篇
模塊是什麼?模塊,是指具備某一種或某一類功能的特殊功能模塊,其外在的表現形式通常為各種動態庫文件(通常以.dll為擴展名字)或插件文件(通常以.OCX為擴展名字)。它們由應用程序載入,來為程序提供某一特定的功能。
就像我們的電視機,如果加了一個衛星天線,就可以收到更多的節目一樣,衛星天線本身是與電視機無關的,但它一但被電視機所用,就可以為電視機提供額外的功能。衛星天線相對於電視機,也就是相當於模塊相對於程序。
每個進程都有幾個到上百個不等的模塊,每個模塊都有其特定的用途,當然了,如果某個模塊是木馬的話,也有其木馬用途。
當進程檢查流行起來,且檢查的越來越深入時,木馬的製造者們開始製作無進程木馬,木馬是做為一個模塊出現的,這樣它將不存在於進程列表中。無論你用何等高級的進程檢測技術都無法檢測到模塊木馬的存在。
一台電腦中,進程可能有十幾個或幾十個,但模塊卻有好幾百個,數量的增多也增加了我們檢測的難度。
對檢測工具的要求,仍然是需要具備數字簽名驗證的能力,否則手工從幾百個模塊文件中挑出木馬,真的很累~(木馬模塊的檢查,請看下面的圖)
找到後怎麼辦呢?
呵呵,上次有朋友遇到過這問題,結果是他用暴力手段給卸載並刪除了~,應該這樣處理么?
答案仍然是否定的!
不要暴力卸載並刪除~~原因么?原因先緩一緩再說,我們先了解一下兒模塊木馬的啟動運行機制,然後再解釋為什麼不要暴力卸載刪除。
模塊木馬分為兩種:一種是靜態載入的,一種是動態注入的。
靜態載入的,是把自己的木馬文件,在注冊表的某鍵下注冊,這樣,系統會在開機或運行某一程序時自動的載入在這一鍵下注冊的所有模塊,這樣,木馬就實現了進入到程序中,並執行其非法活動的目的。(在注冊表的哪些鍵下注冊可以讓系統載入,在後面的啟動項檢查中會有解釋)
動態載入的,這類木馬就是所謂的進程注入型木馬,它的實現不但需要有一個模塊文件,還需要有一個將模塊文件注入到進程中的注入程序。先將注入程序啟動,然後由注入程序將模塊木馬注入到其它的進程中,完成注入後,注入程序就結束了運行,這樣,你仍然無法看到進程。
現在明白為什麼不能暴力卸載並刪除了么?
暴力卸載並刪除後,如果是靜態載入的,那注冊表中仍然會留下載入項,每次開機或相關程序運行時仍然會償試載入該模塊,如果多了,會導至系統運行變慢。
如果是動態載入的,那你卸載並刪除的僅僅是模塊木馬,注入程序卻仍然留在你的機器上。如果此木馬設計的比較合理,那它應該是有模塊文件備份的,這樣,當你再次開機時,會發現,你暴力刪除的模塊文件又重新回到了你的機器上,你永遠刪不幹凈。如果此木馬設計的不合理或比較狠毒,那就只有上帝和木馬的製造者才知道會發生事情了~~ -_-!
即然不能暴力刪除,那找到後應該如何呢?與進程一樣,抄下模塊文件的路徑與名字,然後,開始下一步的檢查,暫時不要理它。
即然說到了無進程木馬,那就不得不說「線程注入型木馬」,進程注入型的木馬注入到進程中的是一個模塊,也就是說,必須有一個模塊文件的存在,這樣我們可以找到這個模塊並通過對其文件進行簽名驗證來找出注入木馬;而線程注入型的木馬,注入到進程中的卻只是一段代碼,是沒有文件存在的,雖然可以查看每個進程的各個線程,但想發現並找出哪一個線程是木馬的,不能說絕不可能,但也幾乎是不可能的了,能找出的是非常高的高人,絕不是我~看看下面的第二張圖,是EXPLORER.exe的線程列表,能看出什麼么?
