教你安全用电脑 识别进程中的隐藏木马
计算机病毒防御技巧:如何识别并清除隐藏病毒文件?(一)
计算机病毒防御技巧:如何识别并清除隐藏病毒文件?随着互联网的普及,计算机病毒的威胁也在不断加剧。
病毒的隐蔽性和侵害性让许多用户感到束手无策,因此了解如何识别并清除隐藏病毒文件变得尤为重要。
本文将介绍一些常用的防御技巧,以帮助读者更好地保护自己的计算机。
一、了解病毒文件的常见特征病毒文件通常会伪装成常见文件类型,如文档、压缩包、视频等,以躲避用户的注意。
识别病毒文件的关键是仔细观察文件的扩展名和文件图标。
比如,一个.exe、.bat或者.com的文件,通常都是可疑的。
此外,如果一个文件的图标看起来不正常,也有可能是病毒文件。
二、使用杀毒软件进行全面扫描杀毒软件是识别和清除病毒文件的重要工具。
及时更新杀毒软件的病毒库是防止病毒侵害的关键。
当杀毒软件扫描到可疑文件时,一定要选择全面扫描,以确保所有威胁都被找出并清除。
不仅要扫描系统盘,还要对其他硬盘、U盘等外部存储设备进行扫描,以防止病毒通过这些途径传播。
三、查看进程和启动项病毒常常利用计算机的进程和启动项来隐藏自己。
通过查看任务管理器的进程选项卡,可以发现是否有可疑的进程正在运行。
比如,一个没有明确名称或者与系统进程名称相似的进程,有可能是病毒进程。
除此之外,还可以通过查看系统的启动项,找出是否存在可疑的启动项,并进行相应的处理。
四、定期清理系统缓存病毒常常将自己隐藏在系统的缓存文件中,以免被杀毒软件扫描到。
因此,定期清理系统缓存是防止病毒侵害的一个重要步骤。
清理缓存可以通过系统自带的磁盘清理工具或者第三方优化软件进行操作。
不仅可以清理浏览器缓存,还可以清理垃圾文件、临时文件等。
五、注意网络安全和文件来源在使用计算机的过程中,网络安全是不容忽视的。
下载文件时,一定要从可信的、正规的网站下载。
同时,要避免打开垃圾邮件或者陌生人发送的文件。
另外,不要随意点击不明链接或者下载来源不明的文件,这些都有可能是病毒的来源。
六、备份数据以应对病毒攻击备份数据对于应对病毒攻击至关重要。
电脑感染木马病毒查找和清除的方法
电脑感染木马病毒查找和清除的方法电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。
这篇文章主要介绍了电脑病毒:的相关资料,需要的朋友可以参考下电脑病毒:电脑感染病毒木马后如何查找和清除1 普通病毒诊断与排除笔记本电脑病毒会破坏文件或数据,造成用户数据丢失或毁损;抢占系统网络资源,造成网络阻塞或系统瘫痪;破坏操作系统等软件或计算机主板等硬件,造成计算机无法启动,因此必须及时发现并杀掉病毒。
当笔记本电脑感染病毒后通常会出现异常死机,或程序装入时间增长,文仵运行速度下降,或屏幕显示异常,屏幕显示出不是由正常程序产生的界面或字符串,屏幕显示混乱,或系统自行引导,或用户并没有访问的设备出现“忙”信号,或磁盘出现莫名其妙的文件和坏块,卷标发生变化,或丢失数据或程序,文件字节数发生变化,或打印出现问题,打印速度变慢或打印异常字符.或内存空间、磁盘空间减小,或磁盘访问时间比平时增长,或出现莫明其妙的隐蔽文件,或程序或数据神秘丢失了,或系统引导时间增长,或可执行文件的大小发生变化等现象。
当笔记本电脑出现上述故障现象后,可以采用下面的方法进行检修。
安装最新版的杀毒软件如瑞星等,然后查杀病毒;杀毒时杀毒软件会自动检查有无病毒,如有病毒,杀毒软件会自动将病毒清除。
2 黑客、木马病毒诊断与排除电脑病毒:电脑感染病毒木马后如何查找和清除黑客、木马病毒的目的一般是为了盗取笔记本电脑用户的个人秘密、银行密码、公司机密等,而不是为了破坏用户的笔记本电脑,因此笔记本电脑感染黑客、木马病毒后,系统一般不会出现损坏。
只是由于黑客、木马病毒在笔记本电脑中运行需要占用笔记本电脑的资源,因此笔记本电脑的速度可能变得比较慢,另外,在不使用笔记本电脑的时候,笔记本电脑看起来还是很忙。
如果笔记本电脑感染黑客、木马病毒可以采用下面方法进行检修。
① 安装最新版杀毒软件和防火墙如瑞星,然后运行杀毒软件杀毒即可。
② 手动查找黑客、木马病毒,具体的操作方法如下。
电脑中的木马病毒如何彻底查杀
电脑中的木马病毒如何彻底查杀在用电脑的过程中,经常会遇到一些木马病毒,那么我们要如何彻底的清楚这些木马呢?下面由小编为大家搜集的电脑中的木马病毒如何彻底查杀,希望对大家有用!一、文件捆绑检测将木马捆绑在正常程序中,一直是木马伪装攻击的一种常用手段。
下面我们就看看如何才能检测出文件中捆绑的木马。
