日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

實(shí)例講解如何干掉“熊貓燒香”

云知道

你中過(guò)熊貓燒香么?!看到過(guò)熊貓拿著三支香的樣子么!?中招后如何處理!?看完本文,你將學(xué)會(huì)如何從計(jì)算機(jī)中殺掉“熊貓燒香” 。
驚險(xiǎn)查殺過(guò)程
1.熊貓燒香病毒:圖片就是個(gè)熊貓?jiān)跓愀杏X(jué)蠻可愛(ài)的!當(dāng)時(shí)并沒(méi)有很在意!第二天再次打開(kāi)電腦的時(shí)候!幾乎電腦所有的EXE文件都成了熊貓燒香圖片!這時(shí)才有所感覺(jué)!
部分EXE文件已經(jīng)無(wú)法正常使用!新加一個(gè)AUTORUN.INF的文件!
當(dāng)初不明白這個(gè)文件的作用!在網(wǎng)上查了一些資料表明 。才知道 。只要用戶(hù)打開(kāi)盤(pán)符 。就會(huì)運(yùn)行這個(gè)病毒!用殺毒軟件殺毒!沒(méi)有效果!看來(lái)現(xiàn)在的殺毒軟件越來(lái)越不行了~..
2.想用組合鍵打開(kāi)任務(wù)管理器!無(wú)法打開(kāi)~失敗....想看看注冊(cè)表有沒(méi)什么情況 。依然失敗!奇怪的是:電腦運(yùn)行正常 。也都不卡!難道不是病毒.是系統(tǒng)出了問(wèn)題?從網(wǎng)上下了第三方工具查看進(jìn)程!果然看到兩個(gè)可疑進(jìn)程!FuckJacks.exe貌似是最可疑的不敢貿(mào)然終止!趕快問(wèn)問(wèn)白度大叔!
3.大叔告訴我 。是熊貓病毒的進(jìn)程!一切正如我意!懶的裝系統(tǒng)了!
4.先結(jié)束FuckJacks.exe進(jìn)程!開(kāi)始-運(yùn)行-CMD 輸入:ntsd -c q -p 病毒的PID~終于KILL掉了!一切恢復(fù)正常了!興奮ING...趕快打開(kāi)注冊(cè)表
突然注冊(cè)表又關(guān)了.看看進(jìn)程FuckJacks.exe 。又出現(xiàn)了~~那應(yīng)該它還有個(gè)守護(hù)進(jìn)程!找找找 。無(wú)發(fā)現(xiàn)....奇怪了 。難道他的守護(hù)進(jìn)程插入到系統(tǒng)
進(jìn)程了?不會(huì)吧.....頭疼一陣... 。
5.算了,去向朋友找個(gè)專(zhuān)殺工具 。有一個(gè)朋友說(shuō)他寫(xiě)過(guò)熊貓的專(zhuān)殺工具!暈~~原來(lái)牛人在我身邊 。我都沒(méi)發(fā)現(xiàn)~趕快想他請(qǐng)教~~才大概的了解了熊貓燒香~ 叫他給了我一個(gè)無(wú)殼的熊貓自己分析下~(自己動(dòng)手.豐衣足食嘛~~)
6.用UI32打開(kāi)熊貓.看到了條用的部分資源!文件執(zhí)行后 。釋放到system32FuckJacks.exe下 。
7.繼續(xù)象下可以看到熊貓的一些傳播過(guò)程相當(dāng)?shù)慕?jīng)典..有掃描同一網(wǎng)段的電腦~自我復(fù)制.等等相當(dāng)強(qiáng)大公能~同時(shí)感染所有盤(pán)符的EXE文件~卻不對(duì)一些重要的系統(tǒng)文件和常用文件進(jìn)行感染!可見(jiàn)并不想早成太大破壞~修改注冊(cè)表.禁止打開(kāi)注冊(cè)表.甚至禁用了部分服務(wù)~~
8下面就是重要的時(shí)刻了!從后面的代碼可以看出!病毒的作者是個(gè)非常出色的程序員!有非常好的編程習(xí)慣!對(duì)病毒的異常運(yùn)行~進(jìn)行了很好的定義~都很大段都是作者對(duì)病毒運(yùn)行條件的判斷定義~值得注意的一點(diǎn):在感染EXE文件的同時(shí)!感染ASP 。HTML文件 。會(huì)在最后加一段類(lèi)似掛馬的基本代碼.~~做到通過(guò)第三方盡快傳播的辦法~(如果被感染者是網(wǎng)站管理人員 。后果可想而知了)
【實(shí)例講解如何干掉“熊貓燒香”】病毒程序的運(yùn)行
在給大家說(shuō)下病毒的部分運(yùn)行實(shí)現(xiàn)!簡(jiǎn)單的修改注冊(cè)表:
有這樣一句:WSHELL.REGWIRTE MYREGKEY, MYREGVALUE, MY REGTYPE
第一個(gè)是參數(shù)的鍵名:完整路徑..
第二個(gè)是:鍵值 。。
第三個(gè)是:鍵的類(lèi)型,
Set wshell=wscript.createobject("wscript.shell")
wshell.regWrite"HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindows NTCurrentVersionWinloginshell","eseplorer.exe","REG_SZ"
這就是腳本病毒摜用技術(shù)~
通用的解決方法
1、就是要關(guān)閉自己的默認(rèn)共享 。
首先運(yùn)行regedit,找到如下組建[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把
RestrictAnonymous = DWORD的鍵值改為:00000001 。
restrictanonymous REG_DWORD
0x0 缺省
0x1 匿名用戶(hù)無(wú)法列舉本機(jī)用戶(hù)列表
0x2 匿名用戶(hù)無(wú)法連接本機(jī)IPC
說(shuō)明:不建議使用2,否則可能會(huì)造成你的一些服務(wù)無(wú)法啟動(dòng),如SQL Server
2、禁止默認(rèn)共享
1)察看本地共享資源
運(yùn)行-cmd-輸入net share
2)刪除共享(每次輸入一個(gè))
net share ipc$ /delete

推薦閱讀