(順便說一句,那張圖是ProcessExplorer的截圖,非常非常出名且非常非常好用的進程管理工具,在這里可以下載: )
那對這種線程注入型的木馬又怎麼辦呢?
幸好,線程注入型的木馬也需要有一個注入程序來配合,我們找出線程很難,但找出他的注入程序就好辦多了。
現在,無論你是否找到了可疑的模塊或線程,我們都要開始下一步的檢查,啟動項檢查!
第三章 自啟動項篇
自啟動項是什麼?自啟動項,就是程序在系統的某處進行登記之後,每次開機系統會自動將程序運行,而程序登記的項,就叫做自啟動項。
木馬都不會甘心只運行一次就結束的,它若想在你的電腦中安家,就肯定要每次開機都運行起來,這樣,才能達到自我保護、且正常進行木馬工作的目的。
一般的木馬都會有一處或多處自啟動項,這也成了查找木馬時必查的一步。(這只說的是一般的木馬,當然就還有二般的不需要自啟動項的木馬,這個我們放在後面說)
查找木馬的自啟動項,很關鍵也很重要,相對的對工具的要求也很高。
系統中到底有多少處地方可以讓程序自動運行呢?汗~~偶也不知道,偶只能說N多~~所以,要找個查的全的工具來檢查,且要找好幾個來檢查,這樣結合起來,應該就夠全了。任何一個也不敢說它能把系統中所有的啟動位置全列出來。所以,對啟動項檢查工具的第一要求是要夠全!
只全就夠了么?當然還不夠,還有一點跟上面相同,也要能進行數字簽名驗證的,免得它起個系統文件的名字矇混過去。
還有就是要能夠檢測隱藏的啟動項,同樣的,我們先了解木馬隱藏啟動項用到的技術:
0、木馬沒隱藏,只是找了個隱蔽的位置而已,這就要看所用的工具程序枚舉的項夠不夠全了。
1、木馬隱藏在應用層次,HOOK了Win32API中的相關注冊表枚舉函數,這樣的馬兒很容易檢測,任何一個驅動級別的檢測程序都可以勝任。
2、木馬隱藏在內核層,HOOK了SSDT,這樣的馬兒,一般的就不行了,得找能恢復SSDT的專業檢測程序。
3、木馬隱藏在內核層且很無恥,INLINE-HOOK了相關服務函數,這樣的馬兒絕大多數檢程序就都不行了,需要找能恢復INLINE-HOOK的程序。
4、木馬隱藏在最底層,通過查找特徵碼的方法INLINE-HOOK了微軟未公開的底層函數如Cm*系列的函數,嘿,已經很難再比它更底層了,這樣的馬兒只有採用HIVE文件掃描方式的檢測程序或專門恢復底層INLINE-HOOK的工具才能找到它。
這四種隱藏方式都是已經有流氓軟體或木馬使用先例的~,所以不要報有僥幸心理,認為木馬不會採用這種高級的技術,所以,檢查啟動項最好是多用幾個工具配合起來檢查,功能強的通常不夠全,嘿,可能高手都比較懶吧~
OK,我們開始檢查吧~ 先把HOOK、INLINE-HOOK都恢復了,再運行工具開始檢查,還記得我們前面找到的可疑模塊與可疑進程么,這時就用到了,把找出來的啟動項與那些對比一下兒,看看是不是有它們的啟動項在裡面。
有?OK,備份注冊表,然後刪除啟動項。刪除不掉?是不是忘記恢復HOOK了?恢復了,那打開注冊表編輯器,看看你有沒有許可權刪除這個鍵,在欲刪除的鍵上面按右鍵,選許可權,再選「完全控制」就可以刪除了,呵呵,這只是它玩的一個小障眼法兒。
刪除後,又有了?這也沒關系,這時你有兩個選擇,一是先結束掉它的進程,卸載掉它的模塊,以使它失去重寫的能力。二是,開啟「系統鎖定」功能,把系統臨時鎖起來,不允許任何程序對注冊表進行寫入。這時再刪除它就沒問題了。
刪除完成後,重啟計算機。
不是記下了可疑的進程與模塊了么?再檢查一下子,看它們還在不在?不在了,恭喜,你完成了你的木馬查殺工作。
還在?