1.MT捆绑克星文件中只要捆绑了木马,那么其文件头特征码一定会表现出一定的规律,而MT捆绑克星正是通过分析程序的文件头特征码来判断的。
程序运行后,我们只要单击“浏览”按钮,选择需要进行检测的文件,然后单击主界面上的“分析”按钮,这样程序就会自动对添加进来的文件进行分析。
此时,我们只要查看分析结果中可执行的头部数,如果有两个或更多的可执行文件头部,那么说明此文件一定是被捆绑过的!2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的,还必须请出“FearlessBoundFileDetector”这样的“特工”来清除其中的木马。
程序运行后会首先要求选择需要检测的程序或文件,然后单击主界面中的“Process”按钮,分析完毕再单击“CleanFile”按钮,在*出*告对话框中单击“是”按钮确认清除程序中被捆绑的木马。
二、清除DLL类后门相对文件捆绑运行,DLL*入类的木马显的更加高级,具有无进程,不开端口等特点,一般人很难发觉。
因此清除的步骤也相对复杂一点。
1.结束木马进程由于该类型的木马是嵌入在其它进程之中的,本身在进程查看器中并不会生成具体的项目,对此我们如果发现自己系统出现异常时,则需要判断是否中了DLL木马。
在这里我们借助的是IceSword工具,运行该程序后会自动检测系统正在运行的进程,右击可疑的进程,在*出的菜单中选择“模块信息”,在*出的窗口中即可查看所有DLL模块,这时如果发现有来历不明的项目就可以将其选中,然后单击“卸载”按钮将其从进程中删除。
对于一些比较顽固的进程,我们还将其中,单击“强行解除”按钮,然后再通过“模块文件名”栏中的地址,直接到其文件夹中将其删除。
如何检测和删除系统中的木马
如何检测和删除系统中的木马检测和删除系统中的木马(Trojan Horse)一、木马(Trojan Horse)介绍木马全称为特洛伊木马(Trojan Horse,英文则简称为Trojan)。
此词语来源于古希腊的神话故事,传说希腊人围攻特洛伊城,久久不能得手。
后来想出了一个木马计,让士兵藏匿于巨大的木马中。
大部队假装撤退而将木马摈弃于特洛伊城下,让敌人将其作为战利品拖入城内。
木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城。
在计算机安全学中,特洛伊木马是指一种计算机程序,表面上或实际上有某种有用的功能,而含有隐藏的可以控制用户计算机系统、危害系统安全的功能,可能造成用户资料的泄漏、破坏或整个系统的崩溃。
在一定程度上,木马也可以称为是计算机病毒。
由于很多用户对计算机安全问题了解不多,所以并不知道自己的计算机是否中了木马或者如何删除木马。
虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒,但它们并不能防范新出现的木马病毒(哪怕宣传上称有查杀未知病毒的功能)。
而且实际的使用效果也并不理想。
比如用某些杀毒软件卸载木马后,系统不能正常工作,或根本发现不了经过特殊处理的木马程序。
本人就测试过一些经编程人员改装过的著名木马程序,新的查杀毒软件是连检查都检测不到,更不用说要删除它了(哪怕是使用的是的病毒库)。
因此最关键的还是要知道特洛伊木马的工作原理,由其原理着手自己来检测木马和删除木马。
用手工的方法极易发现系统中藏匿的特洛伊木马,再根据其藏匿的方式对其进行删除。
二、木马工作的原理在Windows系统中,木马一般作为一个网络服务程序在种了木马的机器后台运行,监听本机一些特定端口,这个端口号多数比较大(5000以上,但也有部分是5000以下的)。
当该木马相应的客户端程序在此端口上请求连接时,它会与客户程序建立一TCP 连接,从而被客户端远程控制。
既然是木马,当然不会那么容易让你看出破绽,对于程序设计人员来说,要隐藏自己所设计的窗口程序,主要途径有:在任务栏中将窗口隐藏,这个只要把Form的Visible 属性调整为False,ShowInTaskBar也设为False。
电脑网络安全风险的识别和应对
电脑网络安全风险的识别和应对电脑网络在现代社会中扮演着重要的角色,它为我们提供了便利和交流的平台。
然而,随着网络的不断普及和应用,各种网络安全风险也随之而来。
了解并识别这些风险,并采取有效的措施进行应对,是确保我们在网络世界中安全的关键。
本文将讨论电脑网络安全风险的识别和应对措施。
一、网络安全风险的识别1. 恶意软件攻击恶意软件是指通过隐藏在计算机系统中的软件,以窃取个人信息、散发垃圾邮件或进行其他恶意活动的方式。
