知彼知己者，百战不殆

没错，和病毒打仗，杀软的性能指标、病毒的主流技术，这些不能不知道啊。

先来看看我方良将KV2006：

特长功能：占用资源少，监控灵敏，查壳功能强大（个人认为KV的查壳功能是国产三大杀软中最强的），bootscan启动前杀毒，木马一扫光，未知病毒检测(这里有必要提一下，或许有很多网友认为bootscan和木马一扫光没用，包括我之前也这么认为，但事实上对于rootkit和dll注入式后门，这两个功能是非常有针对性的)。

再来看看病毒的一些主流技术：
这里只挑出一些比较有代表性病毒来举例，因为他们相对而言比较难对付(擒贼先擒王嘛J)
系统服务式后门：这个还比较好对付，就是把后门注册成系统服务了，杀完毒记得把服务也删除就行了。
Dll注入式后门：相对而言也比较好对付，就是比较隐蔽，自身无进程，在KV的病毒库未更新前危害相对较大。
Rootkit：这个是最麻烦的，简直是个刺儿头，浑身是钩子的家伙到处乱挂。

……剩下的，全部PASS吧，我等菜鸟只需了解这些就以足够，琐碎的细节的，交给KV研发部的工程师吧。

好了，我们开始上路，且在病毒之战中领略战争的艺术。

兵之形，避实而击虚

有些病毒用常规的办法确实难以对付，比如rootkit这类的刺儿头，所以我们先拿它开刀。

在普通情况下，由于这个东西挂接系统api，隐身性能极佳，这个是rootkit的原话：This software generates a system patch that will hide processes, files, folders, registry keys and netstat entries from Windows 95/98/ME/NT/2k/XP/2003.这个东东产生一个系统补丁可以隐藏95/98/ME/NT/2k/XP/2003系统的进程、文件、文件夹、注册表键值和网络链接信息。是不是很酷？好在单纯的rootkit没有危害性，所以确实只是很酷，不过相同原理的木马比如灰鸽子可就让我等菜鸟却觉得很苦，搞不好要哭呢！在常规情况下根本搞不定它，资源管理器中看不到它，进程管理器中看不到它！开了杀软不管你怎么杀，都是下面那个样子，每次都是杀出一堆毒，杀了还有、有了还杀、杀了又有……


怎么办？想想孙子老先生的一句兵法――兵之形，避实而击虚。既然rootkit如此凶悍，我们就避开它的锋芒，来暗杀，KV2006不是有bootscan吗，rootkit再狠，也要等到系统启动后它才能发狠，要是在系统启动前，rootkit啥都做不了只能睡大觉，OK，KV2006出马，，设定bootscan，上刺刀：


扫描路径设为C:\WINDOWS\，对于不同的此类型病毒可以根据其自身特点设定bootscan扫描范围，以达到既无漏扫又能清除干净的效果。



依照上图设置完成，ALT+F4，R键重启系统吧，等系统启动了，也该为rootkit送终了。

令之以文，齐之以武，是谓必取

对付dll注入式后门，怎么办呢？资源管理器中看不到进程，用KV杀毒，通常情况下能查出来，但总是删除失败啊！不错，由于资源管理器的特殊性――正常情况下是永远运行，因此很多dll注入式后门都把windows资源管理器（explorer）作为注入目标，还有一个常用的注入目标就是IE浏览器，下面我们就着重讨论怎么降服dll注入后门。

当然是先派侦察兵找蛛丝马迹了，打开天网防火墙(实际用KV防火墙也可以办到，但是因为个人偏爱，还是以天网为例)，奇怪，怎么资源管理器windows explorer打开1327端口监听了？很有可能是被dll后门注入了。OK，第一手资料获得。



第二步，当然是详细分析了，还是请出木马一扫光，查看一下explorer进程的详细信息，如下图红线所示部分，explorer进程一共被两个dll后门注入了（此处为笔者故意安排，两个后门，一个是bits.dll，KV已经可以查杀，另一个dlltest.dll，KV暂时不能查杀）


如何将注入dll后门从众多合法的动态链接库dll中区分出来呢？笔者发现一个经验性规律，分两步来判断：

Step1：根据内存使用量来判断：
非法注入的dll后门大小总是0，但此处并不能说明木马一扫光中显示大小为0的dll全是后门。继续第二步判断。


Step2：根据文件所在路径判断：
如下图所示，还有两个模块的大小也是0，一个Kvxp0804.lng，另一个是rarext.dll，都可以排除，因为文件名和路径可以确定他们一个是KV2006的语言文件，另一个是winrar压缩软件要用的。


OK，这下把那两个害群之马给找出来了，已经有了进攻的方向。下一步呢？直接删除吗？当然不能贸然行动，explorer正在运行呢，删不掉，用KV此时也不能消灭，会提示删除失败的。怎么办？

用木马一扫光结束explorer进程，屏幕是不是闪了一下然后桌面图标啊、任务栏啊全没有了？不用急，下一步ctrl+alt+del，弹出进程管理器，然后点击新任务，入下图：


然后呢，不用多说了吧，当然是把那两个注入式dll后门删掉啊，这回是不是一下子就删掉了?
OK，后门是搞定了，然后是不是重启系统？因为没有资源管理器、没有桌面图标、没有任务栏，这种感觉太难受了！哈哈，没必要重启系统，多麻烦，重启任务栏就行了，还是用进程管理器建一个新任务，把资源管理器的路径输进去（C:\WINDOWS\explorer.exe），按照下图操作：



点击确定之后，哈哈，是不是一切又恢复正常了？不用重启、不用默默的等待全盘扫毒的完成。令之以行，齐之以武，是谓必取嘛，在KV2006和病毒的持久战中体验战争艺术的感觉，是不是很棒？ 还有一点要交代的，此方法推荐有一定经验的用户使用，因为排除注入式dll后门主要靠的就是经验和直觉，如果是小鸟，笔者更推荐用bootscan来解决，如果是KV暂时无法查出的dll后门，~!@#$，小鸟就照着步骤将就一下吧，获得经验值的好机会啊J。笔者认为该方法较之bootscan解决方案的优点在于：不需要重启系统，不需要为这个小后门而等bootscan扫描整个C区乃至整个硬盘！俺扫C区要8分钟，扫全盘要近1小时啊！

不战而屈人之兵，善之善者也

没错，能攻心，则反侧自消，自古知兵非好战嘛，虽然俺装了KV2006，但说真的俺不愿意和病毒打仗，劳神又费时！俺还记得以前在98下用KV3000杀冰河，木马是杀掉了，但是系统却不正常了，杀软和病毒打仗，无论谁胜谁负，苦的都是俺等老百姓（什么？杀软大获全胜了就不苦了？你以为听着硬盘咔咔的响近1小时，我等百姓只能苦等，难道不苦啊？）！没办法后来还是重装了！但万一哪天中马了，俺怎么办呢？杀？费时，更麻烦的是杀马后对系统的修整。不杀？废话，肯定不行。有没有两全其美的办法？有！实际每一个木马上都有服务端卸载功能，我们要讲的就是利用他这个功能来攻其心，达到不战而屈马的目的。

笔者以beast2.07这款木马为例，所用工具还是天网+KV2006。打开天网，发现一个异常进程开放6666端口，如截图：


下一步呢？当然先用天网把这个进程给终止了，然后打开KV2006，不过要设为查毒状态，不然检测到病毒KV就大开杀戒了，达不到不战而屈马的目的，设置如截图：


再下一步呢？当然是开始查毒啊，我们的目的是获取这款木马的路径、名字和版本。如截图，KV给出了查毒结果，木马为Beast（很有名的一款进口木马哦，dephi写的，和国产灰鸽子一样），2.07版本，其服务端路径为：C:\WINDOWS\svchost.exe


OK，接下来呢？当然是赶紧去网上搜索这款木马了，把它的客户端DOWN下来。什么？中了木马还敢上网？不用担心，服务端进程已被终止，如果还不放心就时刻盯着防火墙！客户端下完了吧？马上用天网把网络断开，还不放心的话就把网线也拔了。然后执行C:\WINDOWS\svchost.exe，执行木马？没错，不入虎穴，焉得虎子？更何况网络已经被断开了，有惊无险而已。
再下一步呢？运行刚刚DOWN下来的木马客户端啊，在IP地址中输入127.0.0.1，端口填写刚刚用防火墙检测到服务端开放的端口，本例为6666，然后点击连接(connect)，如下图：


客户端显示连接成功，然后呢？当然是用客户端来卸载服务端啊，如截图：


一定要注意是卸载服务端，而不是关闭服务端。OK，不战而屈马的感觉是不是很爽？再用KV查一下，防止还有服务端的副本残留在硬盘上。
怎么样？很简单的几步操作，木马是不是已经消失了？此方法的优点就是无须杀马后的系统修复工作，自然也不会有系统崩溃的风险了，干净彻底，实际操作中笔者发现对很多远程控制软件这种方法都是可行的。

不可沽名学霸王

宜将剩勇追穷寇，不可沽名学霸王，咦？这个好像不是孙子老先生的话哦，倒像是毛主席的，哈哈，这个先不用过分在意，毛主席不也站在前贤的肩膀上写出了《论持久战》和游击战的16字诀吗，只要是好的东西我们都可以拿来用嘛。

这次要讲的就是系统服务式后门，笔者以winshell5.0为例：


这种后门最大的特点就是注册为系统服务开机后随系统一起启动，打开控制面板－管理工具－服务，可以发现其注册的系统服务名为WinShell Service，如截图：


实际对这个后门我们直接手动就可以搞定，先结束winshell.exe进程，然后再去删掉后门程序，还不放心就拿KV扫一遍，不过很费时哦。可问题是，病毒我们搞定了，但是它百足之虫死而不僵，在系统服务中还是留了个尾巴，怎么办呢？

可以用sc命令啊，这条命令是专门针对服务的，打开开始菜单->运行,输入CMD然后回车，弹出CMD窗口，输入sc delete WinShell Service命令然后回车，WinShell Service是WinShell后门注册的系统服务名，如上图所示。关于这条指令的详细用法，用sc /?自己看吧。


OK，提示服务已删除，对病毒，就应当全部消灭，即使是穷寇，也要一追到底。

兵者，国之大事，死生之地，存亡之道，不可不查也

这一条，也是最重要的一条，和平年代，但不能放松警惕，记得每天更新你的KV2006。

还有不要随便运行别人发过来的可执行文件，尤其是大小在100k以下的，不要访问那些乱七八糟的网站，经常进行WINDOWS安全更新，安全意识也是很重要的。

虽然不会天天中病毒，但下毒之心不可有，防毒之心不可无，时刻要把你的KV2006保持在最佳状态，养兵千日，用兵一时，养比用要更花时间和精力。

结语:
这里介绍了几种有代表性的病毒的KV2006解决方案，有几种解决方案几乎是"歪门邪道"，哈哈，兵临险着，讲究出奇制胜嘛，用KV也应该不拘一格，本着查杀彻底，不伤系统，尽量不重启的原则，怎么用方便就怎么用，如果有让您头痛的病毒，利用常规方法都是清除失败的病毒，不妨也用"歪门邪道"试试，或许会收到意想不到的效果哦。

人民的力量是无穷无尽的，我们要把病毒卷入人民战争的汪洋中去……（哎哟，谁扔的砖头，鸡蛋，还有烂西红柿……） 附：

笔者计算机配置：
康柏自由人笔记本（2815TC）
CPU：P4-M 1.6G
RAM：256M DDR
硬盘：30G
显示卡：ATI RADEON 7500-M
操作系统：WINDOWS XP PRO SP2