呵呵,也不要怕,如果還在,證明你並沒有真正的完全清除掉它的啟動項;可能原因是:
1、這只木馬還採取了觸發式的啟動機制。
2、它還有其它的保護機制,比如影子程序或驅動;
接下來讓我們繼續解剖觸發式啟動的木馬~~
第四章 觸發式木馬
上面我說了一般木馬的查殺方法,通過上面的查殺,大多數木馬都可以清掉了。(上次忘記寫了,重啟後,如木馬已經不能啟動了,接下來當然就是把記下來的木馬文件全部刪掉了)
接著我來說一說觸發式木馬,什麼叫觸發式木馬呢?觸發式木馬是當您進行某一操作時會觸發木馬的啟動機制,使得木馬啟動,如果你永遠不進行這一操作,而木馬則永遠不會啟動。一般的木馬都是主動啟動並運行的,而安全檢查工具與殺毒軟體檢查的也大多是主動啟動式的木馬,比如對自啟動項進行檢查,查的就是開機後自動主動運行的。只對少數的常見的可以觸發木馬啟動的項進行檢查,而觸發木馬啟動的地方操作卻很多,這就是這種木馬很難殺干凈的原因。
其表現為,清除後的當時系統很正常,當時檢查機器也很乾凈,但用不了多長時間,木馬又死灰復燃,再度出現。
現在我們開始實際動手查殺這些難纏的傢伙們!
需要說明的是,這里為了講起來有條理,清楚易懂,所以是分開來講的,實際查殺起來,當然是可以一起來做的。(檢查進程、啟動項時,就可順手檢查下面的這些)
最常見的也是我們首先要檢查的當然就是Autorun.inf了,這是個什麼東西呢?這是一個配置文件,看名字,翻譯過來不就是「自動運行」么,是的,這個正常用途是用於光碟的自動播放,就是將光碟插入光碟機後,系統會自動運行Autorun.inf裡面指定的程序。
後來被一些人用於了硬碟,當將這個文件放在硬碟分區的根目錄下時,在盤符上點右鍵,會發現默認的操作就是「自動播放」而不是打開。這時,你雙擊某一盤符時,就不再是打開並瀏覽文件夾,而是直接運行指定的程序(還需要改注冊表的某個地方,因與我們查殺無關就不說了,免得被壞人利用)。
你查殺木馬病毒時如果採取的是暴力刪除,那麼,程序刪除後,Autorun.inf這個文件卻仍然還在,會出現後遺症,表現為無法雙擊打開磁碟。(順便提一句,熊貓燒香採用的就是這種觸發方式與自啟動項相結合的)
由於,你雙擊磁碟會觸發木馬的啟動,所以查殺時,要右鍵單擊,再選擇「打開」或用「資源管理器」來查看,找到後刪除此文件。
通常此文件會以隱藏文件的形式出現,更有些惡毒的會加上「注冊表監控並回寫」來為文件隱藏護航,你一旦更改系統為「顯示所有文件」,它馬上會再次改為「不顯示隱藏文件」,如何破除這種注冊表回防寫,上面的貼子里寫過方法了,這里不再重復。
另一種觸發方式是修改文件關聯,什麼叫文件關聯呢?文件關聯就是某一類型的文件與某一程序的對應關系,要知道,我們的系統中有無數種文件格式,比如:圖片文件(以.bmp .jpg .gif等為擴展名)、音樂文件(mp3 mp4等)......當你雙擊一個圖片時,系統會調用看圖程序來打開並顯示圖片,而不是調用播放器來播放圖片,系統為什麼會知道要調用看圖程序而不是調用播放器呢?這就是因為文件關聯的存在,在注冊表中,圖片文件已經與看圖程序關聯在了一起,相應的,音樂文件與播放器關聯在了一起,大多數類型的文件都與某一特定程序有關聯。這樣,系統才知道,打開什麼樣的文件需要調用什麼程序。
聰明的您已經知道木馬是如何利用文件關聯來觸發了吧?是的,狡猾的木馬就是把某一特定類型文件的關聯改為了與它自己關聯,這時你一旦打開這一類型的文件就會觸發木馬的啟動。由於木馬啟動後,會由它再調用正常的關聯程序,所以,文件仍然會正常打開,而你也就不知道其實你的操作已經將木馬啟動了起來。
木馬會改哪種文件的關聯呢?咳,這我哪知道呢,這只有上帝與木馬的作者才知道。
系統中又有多少文件關聯可供它改呢?你打開注冊表編輯器看看第一大項下面的子項就知道有多少了,怎麼也上千個吧。
如何查殺呢?
