关于红色代码病毒修补软件在哪下载?

wuhanyong 2001-08-09 06:48:50
...全文
81 2 打赏 收藏 转发到动态 举报
写回复
用AI写文章
2 条回复
切换为时间正序
请发表友善的回复…
发表回复
tripofdream 2001-08-09
  • 打赏
  • 举报
 回复
Windows NT 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
Windows 2000 Professional, Server and Advanced Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800
另外最好删除Ida映射,方法是在IIS-站点-主目录-属性
smartzhou 2001-08-09
  • 打赏
  • 举报
 回复
microsoft网站
wsyscheck--强大的清理病毒木马的工具
Wsyscheck是一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。 一般来说,对病毒体的判断主要可以采用查看路径,查看文件名,查看文件创建日期,查看文件厂商,微软文件校验,查看启动项等方法,Wsyschck在这些方面均尽量简化操作,提供相关的数据供您分析。 Wsyscheck基本功能简单介绍: 1:软件设置中的模块、服务简洁显示 简洁显示会过滤所微软文件,但在使用了“校验微软文件签名”功能后,通不过的微软文件也会显示出来。 SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。 2:关于Wsyscheck的颜色显示 进程页: 红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。 服务页: 红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。 使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。 在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条”文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。 进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。 在使用“软件设置”-“校验微软文件签名”后,紫红色显示未通过微软签名的文件。同时,在各显示栏的"微软文件校验"会显示Pass与no pass。(可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信) SSDT管理页: 默认显示全部的SSDT表,红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。 SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。 使用“恢复所有函数”功能则同时恢复上述两种HOOK。 发现木马修改了SSDT表时请先恢复SSDT,再作注册表删除等操作。 活动文件页: 红色显示的常规启动项的内容。 3:关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功,一些功能无法完成。” 多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。 驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。 4:关于卸载模块 对HOOK了系统关键进程的模块卸载可能导致系统重启,这与该模块的写法有关系,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。 5:关于文件删除 驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启后该文件消失。 文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。应注意的是如果文件本身在回收站内,请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个。 Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块文件WDosDel.dat,将此文件与Wsyscheck放在一起会显示出相关页面,添加待删除文件并重启,启动菜单中将出现“删除顽固文件”字样,选择后转入Dos删除文件。在某些机器上,若执行“dos删除”重启后系统报告文件损坏要修复(此时修复会造成文件系统的真正损坏),此时请不要修复而是立即关闭主机电源,重新开机。(这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的,并不需要真正的修复,只需关闭电源重新开机即可。) “重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表,会问询是否执行。 注意,为避免
