【www.feic31.com--技术个人工作总结】

1、 对于采用进程插入技术，隐藏了进程DLL病毒的查杀

　　目前的一些高级病毒或木马程序，采用进程插入技术，隐藏了进程，将其DLL动态链接库文件插入现有的系统进程中，常见的插入explorer.exe和winlogon.exe中，目前杀毒软件针对这种动态链接库的病毒查杀，效果都不理想，有时杀毒软件甚至会出现误判，如"赛门铁克误杀系统两个关键动态链接库文件"事件。

　　对于插入explorer.exe中DLL文件，大部分可以利用工具IceSword中"模块/卸除"，将DLL文件卸载，然后手工删除DLL病毒文件。

　　对于插入winlogon.exe中DLL文件，少数可以利用工具IceSword中"模块/卸除"，将DLL文件卸载，然后手工删除DLL病毒文件；大部分是不可以"卸除"的，

　　对于上述两种不可以"卸除"的情况，需要在安全模式下，手工删除DLL病毒文件。

　　另外，目前还有些病毒或木马程序有时还会感染U盘，在U盘产生Autorun.inf和相应的EXE文件。

2、对于启动进程的EXE病毒的查杀

　　1、在进程中可以发现的单进程EXE病毒或木马程序，如：svch0st.exe，有些杀毒软件可以发现且可以停掉进程，杀掉病毒；有些杀毒软件会报警提示用户或形成日志，需要用户作进一步判断后，再手工停掉相应进程，杀掉病毒。

　　2、在进程中可以发现的双进程EXE病毒或木马程序，由于手工方式不能同时停掉两个进程，当我们手工掉其中一个进程后，另一个进程会将该进程重新启动。针对这种情况杀毒软件也无能为力，若两个都是非系统进程，我们可以通过"任务管理器/进程/结束进程树"的方式停掉该进程，杀掉病毒；也可以用工具IceSword（冰刃）中"文件/设置/禁止进线程创建"，来停掉其中一个进程，再停掉另一个进程，杀掉病毒。

　　3、对于像被"熊猫烧香"感染的EXE文件，上述两种手工处理无效，因为无法手工清除受病毒感染的文件中的病毒，这时只能向杀毒软件厂商提供病毒样本，等待杀毒软件升级后再进行处理，或重新安装操作系统。.

本文来源：http://www.feic31.com/gerenzongjie/73324.html