一般的木馬會改一些你會經常用到的文件的關聯,比如:文本文件、程序文件、網頁文件等。而網上有很多恢復文件關聯的程序或注冊表導出文件都可以恢復這些常見的文件關聯。
但這樣檢查顯然是遠遠不夠的,如果你是木馬的作者,你知道這些常見的文件關聯會被檢查並恢復,你還會改這些么?就不會了吧,因為可供你選擇的太多了。比如:選擇修改.rar文件的關聯,這是類文件是壓縮文件,網上提供下載的程序有很多是以這類文件格式存在的,所以一般上網的網民打開壓縮文件的機率會非常高,而恢復這一文件關聯的程序幾乎沒有,因為恢復後的直接結果就是壓縮文件打不開了,因為恢復程序的作者不是神仙,他不知道你用的是哪個壓縮軟體,你的壓縮軟體又安裝在了哪裡,所以,他不會給你恢復這個的。
這樣,只要你打開壓縮文件,就會觸發木馬,如果這個木馬的關聯文件是一個影子程序的話,那由於影子程序都不具備病毒特徵,所以全盤文件掃描也不會將它找出來,你找到並清除的都是這個程序的釋放體,而源頭還在,從此,木馬將成為你揮之不去的惡夢~(關於影子程序我們下一次細講)
文件關聯如何檢查呢?兩種方法,一種是通過監控得到哪個文件關聯被修改的,然後再改回去。第二種是用專業軟體,對所有文件關聯進行掃描。
如何通過監控得到文件關聯是否正確呢?
首先,找個進線程監控的工具程序,打開「進線程監控」,然後不斷的打開你常用的各種文件,並檢查,打開文件時程序的運行情況,比如:你找開了個.rar文件,進程監視中應該顯示,「WinRAR.exe由Explorer.exe啟動運行」,那是正常的。如果顯示的是其它程序由Explorer.exe運行,而WinRAR.exe又是由那個其它程序來啟動的,那就是被改了。當然,你也可以打開注冊表查看每個文件關聯,是否是正常的。
第二種方法是用專業軟體來掃描,把系統文件過濾掉,那剩下的非系統的文件關聯就很少了,稍加判斷結果就出來了,很簡單,就不多講了,看看下面的圖就明白了。
找到後怎麼辦呢?
