论文部分内容阅读
“中毒了吧!”几乎成了我们的日常口头禅,它的危害之大可见一般。而且病毒总是比杀毒软件升级快,更是令我们防不胜防。今天就让我们来分析一下病毒入侵的大致过程,在使用杀毒软件的基础上再配合手工查杀,让系统的安全更上一层楼。
恶意软件入侵系统的流程
进入电脑系统
病毒并非“天外飞仙”,它也只不过是一种计算机程序,没有你的允许它是进不到你电脑系统中的,所以病毒总要把自己隐藏起来,或打扮得“楚楚可怜”骗取你的信任。一般它会通过下面的途径进入电脑。
磁盘文件互拷(主要是从软盘、U盘、移动硬盘等上面复制文件时)
↓
光盘感染(带病毒的光盘)
↓
网络传递(如通过网络下载、QQ或MSN传递、电子邮件、网页浏览等)
将自己藏起来
病毒侵入电脑后,首先要找一个隐蔽的藏身之地,否则很容易被人们发现和清除的。下面列出的一些文件夹,对病毒来说是比较理想的藏身位置(其中的“X:”表示系统所在的分区盘符,一般为C盘)。
X:\;X:\Windows;X:\Windows\System32;X:\Windows\Temporary Internet Files\Temporary Internet Files;x:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
(关于病毒在系统中的藏身位置,在本版的网上论坛维护有一个专门的主题贴,欢迎大家随时共享自己新的发现和经验)
让自己运行起来
病毒、木马总是想方设法让自己运行起来,方法之一就是利用系统中的各种自动启动功能加载,下面看看它们常去光顾的位置。
注册表下的启动键:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ run](或者RunOnce);HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run] (或者RunOnce);[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\run] (或者RunOnce)。
↓
隐藏在Autoexec.nt文件中,此文件作用与Autoexec.bat相似(文件路径:C:\WINDOWS\SYSTEM32)。
↓
其他已不常用的位置。
今天我们所说的“病毒”,是指所有的恶意软件,也即病毒和木马的统称。实际上病毒和木马是有点区别的,前者是把自己寄生在其他软件中,而木马则以独立文件出现,伪装成合法程序。
通过后缀名初评文件安全级别
了解了病毒进入电脑的几种途径后,只要我们平时谨慎一点,就能防止大部分病毒的入侵。比如从其他地方借来的U盘、软盘或光盘上拷贝文件之前,一定要开启病毒防火墙,并且对这些盘上的文件查杀一遍。在网络时代,通过E-mail(或QQ等即时通讯软件)接收文件是常有的事,那么如何判断接受的文件是否安全呢?通过文件后缀名可以初步定义文件的风险级别:
1.像.mp3.wma.rm.avi.bmp.jpg等影音图像文件,基本上安全,可以打开。而像.rar.zip这类的压缩文件,接收也是比较安全的,不过在解压的时候就要小心了,之前最好用杀毒软件扫描一遍。
2.像.doc.xls.htm.asp等数据文件,有一定风险,可能包含脚本病毒,要多加注意。
3.像.pif.exe.bin.reg.scr等可执行文件,风险极高,最好不要打开,如必须要打开,一定要开启病毒防火墙。
在网页http://bbs.cfan.com.cn/forum-144-1.html上列举了比较全面的文件后缀名说明,大家可以参考一下。
不花钱照样能请查毒专家
如果你突然觉得自己的电脑有些异样,比如运行速度奇慢、经常死机或者程序文件启动不正常,有可能是中毒了。不幸的是你还没有安装杀毒软件,怎么办?那就请在线的免费“查毒专家”帮帮忙吧。
第1步:首先登录瑞星的免费查毒网页:http://online.rising.com.cn/ravonline/RavSoft/Rav.asp,弹出对话框要求你安装插件。
第2步:按提示安装相应的ActivX控件后进入网页,如图1所示,与杀毒软件的界面非常相似,在“选择查毒范围”下拉框中选择要查毒的文件夹位置,再点击“开始查毒”按钮就可以了,完成后会生成一个详细报告。
图1
IceSword加Windows任务管理器,巧捉隐含的恶意进程
无论病毒文件藏得多深,只要它运行起来,总会有露马脚的地方,通过进程追踪病毒,往往能事半功倍。
第1步:查找恶意进程的利器,当然非IceSword “利刃”莫属了,可以到华军网站下载(http://www.newhua.com/soft/4523.htm)。解压后,直接双击IceSword.exe即可运行。
第2步:在左侧点击“进程”,即可列出当前系统正在运行的所有进程,再执行“转储→列表”,把进程列表保存为一个文本文件(见图2)。
图2
第3步:按Ctrl+Alt+Del键调出Windows的任务管理器,点击“进程”选项卡,把这里的进程与IceSword导出的列表对比一下,如果IceSword有而任务管理器中没有的,必是隐含进程无疑了。
