基本的病毒分析與手動解除方式
前言
為什麼這次的次WannaCry災情會如此嚴重呢?,「3C達人」難責其究,身為大眾媒體理應提供正確資訊,而非片面資訊「更新容易出包,沒事不要更新」來源,又沒有給予用戶正確且完整資訊,如「不更新會怎樣?」、「什麼時候可以更新?」造成用戶恐慌不敢更新;加上多數用戶抱著「病毒不甘我的事」,「平常都沒亂點網站/郵件不會中毒」等僥倖心態與專業知識不足,多方因數助長這次的次WannaCry之亂。
追究過去事沒有意義,提供給使用者正確且實用的資訊才是我的本意,本篇內容我會簡單介紹病毒的分類、攻擊模式、感染途徑、簡單的自我檢測與移除方法,希望各位不會中毒,不不幸中毒了也希望本篇內容能對各位有幫助。
電腦病毒在我自己的分類可以分為三種
- 木馬型:潛伏在用戶電腦內,竊取個資、密碼與一些見不得人的東西qq
- 病毒型:損壞作業系統、刪除檔案、綁架首頁、桌面,屬於損人不利己型,現在比較少見!
- 跳板型:用你的電腦挖礦或當跳板出去做一些非法的事情,但警察是找上你qq
攻擊型態可以分成兩類
- 主動攻擊型:這次的主角WannaCry就是主動攻擊型,先用各種手段如掃port、社交工程、網頁點擊多種途徑感染,染毒電腦會掃描區域網路內的IP,如果有漏洞,就會群聚感染,加密,傳染性極強。
- 社交工程型:使用一些聳動標題的垃圾信、引人注目的網頁標題、或您已經中獎點取換獎品之類的方式感染電腦。
防範方式不外乎是更新作業系統、網路設備、不亂開來入不明網站/信件等。
如何判斷是否中毒
針對不同類型的病毒來個別講述其特色,但辨識方法大同小異。
- 木馬型:CPU與記憶體使用量比較小,需要從管理員與開機常駐偵測
- 病毒型:CPU使用率容易暴增,使用者較容易發現,較先進的病毒會有負載平衡,讓使用者感覺不出來特別異常,這種類型的病毒就只能從工作管理員偵測。
- 跳板型:主要特徵會有異常流量網路封包,但不隨時發作,所以需要從開機常駐判斷
Windows內建的監控程式
三種類型病毒特徵都會有不正常的開機常駐、異常的CPU / IO / 記憶體使用量,下面會逐一教大家如何判斷電腦是否中毒,下面先教大家如不借用第三方軟體來確認是否中毒。
工作管理員(Taskmgr.exe)
觀察執行路徑與命令是否異常
1、啟動方式:開始工具列→啟動工作管理員;快速鍵Ctrl + Shift + Esc
2、Windws 7 (檢視→選擇欄位);Windwos 10 (詳細資料→右鍵→選擇欄位)
4、設定完成工作管理員,可以看到處理序工作目錄,方便識別該程式是否異常。
Windows 7 工作管理員
5、調整完後,先切CPU使用率排序,看一下最高CPU使用的程序有無異常,這邊舉例deluge來觀察此檔案是否異常,對例deluge右鍵內容。
6、搭配Google搜尋檔案內容,就可以知道這隻程式是不是病毒了,當然也有偽裝的可能,後面再講怎麼拆穿病毒的偽裝。
系統設定(msconfig.exe)
全部的開機常駐程式都會在這邊顯示,從這邊可以觀察開機常駐是否異常。
1、Windows 7 啟動方式:開始→輸入「msconfig」→啟動
2、從啟動這邊可以看到全部的開機常駐程式,如果看到不認識的程式一樣搭配Google搜尋就可以知道這程式是否屬於病毒。
Windows 7 開機「常駐程式」設定畫面
Windws 10 開機「常駐程式」設定畫面
資源監視器(perfmon.exe)
可以觀察程式的CPU/記憶體使用率、程式位置與IO、網路封包等讀寫狀態。
1、開啟工作管理員→效能→資源監視器 (Windwos 7、10操作相同)
2、資源瀏覽器將CPU與磁碟設定使用率高在上,可以觀察一般的綁架病毒或攻擊型病毒
如何判定病毒
如何判斷病毒,這不外乎事經驗的累積與對於Windows的作業程序了解。我自己在判斷是否為病毒有兩個很重要的指標。