不要只是清除,清除後還要找個正常的機器導出一份正常的,或把你刪除的文件關聯告訴朋友,讓朋友自他的機器上導出一份正常的,然後在自己機器上導入一下子就可以了。
如果是非系統的文件關聯,比如:.rar壓縮文件,那就直接刪除了,然後再次找開.rar時,會提示你選擇打開此種類型文件的程序,這時選擇WinRar.exe,然後勾選上總是用這種程序來打開此類型文件就可以了。
或者用其它方法.....嘿,其實只要發現了木馬,其它的就好辦了~~
另外,需要注意的是,還有些觸發並不是很明顯的文件操作,比如當你打開的網站時,可能要解釋執行腳本語言,而用什麼來解釋執行呢?系統也是在注冊表中尋找相應程序的,比如:VBS、JScript等鍵,基本都在HKEY_CLASSES_ROOT主鍵下。
像卡巴、金山等殺毒程序會用自己的DLL在這幾個鍵下注冊,以便執行腳本語言時先行檢查這些腳本語言是否具有病毒特徵,但木馬同樣也會利用這幾個鍵,讓你一打開網站就執行木馬。
好了,我們下面接著說一說影子程序(驅動)吧~因為它們經常與這些觸發式的啟動機制合作,之所以它們總是合作,因為觸發式的可以躲過對啟動項、進程、模塊的檢查,而影子程序卻可以躲過殺毒軟體的文件掃描。他們是如何緊密合作來躲過我們檢查的,讓我們下次再說~~~ ^-^
第五章 影子程序(驅動)
什麼是影子程序呢?影子大家都了解吧~~即然有影子當然也要有本體了,影子只是為了本體的存在而存在的,其它的工作一概不做。而影子程序呢?也就是為了木馬程序的存在而存在的,其本身並不從事任何木馬工作。
木馬為什麼要搞一個影子程序或影子驅動呢?目的只有一個「保護主木馬程序不被清除。」
影子是如何來保護主木馬程序的呢?了解這個之前,我們先要了解一下殺毒軟體是如何殺毒的。
了解了殺毒軟體是如何殺毒之後,再談影子如何逃過殺毒軟體的查殺,就容易理解了。
大多數殺毒軟體都是依賴病毒特徵碼殺毒的,所以都附帶了一個病毒庫,我們平時升級其實大多數是在升級病毒庫,病毒庫中存儲了病毒的特徵碼,就像病毒檔案一樣(身高、體重、三圍、五官等..... ^-^ 差不多類似啦)如果一個程序與病毒庫中的某種病毒特徵相吻合,就會被認為是某種病毒而被查殺。病毒特徵是如何來的呢?就是病毒分析師對病毒進行分析後提取出來的,所以這種查殺方式查殺的都是有案底的,也就是以前犯過案的,被人留了底,再出來就是過街老鼠,人人喊打了。
這種按特徵查殺,屬於硬特徵,只要符合就OK了~~雖然有誤殺,但相對很少,畢竟完全相同的並不多。其查殺的准確與否,誤殺率是否高,很大程度依賴於病毒分析師的提取水平。呵呵,偶們就見過某知名公司把一個驅動框架硬是報為ROOTKIT木馬的,顯然其特徵碼存在嚴重問題。
還有一種是所謂的主動防卸型的,在比照特徵碼的同時,還分析病毒木馬的行為特徵,一個程序的行為符合特定行為的數量多到一定數值,就為被認為是病毒,當然了, 這種誤報率也相應的增加了很多。這種查殺,沒案底也可以,就像你以前雖然沒有犯過事兒,也沒留案底,但你提著刀追著人家猛砍,當然也會被逮住的,因為你的行為符合了病毒的行為特徵。
當前病毒的流行越來越大眾化,想獲取病毒源碼也並不是什麼難事,一些小屁孩也能抄一段來散發個病毒,但是卻沒有能力更改代碼特徵,使其躲過殺毒軟體的查殺。
所以,一些人開始拚命的找新殼,來為病毒加不同的殼,但殺毒軟體的脫殼技術也是越來越高了,想找到不被殺毒軟體所脫的殼也困難起來了。
接著又有些人想出一些其它的方式來躲避殺毒軟體的查殺。
影子程序就是其中的一種~~
病毒木馬的主程序,因為要工作,所以一些特徵是很難去掉的。但影子程序卻不用去從事木馬工作,所以它本質上就是一個正常的程序,不使用任何病毒技術,也不具備任何病毒特徵,所以不會被殺毒軟體查殺。
這就是病毒木馬採取影子程序的目的,因為影子程序不具備病毒特徵,可以躲過殺毒軟體的全盤文件掃描。
那它又是如何來保護主程序的呢?一般它是把病毒主程序做為資源放到了自己裡面,再保險點就對主程序壓縮、加密後再以資源的形式放到自己的程序中。(資源就是一些數據啦~~比如,一個程序中用到的圖片,就屬於圖片資源)而殺毒軟體通常只是對代碼進行檢查,而不檢查數據資源,其實查也查不出什麼來~以純數據形式存在的資源,有N種方法改變。
這樣,影子程序通過資源存放的方式,解決了木馬程序在電腦中的生存問題,為木馬在您的電腦中留下了一個火種。
在木馬病毒被清掉之後,影子程序一旦發現木馬主程序不見了,就從自己的資源中重新釋放一份。使木馬病毒重新再生,使你殺不勝殺,直到殺得你心疲手軟自己放棄為止。
影子程序又是如何發現木馬主程序被清除的呢?