wsyscheck中文版
Wsyscheck是一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。 一般来说,对病毒体的判断主要可以采用查看路径,查看文件名,查看文件创建日期,查看文件厂商,微软文件校验,查看启动项等方法,Wsyschck在这些方面均尽量简化操作,提供相关的数据供您分析。 最终判断并清理木马取决际您个人的分析及对Wsyscheck基本功能的熟悉程度。 Wsyscheck基本功能简单介绍: 1:软件设置中的模块、服务简洁显示 简洁显示会过滤所微软文件,但在使用了“校验微软文件签名”功能后,通不过的微软文件也会显示出来。 SSDt右键“全部显示”是默认动作,当取消这个
病毒从零到一
病毒(Antivirus)是一种安全机制,它可以通过病毒特征检测来识别和处理病毒文件,避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生,保证了网络的安全。本套课程将带领学员深入了解黑客是如何一步步绕过杀毒软件的规则的。学习完本套课程后学员可以更加深入的了解病毒,并查杀病毒保护网络安全:1. 杀软介绍2. ShellCode混淆3. Bypass火绒4. Bypass3605. 绕过云鉴定6. 反沙箱7. 反人工
教师网络安全意识和技术.doc
教师网络安全意识和技术 教师网络安全意识和技术 计算机网络近年来获得了飞速的发展计算机通信网络以及InternetInternet已成为我们 社会结构的一个基本组成部分。网络被应用于工商业的各个方面,包括电子银行、电子 商务、现代化的企业管理,学校教育管理等。计算机网络信息服务业等都以计算机网络 为基础搭建的,从学校远程教育到政府日常办公乃至现在的电子社区,很多方面都离不 开网络技术。可以不夸张地说,网络在当今世界无处不在。尤其是信息技术课程进入到 中小学各个学校之后,从网络获取信息已经成为人们必须掌握的技术手段,这时网络上 也存在更多的威胁,对于学校来讲更是威胁更大,因为学校中直接的受害者是 "人类灵魂的工程师"和 "祖国的花朵,所以,教师在网络环境下的安全意识和所掌握的网络技术已经成为必须讨 论的课题。 1.计算机网络环境下网络安全现状 信息技术和互联网的迅速发展,对社会经济、政治、军事、科学、文化教育等领域产生 了深刻的影响,尤其是在文化教育领域。信息技术和网络为不同思想文化传播和各种教 育、教学方式的运用提供了广阔的平台。大量信息通过网络涌入教育、教学的各个角落 ,网络已成为当今远程教育的重要工具。由于互联网是在缺失秩序的情况下发展起来的 ,并且,对它的管理也常常落后于互联网的飞速发展,因此,许多违法行为往往在网络 上频繁出现:有害信息(包括暴力、色情、封建迷信,反动思想和言论等)在网上 站,注意一些站点上发布的补丁程序,并及时修复现有系统,这样,诸如"红色代码"、 "尼姆达"之类的病毒就不会像现在那么猖狂。教师还应认识到防火墙、杀毒软件不是万 无一失的,网络安全防卫体系不可能一劳永逸的防范任何攻击,所以,必须在网络操作 过程中,始终保持清醒状态,注意病毒和网络黑客行为,这样才能有效的应对各种网络 安全攻击。其次,教师应了解学生使用网络的现状,意识到网络安全教育的重要性。网 络就如一把双刃剑,在增强青少年与外界沟通和交流的同时,难免会因一些不良内容而 对他们造成心理和生理的伤害。如黄色、暴力网站以及敌对势力利用网络散布的种种谣 言。这些还会对我们的教育和意识形态带来隐患。教师应意识到无论是在学校还是家庭 ,都应加强网络安全和道德教育,积极、耐心的引导学生,使他们形成正确的态度和观 念去面对网络。同时,给学生提供丰富、健康的网络资源,为学生营造良好的网络学习 氛围,并教育学生在网上自觉遵守道德规范,维护自身和他人的合法权益。 3.教师在日常计算机操作中使用的网络安全技术 教师在意识到网络安全问题重要性的同时,也应逐步提高自己的网络安全技术水平。对 教师进行网络安全技术培训应侧重于日常计算机操作所涉及的网络安全技术,主要有: 管理和保护硬盘,Web上的自我防御措施和保护电子邮件私密性。 1管理和保护硬盘 计算机是教师教育教学工作的重要工具,课程教学设计离不开计算机提供素材和资源; 对学生进行评价离不开查询计算机内存储的各阶段成绩和有关数据;进行远距离交流离 不开计算机提供技术支持。教师使用计算机时,常会遇到文件存储在哪里找不到的问题 ,不仅降低了工作效率,系统还可能遭到非法入侵,导致重要文件丢失或被复制,给学 习和工作带来无穷的困扰。虽然人们想方设法把文件组织得很有条理,但计算机用户和 系统中运行的程序还是会将文件保存在不同的位置。许多应用程序使用不同的默认目录 来保存文件,导致文档、电子表格、图像及其他文件分散在众多文件夹中。因此教师在 保护系统之前,首先要了解硬盘上有什么资料。最好将重要文件都组织在一起,便于管 理和保护,同时也可以知道重要文件在计算机中的位置。如果教师必须用更安全的技术 来保护文档,可以使用实用程序来创建隐藏的虚拟驱动器。实际上,虚拟驱动器是硬盘 上的一个文件,但是它却具有计算机硬盘的作用,并在Window资源管理器中显示为驱动 盘符号。 