鐵之狂傲

 取回密碼
 註冊
搜尋
樓主: 冰 戀

C:\WINDOWS\system32\startr.exe
這個檔案是重點
其他地方中獎還不要緊
WINDOWS目錄或SYSTEM32這個子目錄是病毒/木馬最愛的地方
如果不確定防毒軟體有沒有誤報的話
也是可以用人工的方式試著判斷
1.先從檔案內容開始判斷
建立日期和修改日期→回想當初有裝什麼軟體
內容那一欄→如果是M$的軟體著作權和公司都會有Micro.....
沒有的話就不是M$系統的程序

2.工作管理員
該程式的CPU的使用率

3.是否有開機載入
WIN+R輸入regedit看RUN和RUNONCE的機碼
或是WIN+R輸入msconfig看起動和服務是否有載入該程式

4.網路流量監控
這需要第三方軟體的幫忙
監控是否有不尋常的"上傳"頻寬
或是一些特別的PORT被開啟

一般病毒/木馬的特性
1.開機自動載入(因為要搞破壞)
2.破壞系統(需要CPU資源)
3.偽裝成系統檔(EX rundll32(正確)和rund1132(假的))
4.嵌入系統檔(解毒工具要夠強才能清掉,清掉後可能會有後遺症)
5.回傳資訊(傳回開發者那裡)
當然還是有些例外

解毒的話
我個人是在LINUX下解完毒後再回WIN修復登錄檔
最後有些被病毒荼毒後的檔案才交給防毒軟體去清
以上提供參考
 

回覆 使用道具 檢舉

你需要登入後才可以回覆 登入 | 註冊

存檔|手機版|聯絡我們|新聞提供|鐵之狂傲

GMT+8, 24-12-17 08:34 , Processed in 0.016196 second(s), 14 queries , Gzip On.

回頂部