- 病毒行為模式:監看CPU / IO / 記憶體使用率,只要有異常消耗資源的程式,就原形畢露了。
- 病毒路徑與檔名:遇到會自動平衡資源消耗或不吃資源病毒 / 木馬,監看硬體使用率不一定看得出端倪,就需要借助「開機常駐」或工作管理員的「執行命令」來判斷。
資源監視器 / 工作管理員
- 攻擊型病毒會吃較多CPU、可以從工作管理員輕易的抓到病毒行為。
- 加密型病毒也會吃很多CPU與I/O讀寫,可從資源監視器的磁碟與CPU使用率判斷。
- 跳板/木馬型病毒會送出很多異常封包,可以從資源監視器的網路,「具有網路活動的處理程序」來判斷。
※使用技巧,可以勾選執行緒名稱,詳細資料就僅更新選定之執行緒。
檔案名稱 / 開機常駐
一些病毒會使用「隨機產生路徑」讓懶人殺毒包無法輕易刪除病毒,但手動刪除來看反而刺眼,非常容易被發現。
從「系統設定→啟動」可以看到開機所有的常駐程式,針對檔案名稱或資料夾名稱來過濾,沒有一個程式開發者會無意義名稱來命名,如果看到這種毫無意義的命名方式幾乎99%都是病毒,可以直接刪除,有沒看過或可疑的程式名稱可以搭配google來驗明正身。
個人經驗模式判斷但不一定適合每一個病毒(參考用)
為了快速大量傳輸,病毒都會盡量把檔案設計得很小,絕大部分病毒檔案都小於1MB,且由多個很詭異檔案名稱組成,分散在多個資料夾,且都沒有圖示icon。
抓的病毒是用服務或是外部指令執行
如果用Windows服務執行,從工作管理員/資源監視器是看不到異常的資源使用率,如上一次的Eyny加密病毒」,藉由Windows PowerShell來執行,這從資源監視器來看就只是一個微軟的程序,但是會異常吃很多資源,這邊簡單用PowerShell執行一段指令,則工作管理員內的「命令」就會顯示外部執行的「命令」。
如何殺毒
在知道病毒名稱與檔案位置後,要刪除病毒會碰到問題是,病毒都會寫多個檔案監控執行緒是否存在,其中一個被關閉,其他程序還是會把病毒再次執行,拚手速也不可能一次把全部執行緒關閉,所以我們要借助安全模式來刪除病毒。
1、先將可疑的「名稱」及「檔案位置」記錄起來,並取消開機執行,注意通常病毒會不只一個的開機執行檔案,要把全部可疑的路徑跟檔案都取消執行,寧可錯殺也不放過(錯殺還可以開回來,所以放心大膽的取消吧)。
3、進入安全模式後,先別急著刪除病毒資料夾與檔案,先用「病毒名稱」在「登入編輯程式(regedit.exe)」內搜尋一輪(快速鍵Ctrl + F),看看有沒有其他的服務一併刪除,免除後患。
4、再確定以下「開機執行」與「啟動服務」部分沒有可疑程式
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
6、確定開/關機服務使否有異常 (僅適用Windows 7 Pro 與 Win 10 Pro,家用版無法開啟)
開啟「本機群組原則編輯器 (gpedit.msc) 」
※※如果是Windows 7、10 Home 版的用戶需要去「登入編輯程式(regedit.exe)」 確認啟動/ 關機服務是否有異常規則。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Shutdown
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Startup
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup
7、確定「服務」與「開機常駐」都已經刪除後再將病毒檔案刪除。
**重點流程,錯了會造成病毒刪除不完全,會有死者甦醒的可能**
8、將安全模式啟動取消,系統設定→開機→取消勾選「安全開機」→重新啟動
Dang Wang 2017/05/15 著