对系统内部文档进行管理和保护,可以有效防止入侵者侵犯系统,但不能防范病毒对系 统的破坏。要消除这些恶意程序的威胁,教师需要在自己的计算机上安装防病毒软件。 防病毒软件其实是一种程序,它可以搜索硬盘和可移动媒介(如 5 软盘、光盘等等)上存在的已知病毒。当找到受病毒感染的文件时,可删除病毒代码以修 复文件,或删除文件以防止其他文件被病毒感染。应特别提出的是恶作剧病毒。恶作剧 病毒并不是真正的病毒,但是也具有很强的破坏力。一般是通过电子邮件发布一些警告 ,怂恿收件人执行一系列操作。如告诉阅读者查看自己硬盘上的某个文件并称这个文件 是病毒,应该马上删除。不幸的是,那些被称作病毒的文件通常是操作系统安装的。如 果收件人找到该文件并删除它,那么操作系统或其他软件将无法正常运行。如果发现有 这种邮件,最好先查看像360等这样的防病毒生产商有没有发出类似警告。 2.网页上的自我防
wsyscheck by wangsea
Wsyscheck是一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。 一般来说,对病毒体的判断主要可以采用查看路径,查看文件名,查看文件创建日期,查看文件厂商,微软文件校验,查看启动项等方法,Wsyschck在这些方面均尽量简化操作,提供相关的数据供您分析。 最终判断并清理木马取决际您个人的分析及对Wsyscheck基本功能的熟悉程度。 Wsyscheck基本功能简单介绍: 1:软件设置中的模块、服务简洁显示 简洁显示会过滤所微软文件,但在使用了“校验微软文件签名”功能后,通不过的微软文件也会显示出来。 SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。 2:关于Wsyscheck的颜色显示 进程页: 红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。 服务页: 红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。 使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。 在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条”文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。 进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。 在使用“软件设置”-“校验微软文件签名”后,紫红色显示未通过微软签名的文件。同时,在各显示栏的"微软文件校验"会显示Pass与no pass。(可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信) SSDT管理页: 默认显示全部的SSDT表,红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。 SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。 使用“恢复所有函数”功能则同时恢复上述两种HOOK。 发现木马修改了SSDT表时请先恢复SSDT,再作注册表删除等操作。 活动文件页: 红色显示的常规启动项的内容。 3:关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功,一些功能无法完成。” 多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。 驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。 4:关于卸载模块 对HOOK了系统关键进程的模块卸载可能导致系统重启,这与该模块的写法有关系,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。 5:关于文件删除 驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启后该文件消失。 文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。应注意的是如果文件本身在回收站内,请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个。 Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块文件WDosDel.dat,将此文件与Wsyscheck放在一起会显示出相关页面,添加待删除文件并重启,启动菜单中将出现“删除顽固文件”字样,选择后转入Dos删除文件。在某些机器上,若执行“dos删除”重启后系统报告文件损坏要修复(此时修复会造成文件系统的真正损坏),此时请不要修复而是立即关闭主机电源,重新开机。(这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的,并不需要真正的修复,只需关闭电源重新开机即可。) “重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表,会问询是否执行。 