有兩種途徑,一是將自己也加在某一個啟動位置上,每次開機自動啟動,在啟動後如果發現木馬主程序已經不在,就釋放一份,並將木馬啟動,接著自己就退出了。如果在,影子程序就直接退出了。
二是,利用觸發機制等待,等你觸發影子程序後,由影子程序去檢查木馬是否存在,如果不存在就釋放並啟動然後自己退出,如果在同樣也就直接退出了。
由於,影子程序只是運行了那麼零點零幾秒而已~~所以你的進程檢查對它沒什麼用處,因為它平時是不運行的~
對付影子程序,只能由啟動項入手,而影子程序也注意到了這一點,所以很多就採取了觸發機制,因此,我們檢查時,也要注意檢查觸發式木馬。
呵,結論出來了,各位朋友不要看到進程中的可疑進程就眼紅紅的沖過去狂殺一通~~殺進程、刪除文件、卸模塊只是治標不治本的做法~~什麼事情都要尋根求源,進行「根治」~~否則,輕則病毒木馬是殺不完去不凈~~重則是系統被越殺越慢~~殺到最後,不得不重裝系統完事兒~~~
用GHOST恢復也很快?呵,難道你不知道熊貓燒香會刪除GHOST的備份文件么?熊貓能刪除~~其它的當然也能刪~~刪個文件對它們來說絕不是什麼難事兒~~
重裝系統就安全么?也不見得~~在網上搜一下兒~看看網上提供下載的操作系統風險又有多大~很多木馬是在做操作系統安裝盤時就放進去了~~
放進去為什麼查不到呢?
這就是另一個話題了~~文件修改替換型的木馬~~很讓人郁悶的一類木馬~~下次再說吧~~
汗~~想起來就頭大~
參照圖:CNNIC的影子驅動,藍色圈起來的是主驅動,紅色的是影子驅動,影子驅動的名字是隨機的,每次開機都不相同。
借這張圖把上次有朋友問的清除CNNIC的剩餘問題給解答一下子:
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root鍵下還有與驅動服務相匹配的一些鍵,如果用其它的清除工具,記得也要清了。如果是用5.0.0.7就不用了,清除驅動項時會自動清理那個鍵的。(注意:5.0.0.6版沒有相應功能,汗~可能自動檢測影子驅動的功能也沒有~~手工刪除或找別的工具用吧,實在不行就等5.0.0.7出試用版吧~)
清的時候清干凈嘍~~否則~~嘿~~死恢復燃就是說這個的~~
CNNIC還有關機通知的功能~~別忘記了~~不然即使清干凈了,關機時它就又寫回去了~~
什麼?不知道怎麼對付~~汗~~~這個偶暫時也沒找到合適的工具,雖然寫程序對付最簡單,但沒有通用性,不值得為這一個傢伙寫個程序。
暫時有兩個方法可以解決:
一個是笨辦法。關機時不是由系統通知它的么?偶們就連系統也不通知不就完了,直接按RESET鍵冷啟動機器就OK了~~ -_-!
