软件小档案:
冰刃 IceSword 1.2 中文版
软件大小:2120KB
软件语言:简体中文 软件性质:免费软件
运行环境:Windows 9x/Me/NT/2000/XP/2003
下载地址:http://www.skycn.com/soft/37828.html
实战sxs.exe病毒
1.布下天罗地网
第一步:保存好文件,断开网络,开启完全影子模式,硬盘盘符上就会出现太极的符号(见图3);
第二步:禁用杀毒软件监控(针对已知病毒)。打开Filemon并开启过滤功能,并且将sxs.exe作为过滤关键词,然后最小化;
第三步:接着打开IceSword等着看就可以了;
第四步:运行病毒程序就可以了。
2.静观病毒发飙
搜集证据:在短暂的假死后,弹出一个出错的对话框,确认后系统恢复正常。打开Filemon仔细看看病毒干了什么:
①sxs将生成的病毒文件和一个Autorun.inf文件复制至硬盘各分区和移动存储☆。
②复制病毒文件htedtp.exe和htedtp.dll到C:\Windows\system32\下(见图4)。
③创建C:\Windows\system32\QQhx.dat
④病毒在C:\Windows\system32下发现并删除瑞星卡卡助手的kakatool.dll文件,导致卡卡助手无法启动(见图5)。
⑤关闭C:\Windows\system32\RavExt.dll,这个文件和瑞星监控有关(见图6)。
小知识:如何判断病毒进程
有些病毒会将DLL文件插入系统的进程,如果真的遇到有掩护的病毒进程,可以试着结束EXPLORER.EXE进程后再结束病毒进程来解决,因为很多病毒都是靠插入系统进程来保护自己从而达到不死之身的目的。经常被插入的系统进程还有svchost.exe和csrss.exe等等,像这些进程直接结束会有导致系统崩溃,建议对这些插入关键系统进程和创建N个进程互相掩护的可查杀病毒,用杀毒软件自带的DOS杀毒工具在DOS下查杀为佳。顺便提一下,有些朋友不了解系统中的进程,我们建议用Windows进程管理(prcmgr)来彻底认识系统进程,它的进程描述可帮了我们不少忙。