危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18791774

赤手空拳追踪病毒的踪迹

在病毒、木马、间谍程序横行的今天,如何避免恶意程序侵入自己的爱机,对于本机的正常运行尤为重要。病毒侵入系统的手段也不断翻新。仅仅依靠杀毒软件,有时并不能完全抵御病毒的入侵。当新的病毒出现后,如果您没有及时升级病毒库,病毒照样可以轻松入侵系统。要想消灭病毒,首先必须及时发现病毒,这样才能做到有的放矢。其

实,不需要什么高深的技术,仅仅利用Windows自带的备份程序,我们就可以轻松追寻到病毒的踪迹。

深入了解备份程序

要想借助于备份程序找到病毒,首先必须对其进行深入了解,熟悉其各项参数的含义。这里我们就简单加以介绍。我们举一个备份的实际例子,说明备份程序ntbackup.exe的具体用法。打开记事本,输入以下内容:

@echo off

@ntbackup.exe backup”C:VDocuments andSettingsYcxI\My Documents”/a/v:no k:no /rs:no /hc:off/m normal /l:s/f”e:\m_ydocumentbak.bkf'’

其中cxl是用户名,在ntbackup.exe命令行中backup关键字表示执行数据备份,后跟原文件夹路径,/a参数表示执行附加操作,/V:{yeslno}参数表示在数据备份完成后,执行数据校验操作,yes表示

执行操作,no表示不执行。/R:{yeslno)参数表示设置存储器的的访问权限制,yes表示为所有者权限,no为管理员组成员权限。/RS:{yes[no}参数中的yes表示备份位于远程存储设备上的的迁移数据文件,no表示备份本地存储器的数据。fHC:{onloff)参数中的yes表示在存储器上使用硬件压缩,no表示不使用。/M {backup type)参数指定备份类型,包括正常( normal)、副本(copy)、增量(incremental)、每天( dialy)等类型。/L:{f]sln参数指定日志文件类型,其中f指全部,s指摘要,n指不创建日志文件。F{"le name"}参数指备份文件保存路径逻辑盘路径。当执行该批处理文件时,就可以备份我的文档中的文件了。 

如何实现自动备份

此外,还可以利用Windows的启动/关机脚本实现自动备份,在“开始”-“运行”中输入“gpedit.msc”,回车后打开组策略编辑器,依次展开“计算机配置”-“Windows设置”-“脚本(启动/关机)“分支,双击右侧窗体中的“关机”项,在关机属性面板中点击“添加”按钮,在添加脚本对话框中点击“浏监”按钮,选中上述批处理文件,这样,当每次关机前,就能实现对指定文件夹的自动备份,如果想跳过关机脚本,只需按下Ctrl键的同时,点击“关机”按钮即可。如果本机开有终端服务,当用户远程登录后,执行正常的操作,当使用完成后注销系统时,也能使用注销脚本实现自动备份,方法是在组策略编辑器中展开“用户配置”-“Win dows设置”-“脚本(登录/注销)”分支,双击右侧窗口中的“注销”项,在注销窗口中点击“添加”按钮,添加上述脚本即可。

什么是增量备份

因为我们主要使用增量备份追踪病毒(危险漫步亦是如此),这里对增量备份加以简单说明。增量备份针对的目标非常明确,就是上次备份之后,内容发生变化了的文件。假设从星期一到星期五我们每天都需要对某个重要文件夹进行备份,那么最好的办法是星期一对该文件夹进行一个基于正常备份模式的备份操作(假设名称为“备份Ol.bkf”),之后从星期二到星期五每天执行一个基于增量模式的备份操作(名称从“备份02.bkf”到“备份05.bkf”)。那么当需要恢复该备份文件时,首先需要恢复“备份Ol.bkf”文侔,之后按照顺序依次从“备份02.bkf"到“备份05.bkf"逐个恢复,在恢复过程中,可能会出现文件覆盖的提示,这说明了后一个备份文件的内容比前一个新。不必理会上述提示信息,当恢复完成后,就可以得到关于该文件夹所有的最新文件了。从上述范例可以看到,增量备份是比较“聪明”的,针对的不是所有的目标文件,而是“存档”属性发生变动的文件而言的。我们知道,当对目标文件执行了正常备份之后,备份程序即可将文件的存储属性清理掉,只有当文件的内容变动后,才会重新具有“存档”属性。而增量备份的目标恰恰是这些内容变动的文件,可以看到,增量备份单独存在没有意义,它必须与正常备份“联手”,才可以发挥威力。因此可以说,增量备份是效率最高的备份模式。当执行数据还原操作时,增量备份所恢复的仅仅是内容发生了的文件,而不是全部文件。

巧用备份程序查病毒

一般来说,恶意程序都“喜欢”在系统目录下的System32文件夹中“安身”,如果首先使用备份工具完整备份系统目录下的S'stem文件夹,然后使用增量备份功能定时对该文件夹进行备份,当本机运行不太正常时,及时检查备份文件,就能查出隐藏很深的“入侵者”。打开备份工具主窗口,选中文件夹“c:\windows\system32“,确定备份路径,点击“开始备份”按钮执行备份操作,这样,就得到了一个System32文件夹的完整备份(假设该文件为System.bkf)。在每天可以定时(例如关机前),在备份工具主窗口中点击菜单“工具”-“选项”,在选项窗口中打开“备份类型”面板,在“默认备份类型”列表中选择“增量”,然后再对System32文件夹执行一次增量备份操作,备份文件的路径和名称不变,仍为System.bkf。也可以采用ntbackup.exe命令行快速创建增量备份。执行批处理文件就能实现增量备份,还可以将其放到关机或者注销脚本中,实现自动备份。然后打开还原和管理媒体”面板,在左侧的备份文件列表中选中备份文件System.bkf,在右侧的根据备份文件的创建日期,打开其中的增量备份项目,System32文件夹中新增的文件就全部显示出来了,根据文件的名称和类型容易“揪”出恶意程序来。利用各种清除病毒的工具(例如Icesword等),将这些可疑程序删除即可。也可以重启电脑进入Windows控制台界面或者安全模式将其删除。