二個是先恢復FSD的HOOK與INLINE-HOOK,然後把相關的程序文件、驅動文件、DLL文件全刪除了,然後重啟,再刪一遍啟動項,也就OK了~(注意,鎖定系統好像對CNNIC也不大好用的說~郁悶~)
另外,慣於用AutoRuns.exe的朋友注意了,我用的AutoRuns.exe是8.22版的查不出來CNNIC的驅動啟動項~如果查殺CNNIC就先換一個用吧~
另外,團IDC網上有許多產品團購,便宜有口碑
B. 如何查看exe文件並修改
resource
hacker(可以修改.exe文件)大名鼎鼎的resource
hacker,版本3.4.0.79,簡體中文,解壓即可使用。
resource
hacker
可以被用來:
1.
查看
win32
可執行和相關文件的資源
(*.exe,
*.dll,
*.cpl,
*.ocx),在已編譯和反編譯的格式下都可以。
2.
提取
(保存)
資源到文件
(*.res)
格式,作為二進制,或作為反編過的譯資源腳本或圖像。圖標,點陣圖,指針,菜單,對話,字元串表,消息表,加速器,borland
窗體和版本信息資源都可以被完整地反編譯為他們各自的格式,不論是作為圖像或
*.rc
文本文件。
3.
修改
(替換)
可執行文件的資源。圖像資源
(圖標,指針和點陣圖)
可以被相應的圖像文件
(*.ico,
*.cur,
*.bmp),*.res
文件,甚至另一個
*.exe
文件所替換。對話,菜單,字元串表,加速器和消息表資源腳本
(以及
borland
窗體)
可以通過使用內部資源腳本編輯器被編輯和重新編譯。資源也可以被一個
*.res
文件所替換,只要替換的資源與它是同一類型並且有相同的名稱。
4.
添加
新的資源到可執行文件。允許一個程序支持多種語言,或者添加一個自定義圖標或點陣圖
(公司的標識等)
到程序的對話中。
5.
刪除
資源。大多數編譯器添加了應用程序永遠不會用到的資源到應用程序中。刪除這些不使用的資源可以減小一個應用程序的大小。
C. 怎麼樣看exe格式的視頻文件
首先先看下該文件的大小,保證不要下錯了,有的資源是錯誤的,如果不是KB,而是正常的視頻文件的大小的話,就把它的格式給改了,我說的也不專業,不知道對不對,但基礎的一般都是這么改,你先試試吧.1.點開我的電腦2.點上面的工具,在下拉的菜單中點文件夾選項3.在出來的框中,點查看,然後在高級設置中,把隱藏已知文件類型的擴展名前面的小對號去掉,點應用,確定就可以了4.這時你發現你的所有文件名後面都可以看到它的類型了,比如說XXX.txt或XXX.rmvb等等5.把該exe文件改格式:若原來是1234.exe,則把exe改成rmvb,會有個框問你是否修改,選是6.上述文件變為1234.rmvb,你看看能不能打開看了,如果不能,再試著改成rm,wav,wma,avi,flv等常見的視頻格式的看一下不知道能不能幫上忙,如果還不行的話,我也不知道該怎麼辦了
D. 如何看一個.exe文件的代碼
樓上純粹扯淡
.exe的代碼無論是什麼語言什麼編譯器的,都會先編譯成機器碼之後再鏈接,所以無論什麼軟體編寫的exe都是無法直接看到的,能看直接到的也只有exe裡面的數據段中的數據
樓上說的應該是可執行的腳本(.bat .cmd .vbs .js什麼的),那種玩意兒直接用記事本就可以看到代碼
看一個.exe文件的代碼就是傳說中的逆向工程,分為反編譯和反匯編,反編譯就是把機器碼還原成c++之類的源代碼,這個一般不太現實,
反匯編就是把.exe的代碼變成匯編源代碼(跟機器語言也差不了太多,但是比機器碼好理解得多)
進行反匯編需要反匯編工具,我所知的靜態反匯編工具就有IDA,
能進行動態跟蹤的就有大名鼎鼎的OllyDebug,一般這兩個就夠了,如果樓主不滿意可以去搜搜其它軟體
E. 如何提取EXE文件中的視頻
右擊該文件,
打開方式選擇「用Winrar打開」,
在接下來的Winrar程序界面就會看到一個視頻文件,解壓可得視頻文件進行播放了。
可執行程序(executable program,EXE File)是指一種可在操作系統存儲空間中浮動定位的可執行程序。在MS-DOS和MS-WINDOWS下,此類文件擴展名為·exe
WinRAR 是一款功能強大的壓縮包管理器,它是檔案工具RAR在 Windows環境下的圖形界面。該軟體可用於備份數據,縮減電子郵件附件的大小,解壓縮從 Internet 上下載的 RAR、ZIP及其它類型文件,並且可以新建 RAR 及 ZIP 格式等的壓縮類文件。
F. 可執行文件.exe 如何在不亂碼的情況下打開,知道裡面的腳本
exe文件基本都要反匯編吧,能猜出來一小部分。
G. 有沒有軟體可以查看封裝好的EXE的原腳本代碼
windows下,exe後綴的可執行文件有多種格式。如果是Win32程序,只能反匯編得到匯編語言,絕對得不到編譯前的源代碼,因為編譯過程是不可逆的;如果是託管程序,.net支持反射特性,可以反編譯得到源代碼,如果程序集沒有混淆過,則得到的源代碼跟編譯前的很相近。
H. 如何查看exe文件的源代碼
需要准備的工具:電腦,反編譯工具ILSpy。
1、首先在網路上搜索下載反編譯工具ILSpy,解壓後如圖,雙擊.exe文件打開解壓工具。
I. exe視頻文件怎麼播放求教
exe格式的文件不屬於視頻文件,無法通過任何播放器播放,exe後綴文件是應用程序文件。
屬於視頻文件的格式有
1、MP4文件
MP4是一套用於音頻、視頻信息的壓縮編碼標准,第一版在1998年10月通過,第二版在1999年12月通過。MPEG-4格式的主要用途在於網上流、光碟、語音發送(視頻電話),以及電視廣播。
2、AVI文件
AVI,即音頻視頻交錯格式,是微軟公司於1992年11月推出、作為其Windows視頻軟體一部分的一種多媒體容器格式。類似DVD視頻格式,AVI文件支持多個音視頻流。AVI信息主要應用在多媒體光碟上,用來保存電視、電影等各種影像信息
3、WMV文件
WMV是微軟開發的一系列視頻編解碼和其相關的視頻編碼格式的統稱,是微軟Windows媒體框架的一部分。WMV版本9被採納作為物理介質的發布格式,比如高清DVD和藍光光碟,即所謂的VC-1。
4、ASF文件
ASF是高級串流格式的縮寫,是 Microsoft 為 Windows 98 所開發的串流多媒體文件格式。特別適合在IP網上傳輸。這是一種包含音頻、視頻、圖像以及控制命令腳本的數據格式。具有本地或網路回放、可擴充的媒體類型等優點。
5、3GP文件
3GP是第三代合作夥伴項目計劃,為3G UMTS多媒體服務定義的一種多媒體容器格式,主要應用於3G行動電話,但也能在一些2G和4G手機上播放。
6、RM文件
RM格式是RealNetworks公司開發的一種流媒體視頻文件格式,可以根據網路數據傳輸的不同速率制定不同的壓縮比率,從而實現低速率的Internet上進行視頻文件的實時傳送和播放。它
7、RMVB文件
RMVB是一種視頻文件格式,其中的VB指Variable Bit Rate(可變比特率)。較上一代RM格式畫面要清晰很多,原因是降低了靜態畫面下的比特率。
J. 怎樣提取EXE文件里的動畫
用swf文件的提取軟體SWFDecompiler提取動畫文件中的圖片和其他視頻。
另外用此軟體還能夠將swf反編譯成fla文件,能用flash打開,這樣你還能從中查看動畫腳本,以及別人的創作設計思路和技術。
再就是:Resource Hacker這款軟體可以翻編譯沒有加殼的軟體的exe/dll文件,能提取軟體中的資源(圖片、圖表、視頻等)