- 恶意软件移除教程
- 恶意软件移除 - 首页
- 恶意软件移除 - 概述
- 恶意软件移除 - 工作原理
- 恶意软件移除 - 类型
- 检测技术
- 移除准备
- 恶意软件移除 - 流程
- 恶意软件移除 - 保护
- 恶意软件移除 - 移除工具
- 恶意软件移除资源
- 恶意软件移除 - 快速指南
- 恶意软件移除 - 资源
- 恶意软件移除 - 讨论
恶意软件移除 - 移除准备
恶意软件会依附于程序,并利用某些事件传播到其他程序。它们需要这些事件发生,因为它们自身无法启动,无法使用不可执行文件自我传播,也无法感染其他网络或计算机。
为了准备移除阶段,我们首先应该了解恶意软件正在使用哪些计算机进程以便终止它们。它们使用了哪些流量端口以便阻止它们?与这些恶意软件相关的文件是什么,以便我们有机会修复或删除它们?所有这些都需要一些工具来帮助我们收集这些信息。
调查流程
根据上述结论,我们应该知道,当某些异常进程或服务自行运行时,我们应该进一步调查其与可能存在的病毒的关系。调查流程如下:
为了调查进程,我们应该首先使用以下工具:
- fport.exe
- pslist.exe
- handle.exe
- netstat.exe
Listdll.exe 显示所有正在使用的dll文件。netstat.exe及其变量显示所有正在运行的进程及其对应的端口。以下示例显示了如何将卡巴斯基反病毒的进程映射到 netstat -ano 命令以查看进程号。要检查它属于哪个进程号,我们将使用任务管理器。
对于 Listdll.exe,我们可以从以下链接下载它 – https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx,然后运行它来检查哪些进程与正在使用的 DLL 连接。
我们打开 CMD 并转到 Listdll.exe 的路径,如下图所示,然后运行它。
我们将得到如下所示的结果。
例如,PID 16320 由dllhost.exe使用,其描述为COM Surrogate,在左侧。它显示了此进程显示的所有 DLL,我们可以对其进行谷歌搜索并进行检查。
现在我们将使用 Fport,可以从以下链接下载 – https://www.mcafee.com/hk/downloads/free-tools/fport.aspx#,将服务和 PID 与端口映射。
另一个监控服务并查看它们消耗多少资源的工具称为“Process Explorer”,可以从以下链接下载 – https://download.sysinternals.com/files/ProcessExplorer.zip,下载后,您必须运行 exe 文件,您将看到以下结果:
