中国政法大学论坛|沧海云帆

标题: 用KV2008杀除未知病毒指南和实践 [打印本页]

作者: gao0907 时间: 2008-4-26 14:55
标题: 用KV2008杀除未知病毒指南和实践
用KV2008杀除未知病毒指南和实践
如今都注重杀软的防御能力和自身与病毒周旋对抗的能力。当然未知病毒的检出率高的好处显而易见，比较省事，最适合怕麻烦或不熟悉电脑的用户（不过有时对付误报也不省事）。现在的杀软风格百花齐放，各有侧重，各有长短，选一款适合自己和自己机子的吧，比来比去没意思，以自己电脑的最终安全为最终目标~~~

下面来测试一下，正好昨天随便搜集了100个左右KV2008检测不出的病毒，其中有个卡饭最新的测试包含279个，KV杀了197个（截止到20日红伞273、卡7高启发236、NOD32-164、Sophos 257、熊猫161、BD186、蜘蛛191、McAfee个人版176。。。。NOD32检出164个，你们是相信这个还是相信VB100呢？或者都不相信？该怎么分析呢？呵呵）KV杀剩的88个+几个最新的零碎共100个（今天KV升级后杀了3个零碎，其中有个AUTO.EXE。目前不到100个了），如图：

测试方法：运行，出现主动防御提示后，一般动作（如运行程序，创建文件等不易判断的动作）放行；危险动作（如提示注入XXXX进程）拦截操作。然后用KV检测清除(不借助其他任何工具)。现在KV的主动防御提示比07有进步，有些危险动作的提示语比较严厉，不熟悉电脑的用户吓也吓的点禁止了，但我建议点结束进程，呵呵~~

有一类病毒，或免杀或加壳，扫不出，但一运行即被秒杀，这一类我个人认为和直接检出无本质的区别。如这几个

无法运行,因为刚运行就被杀了

这个刚释放文件就被杀了

呵呵,仔细比较一下这两个提示??

一释放就被杀
对于这些,开始没检出有什么呢?
再运行一个

允许,但没有其他动作,看进程,危险度55%,不是好东西,但却找不到生成的123.EXE(隐藏属性),用KV系统检测里的隐藏文件检测也找不到,要把123的进程结束后才能找出来(这个功能需要加强?)

KV的进程查看器帮助找出了可疑,在系统文件夹中生成隐藏属性文件的基本都是病毒行为.

来个AUTO病毒

运行fast.exe,会有2~3个创建文件的动作,允许~~

接下来,出现注入系统进程的提示

注意:非常危险!KV的提示框提示建议"总是禁止",但从我几次的实践表明,禁止是不够的,应该建议结束进程,以此病毒为例,如果结束进程,一切恢复平静.如果禁止,才有了下面的故事(这个病毒后来我又试二次,结果却不太一样,一次在提示注入系统进程时点的禁止,却成功了;一次允许,接下来的故事反倒没有如下的多,没创建那么多AUTORUN,也没让我点到手酸,后来看进程,可疑进程只有一个了,可疑度却达到了100%）

省了N多图,不停的创建,点到手酸,一边创建,KV一边杀,杀了无数的AUTORUN,病毒终于排泄完了(其实就是拼命的建D971A7BE.EXE这个文件,却建不起),检查一下

每个盘下有AUTO.EXE,无法显示隐藏文件,开始清除

KV的未知病毒扫描确实是反毒的利器,加入样本库后再杀,病毒文件基本肃清,用系统诊断把病毒的一个服务找到并删除,清理一下垃圾,完毕

欢迎光临中国政法大学论坛|沧海云帆 (http://cupl.myubbs.com/)