注意,为避免病毒程序守护,Wsyscheck可以在删除某些文件时可能会采取0字节文件占位的方式来确保删除。这些0字节文件在Wsyscheck退出后会被自动清理。是否采用此方式依赖于“软件设置”下的“删除文件后锁定”选项是否勾选。 如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”,它将在删除前将文件备份到%SystemDrive%\VirusBackup目录中,且将文件名添加.vir后缀以免误执行。 6:关于进程的结束后的反复创建 如果确系木马文件,可选择结束进程并删除文件,这样的话Wsyscheck会将其结束并删除文件。但有时因为木马有关联进程未同时结束,会重新加载木马文件。这时我们可以选择“软件设置”下的“删除文件后锁定”。这时当结束进程并删除文件后Wsyscheck将创建0字节的锁定文件防止木马再生。 也可以使用进程页的“禁止程序运行”,这个功能就是流行的IFEO劫持功能,我们可以使用它来屏蔽一些结束后又自动重新启动的程序。通过禁用它的执行来清理文件。解除禁用的程序用“安全检查”页的“禁用程序管理”功能,所以在木马使用IFEO劫持后也可以“禁用程序管理”中恢复被劫持的程序。 软件设置下的“禁止进程与文件创建”功能是针对木马的反复启动,反复创建文件,反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块文件。 要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。 对于反复写注册表启动项无法修复的情况,可以先用“禁止进程与文件创建”找出覆写该注册表项的进程,针对木马插入的线程进行挂起,再修复注册表。 懒于查看分析,不想太麻烦的话,可以先删除文件(直接删除、重启删除),待重启之后再修复注册表。 8:关于批量处理 各页中可尝试用Ctrl,Shift多选再执行相关的功能。 文件搜索中的“保存文件列表”导出搜索结果列表1,在PE启动后再执行一次得到结果2,将结果1与结果2相比较,可以用来对付某些Wsyscheck检测不出深度隐藏的RootKit。 9:关于如何清理木马的简单方法: 1: 勾选“软件设置”下的“删除文件后锁定”以阻止文件再生。 2: 批量选择病毒进程,使用“结束进程并删除文件”。 3: 插入到进程中的模块多不可怕,全局钩子在各进程中通常都是相同的,处理进程的模块即可。建议采用“直接删除模块文件”,本功能执行后看不到变化,但文件其实已经删除。不建议使用“卸载模块”功能(为保险也可以与“重启删除”联用),原因是卸载系统进程中的模块时有可能造成系统重启而前功尽弃。 4: 执行“清理临时文件”、“清除Autorun.inf” 5:在安全检查中可以修复的修复一下。不强求,重启后再执行二次清理。 6: 重启机器,大部份的病毒应该可以搞定了。此时再次检查,发现还有少量的顽固病毒才使用“禁用”“线程”“卸载”“重启删除”“Dos删除”等方法。 7: 清理完后切换到文件搜索页,限制文件大小为50K左右,去除“排除微软文件的勾”搜索最近一周的新增的文件,从中选出病毒尸体文件删除。 10:Wsyscheck可以使用的参数说明: Wsyscheck可以带参数运行以提高自身的优先级 Wsyscheck 1 高于标准 Wsyscheck 2 高 Wsyscheck 3 实时 例如需要实时启动Wsyscheck,可以编辑一个批处理 RunWs.bat ,内容为 Wsyscheck 3 将RunWs.bat与Wsyscheck放在一起,双击RunWs.bat即可让Wsyscheck以实时优先级启动。 Wsyscheck -f wsyscheck将恢复部份查询类的SSdt表中的函数,然后退出。 Wsyscheck -s 在-f的基础上执行创建安全环境后退出。 如将Wsyscheck.exe更名,则Wsyscheck启动后先恢复执行部份查询类的SSdt表中的函数,其恢复结果可以在SSdt显示页下面的Auto Restore中看到。不更名则不带此功能。另外,更名后Wsyscheck将使用随机驱动名来释放驱动。 11:随手工具说明(指菜单工具下的子菜单功能) 一般看其意即识其意,仅对部份子项说明: 清除临时文件:删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件。 禁用硬盘自动播放:本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。 修复安全模式:某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。 如果Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。 联系作者:Wang6071#sina.com.cn
安全技术/病毒

9,506

社区成员

28,984

社区内容

发帖
与我相关
我的任务
社区描述
Windows专区 安全技术/病毒
社区管理员
  • 安全技术/病毒社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章