第4步:以这个可疑的隐含进程名为关键字,在Google(http://www.google.com)中即可搜索到具体的资料以及应对的方法了。如果确实为恶意程序,可在IceSword中查看这个进程的文件位置,然后右击进程选“结束进程”杀掉它,再删除相应病毒文件,清理注册表中的相应项目即可。
揪出进程的后台老板
是个第三方的进程查看软件,都比Windows的任务管理器好用,360安全卫士(下载地址:http://www.360safe.com/)及Process Explorer(下载地址:http://download.sysinternals.com/Files/ProcessExplorer.zip),都值得大家一用。这里说说Process Explorer的另类应用。
第1步:启动Process Explorer,将自动列出当前系统中的所有进程,右击可疑进程,选择Properties打开属性窗口,点选Strings(字符)选项卡。
第2步:这里可以找出程序文件(Image)以及程序加载到内存(Memory)后所包含的字符串。按Ctrl+F键连续查找“http://”,就可以查出这个进程的后台支持网站了。
关闭硬盘的引导扇区
为了防止病毒感染硬盘的引导扇区,在安装好操作系统后,我们可以在BIOS中进行设置,将引导扇区保护起来。这里以AwardBIOS为例进行介绍:
第1步:重新启动电脑,按Del键进入BIOS设置程序。
第2步:进入“Advanced BIOS Features”中,选中“Virus Warning”项,把它设置为Enabled即可。
预防与清除Word宏病毒
启动Word 2003,单击“工具→选项”,在“安全性”选项卡将“宏安全性”设置为“中”(或“高”),这样未经你确认的宏就无法运行了。如果已知某Word文档中了宏病毒,可还想要这份文档,可先做好备份工作,再如下操作:
执行“工具→宏→宏”打开宏对话框,将“宏的位置”设置为“所有的活动模板和文档”。选中包含了病毒的宏,单击“删除”,确认即可。
小提示:另类方法追踪木马、间谍软件
★尽可能关闭所有的应用程序,然后连线上网,右击系统托盘内的网络连接图标,选择“状态”打开本地连接状态窗口,这时什么也别操作,只是静静观察“活动”栏中发送和收到的数据包数量是否有变化。如果有变化,则可能中木马了,因为此时你并未作任何操作,而一般来说木马病毒却会在后台偷偷发送或接送数据。
★点击Windows XP的“开始→搜索”,将搜索文件类型设置为“*.exe, *.bat, *.pif”,在“什么时候修改的”中指定一个时间段,进行搜索。如果你确定这一时间段内未对某个程序文件作过修改,却被搜索出来,则这个文件有可能被病毒或其他程序修改过了。
恶意软件入侵系统的流程
进入电脑系统
病毒并非“天外飞仙”,它也只不过是一种计算机程序,没有你的允许它是进不到你电脑系统中的,所以病毒总要把自己隐藏起来,或打扮得“楚楚可怜”骗取你的信任。一般它会通过下面的途径进入电脑。
磁盘文件互拷(主要是从软盘、U盘、移动硬盘等上面复制文件时)
↓
光盘感染(带病毒的光盘)
↓
网络传递(如通过网络下载、QQ或MSN传递、电子邮件、网页浏览等)
将自己藏起来
病毒侵入电脑后,首先要找一个隐蔽的藏身之地,否则很容易被人们发现和清除的。下面列出的一些文件夹,对病毒来说是比较理想的藏身位置(其中的“X:”表示系统所在的分区盘符,一般为C盘)。
X:\;X:\Windows;X:\Windows\System32;X:\Windows\Temporary Internet Files\Temporary Internet Files;x:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
(关于病毒在系统中的藏身位置,在本版的网上论坛维护有一个专门的主题贴,欢迎大家随时共享自己新的发现和经验)
让自己运行起来
病毒、木马总是想方设法让自己运行起来,方法之一就是利用系统中的各种自动启动功能加载,下面看看它们常去光顾的位置。
注册表下的启动键:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ run](或者RunOnce);HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run] (或者RunOnce);[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\run] (或者RunOnce)。
↓
隐藏在Autoexec.nt文件中,此文件作用与Autoexec.bat相似(文件路径:C:\WINDOWS\SYSTEM32)。
↓
其他已不常用的位置。
今天我们所说的“病毒”,是指所有的恶意软件,也即病毒和木马的统称。实际上病毒和木马是有点区别的,前者是把自己寄生在其他软件中,而木马则以独立文件出现,伪装成合法程序。
通过后缀名初评文件安全级别
