拯救被迫裸奔的电脑

安全阵线

记录人:苗得雨 · 2009年3月9日 第9期

技术点:如何解决因杀毒软件失效导致的中毒故障。

电脑如同我们的家一样,在使用一段时间之后就需要清理维护。特别是在病毒横行的今天,如何做好安全维护,在电脑出现问题的时候如何将问题找出并解决,是想成为安全工程师和电脑高手的朋友应该掌握的基本技能。也只有这样,我们才能够在电脑出现异常时,临危不乱处变不惊,防止因为盲目的误操作,出现本不应该出现的数据丢失。

现在绝大多数电脑用户都会安装杀毒软件,他们对杀毒软件的依赖程度相当高,如果怀疑电脑中毒了,就会想到用杀毒软件。而如果杀毒软件也同时出现故障,很多用户就不知道该怎么办了。

以我个人遇到的情况来看,有些病毒会直接关闭杀毒软件进程,有些病毒会停止杀毒软件后台服务,还有一些病毒会悄悄地更改用户的网络协议与关键文件,让杀毒软件升级功能失效。而当用户察觉系统有异样后,再次安装杀毒软件往往也会失败,甚至更换另一种杀毒软件也会遇到阻碍。失去了防御病毒的武器会让许多用户束手无策,这时正好是我们安全工程师大显身手的时候。

用户难处理的症状

症状1:无法上网,杀毒软件主动防御关闭或无法执行

症状解析:这种情况比较多见。病毒通常是修改了IE中的代理选项,让用户无法正常上网。所以用户如果遇到这样的问题,应该即时检查IE浏览器中的“Internet选项”,病毒可能修改了“连接→局域网设置”中的“代理服务器”一项,用户只需要将“代理服务器”选项前的钩去掉即可(图1)。也有部分病毒会删除用户电脑中的网络协议,让用户的网络操作彻底失效。

09-f10-01.jpg

而让杀毒软件主动防御失效,病毒常采用的招数是,通过修改系统默认加载的DLL 列表项来实现DLL注入(将一个DLL放进某个进程的地址空间里面,成为进程的一部分),在注入后设置全局钩子。然后根据杀毒软件的关键字,找到杀毒软件的窗口,往目标窗口发送大量的垃圾消息,使它无法处理而进入假死状态。这时杀毒软件的主动防御功能就失效了(图2)。

09-f10-02.jpg

杀毒软件无法执行,极有可能是由映像劫持造成的。病毒通过修改注册表将杀毒软件程序重定向,可以导致杀毒软件无法运行。此外,也有可能是因为病毒删除了杀毒软件的服务或者文件。

症状2:仅杀毒软件和安全辅助工具无法升级

症状解析:这种情况的迷惑性更大一些,许多用户都是隔了一段时间才反应过来的。病毒修改了Windows系统中的HOSTS文件,阻止了杀毒软件和安全辅助工具的升级。用户在Windows系统中访问网站首先要在浏览器中输入域名,此时这个域名会通过DNS服务器解析成为网站的IP地址,例如我们输入网址www.ruijia.cn,就将会被解析为122.156.44.155,电脑才能够正常访问。

根据Windows系统规定,在进行DNS请求以前,Windows系统会先检查自己的HOSTS文件中是否有这个地址映射,如果有则调用这个IP地址映射,如果没有再向已知的DNS服务器提出域名解析,也就是说HOST文件的请求级别比DNS高。因此一旦病毒修改了HOSTS文件的内容,用户就无法访问杀毒软件网站了。

剖析案例掌握技巧

现实中的中毒症状往往比较复杂,有可能出现症状1和症状2杂糅的情况。下面的这个案例就是非常典型的。

现场状况:有一次,领导派我去帮其他部门处理一下电脑故障。赶到现场后,立即询问了电脑症状,得知他在启动电脑时,发现杀毒软件没有出现在桌面的右下角,他试图重新启动杀毒软件,但是没有成功,后来又尝试重新安装杀毒软件也不行,于是就向我们求救。

我在故障电脑中打开网页,发现可以上网,但打不开杀毒软件相关的网站。重新启动后,尝试进入安全模式,不过没有成功。此外,我还发现注册表无法进入,这就增大了解决问题的难度。

解决方法:检查完用户电脑后,我已经大致明白了造成这些症状的原因,主要原因就是映像劫持,而HOSTS文件也被窜改了。身为一名安全工程师,自然备有一些安全分析工具。当时我选用的是ATools(下载地址:http://www.shudoo.com/bzsoft),大家也可以挑自己顺手的安全分析工具。

我把闪存插入电脑,运行了ATools,首先检查的就是进程与线程,软件会用黄色标明异常的进程与线程。我在“Explorer.exe”进程下发现了黄色标明的DLL文件。接着,我结束了Explorer.exe进程。

然后在ATools中调用注册表工具,找到HEKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

\Advanced \Folder\Hidden\SHOWALL,将Checkedvalue的键值改为“00000001”(图3)。

09-f10-03.jpg

再在注册表中找到HEKEY_LOCAL_MACHINE\SOFTWARE\Mcrosoft\Windows NT\CurrentVersion\Image File Execution Options,将杀毒软件和安全工具命名的项删除,再运行杀毒软件就成功了。

随后定位到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,在Image File Execution Options上,选择“安全→权限”,将出现的用户列表内所有带有“写入”的权限去掉,确定退出。最后,我用安全辅助工具还原了HOSTS文件,之后,再上网就正常了。

反馈问题

我们邀请了安全工程师在数动连线网站上跟大家直接交流,得到了读者的热烈欢迎,下面是大家最关心的几个问题。

论坛 21楼:如果在系统中进行了一定的策略限制,比如不能在线执行EXE文件,这样有可能对木马进行一定的防御吗?

唐威:你可以通过策略禁止ActiveX的运行,达到部分保护电脑安全的目的,但是这无法堵住通过漏洞进入你电脑的木马,而且太严格的策略限制会影响到电脑的使用。

论坛 27楼:如何分辨出网页是否已经被挂马,有哪些明显的特征?

唐威:目前绝大多数黑客都会竭力做到不露痕迹的挂马,不过有许多网页木马仍然有马脚露出,例如浏览器莫名其妙关闭或者出错,弹出空白窗口等,在你安装了防挂马软件,遇到挂马网页时软件会弹出相应的危险提示。不过网页挂马没有统一性非常高的特征。

论坛 34楼:听说很多网页上面挂的马是通过软件漏洞入侵的。我想问一下,更新杀毒软件,能代替软件的更新吗?

苗得雨:我们以前回答过类似的提问,杀毒软件是无法防范因软件漏洞造成的危害的,因此建议用户及时修补软件漏洞。

论坛 43楼:据说有些网页木马能够系统通吃,就是Linux也不可能幸免于难。这是怎么回事?难道木马也可能是全平台的?

李海波:所谓的通吃是指网页挂马所使用的漏洞,在Windows和Linux两种系统中都存在,网页木马是黑客指定的木马程序最终在用户电脑中运行的一个管道,而非木马本身,因此不存在是否全平台的问题。