了解了病毒进入电脑的几种途径后,只要我们平时谨慎一点,就能防止大部分病毒的入侵。比如从其他地方借来的U盘、软盘或光盘上拷贝文件之前,一定要开启病毒防火墙,并且对这些盘上的文件查杀一遍。在网络时代,通过E-mail(或QQ等即时通讯软件)接收文件是常有的事,那么如何判断接受的文件是否安全呢?通过文件后缀名可以初步定义文件的风险级别:
1.像.mp3.wma.rm.avi.bmp.jpg等影音图像文件,基本上安全,可以打开。而像.rar.zip这类的压缩文件,接收也是比较安全的,不过在解压的时候就要小心了,之前最好用杀毒软件扫描一遍。
2.像.doc.xls.htm.asp等数据文件,有一定风险,可能包含脚本病毒,要多加注意。
3.像.pif.exe.bin.reg.scr等可执行文件,风险极高,最好不要打开,如必须要打开,一定要开启病毒防火墙。
在网页http://bbs.cfan.com.cn/forum-144-1.html上列举了比较全面的文件后缀名说明,大家可以参考一下。
不花钱照样能请查毒专家
如果你突然觉得自己的电脑有些异样,比如运行速度奇慢、经常死机或者程序文件启动不正常,有可能是中毒了。不幸的是你还没有安装杀毒软件,怎么办?那就请在线的免费“查毒专家”帮帮忙吧。
第1步:首先登录瑞星的免费查毒网页:http://online.rising.com.cn/ravonline/RavSoft/Rav.asp,弹出对话框要求你安装插件。
第2步:按提示安装相应的ActivX控件后进入网页,如图1所示,与杀毒软件的界面非常相似,在“选择查毒范围”下拉框中选择要查毒的文件夹位置,再点击“开始查毒”按钮就可以了,完成后会生成一个详细报告。
图1
IceSword加Windows任务管理器,巧捉隐含的恶意进程
无论病毒文件藏得多深,只要它运行起来,总会有露马脚的地方,通过进程追踪病毒,往往能事半功倍。
第1步:查找恶意进程的利器,当然非IceSword “利刃”莫属了,可以到华军网站下载(http://www.newhua.com/soft/4523.htm)。解压后,直接双击IceSword.exe即可运行。
第2步:在左侧点击“进程”,即可列出当前系统正在运行的所有进程,再执行“转储→列表”,把进程列表保存为一个文本文件(见图2)。
图2
第3步:按Ctrl+Alt+Del键调出Windows的任务管理器,点击“进程”选项卡,把这里的进程与IceSword导出的列表对比一下,如果IceSword有而任务管理器中没有的,必是隐含进程无疑了。
第4步:以这个可疑的隐含进程名为关键字,在Google(http://www.google.com)中即可搜索到具体的资料以及应对的方法了。如果确实为恶意程序,可在IceSword中查看这个进程的文件位置,然后右击进程选“结束进程”杀掉它,再删除相应病毒文件,清理注册表中的相应项目即可。
揪出进程的后台老板
是个第三方的进程查看软件,都比Windows的任务管理器好用,360安全卫士(下载地址:http://www.360safe.com/)及Process Explorer(下载地址:http://download.sysinternals.com/Files/ProcessExplorer.zip),都值得大家一用。这里说说Process Explorer的另类应用。
第1步:启动Process Explorer,将自动列出当前系统中的所有进程,右击可疑进程,选择Properties打开属性窗口,点选Strings(字符)选项卡。
第2步:这里可以找出程序文件(Image)以及程序加载到内存(Memory)后所包含的字符串。按Ctrl+F键连续查找“http://”,就可以查出这个进程的后台支持网站了。
关闭硬盘的引导扇区
为了防止病毒感染硬盘的引导扇区,在安装好操作系统后,我们可以在BIOS中进行设置,将引导扇区保护起来。这里以AwardBIOS为例进行介绍:
第1步:重新启动电脑,按Del键进入BIOS设置程序。
第2步:进入“Advanced BIOS Features”中,选中“Virus Warning”项,把它设置为Enabled即可。
预防与清除Word宏病毒
启动Word 2003,单击“工具→选项”,在“安全性”选项卡将“宏安全性”设置为“中”(或“高”),这样未经你确认的宏就无法运行了。如果已知某Word文档中了宏病毒,可还想要这份文档,可先做好备份工作,再如下操作:
执行“工具→宏→宏”打开宏对话框,将“宏的位置”设置为“所有的活动模板和文档”。选中包含了病毒的宏,单击“删除”,确认即可。
小提示:另类方法追踪木马、间谍软件
★尽可能关闭所有的应用程序,然后连线上网,右击系统托盘内的网络连接图标,选择“状态”打开本地连接状态窗口,这时什么也别操作,只是静静观察“活动”栏中发送和收到的数据包数量是否有变化。如果有变化,则可能中木马了,因为此时你并未作任何操作,而一般来说木马病毒却会在后台偷偷发送或接送数据。
★点击Windows XP的“开始→搜索”,将搜索文件类型设置为“*.exe, *.bat, *.pif”,在“什么时候修改的”中指定一个时间段,进行搜索。如果你确定这一时间段内未对某个程序文件作过修改,却被搜索出来,则这个文件有可能被病毒或其他程序修改过了。