常见的恶意软件包括病毒、蠕虫、木马和间谍软件等。
识别恶意软件攻击的迹象可以通过注意计算机的运行速度是否变慢,是否频繁弹出广告窗口等。
2. 网络钓鱼网络钓鱼是指攻击者通过伪造合法的网页、电子邮件或短信等方式,来诱骗用户泄露个人敏感信息,如账号密码、银行卡号等。
识别网络钓鱼的迹象可以通过仔细核实链接的真实性,警惕不明身份的请求。
3. 数据泄露数据泄露是指未经授权的情况下,个人或企业的敏感信息被泄露到外部环境。
攻击者可以通过黑客攻击、员工错误、物理文件丢失等方式导致数据泄露。
识别数据泄露的迹象可以通过监控个人账户、公司内部网络的异常活动,以及建立火墙等安全措施防止入侵。
二、网络安全风险的应对1. 更新和维护安全软件为了保证计算机的安全,及时更新和维护安全软件是必要的。
安全软件可以及时发现、拦截和清除恶意软件,提供实时的保护。
同时,还需要定期更新操作系统和应用程序的补丁,以修复已知漏洞。
2. 强化密码策略设置强密码是防止个人账户被攻击的重要措施。
一个强密码应该包含字母、数字和特殊字符的组合,并且长度至少为8个字符。
此外,不同的网站和应用程序应使用独立的密码,以防止一旦一个密码被泄露,其他账户也受到威胁。
3. 多重身份验证多重身份验证是一种增加账户安全性的有效措施。
在登录账户时,用户需要提供额外的信息,如手机验证码、指纹识别等。
这样即使攻击者知道了用户的密码,也无法轻易登录账户。
4. 加强员工培训员工是企业网络安全的重要环节。
如何查找电脑中隐藏的病毒和恶意软件
如何查找电脑中隐藏的病毒和恶意软件在当今数字化社会中,电脑和互联网已经成为我们日常生活的重要组成部分。
然而,随着科技的进步,病毒和恶意软件也日益猖獗,给用户的信息安全带来了严重威胁。
因此,了解如何查找电脑中隐藏的病毒和恶意软件变得十分重要。
本文将为您介绍几种常见的方法和工具。
一、定期进行全面杀毒扫描定期进行全面杀毒扫描是查找电脑中隐藏病毒和恶意软件的关键步骤。
大多数杀毒软件都提供了全面扫描功能,可以检测整个系统中的所有文件和程序。
您可以根据自己的需求选择适合的杀毒软件,并设置自动扫描计划,以确保您的电脑定期进行全面扫描。
在进行全面杀毒扫描之前,确保您的杀毒软件是最新版本,并已更新至最新的病毒库。
这样可以保证您的杀毒软件具备最强大的病毒识别能力。
二、使用反间谍软件检测恶意软件除了病毒扫描,使用反间谍软件也是一个有效的查找电脑中隐藏恶意软件的方法。
恶意软件通常包括间谍软件、广告软件和间谍工具栏等。
这些软件在您不知情的情况下,会收集用户的个人信息、浏览记录以及其他敏感数据,并将其发送给黑客或广告商。
反间谍软件能够检测这些隐藏的恶意软件并将其移除,以保护您的隐私和个人数据安全。
您可以通过自主搜索和了解市面上的反间谍软件,在保证软件来源可信的前提下,选择一个适合的软件进行安装和使用。
三、使用网络安全软件加强防护在查找电脑中隐藏的病毒和恶意软件的过程中,我们也要重视预防工作。
使用网络安全软件是加强防护的有效手段。
网络安全软件可以提供实时监测和防护,以及阻止恶意软件和病毒的入侵。
一些重要的网络安全软件包括防火墙、反病毒软件、反间谍软件、广告拦截器等。
使您的电脑始终处于良好的安全状态,减少受到恶意软件攻击的风险。
四、定期清理浏览器插件和扩展恶意软件经常利用浏览器插件和扩展来侵入用户的电脑系统。
因此,定期清理已安装在您浏览器中的插件和扩展也是一个不容忽视的重要步骤。
打开您的浏览器设置,找到插件和扩展管理工具。
仔细检查每个已安装的插件和扩展,确保这些插件和扩展是您自己安装的,并且可信和有用。
任务管理器查杀木马病毒技巧
任务管理器查杀木马病毒技巧Windows任务管理器是大家对进程进行管理的主要工具,在它的“进程”选项卡中能查看当前系统进程信息。
在默认设置下,一般只能看到映像名称、用户名、CPU占用、内存使用等几项,而更多如I/O读写、虚拟内存大小等信息却被隐藏了起来。
可别小看了这些被隐藏的信息,当系统出现莫名其妙的故障时,没准就能从它们中间找出突破口。
1.查杀会自动消失的双进程木马前段时间朋友的电脑中了某木马,通过任务管理器查出该木马进程为“system.exe”,终止它后再刷新,它又会复活。
进入安全模式把c:\windows\system32\system.exe删除,重启后它又会重新加载,怎么也无法彻底清除它。
从此现象来看,朋友中的应该是双进程木马。
这种木马有监护进程,会定时进行扫描,一旦发现被监护的进程遭到查杀就会复活它。
而且现在很多双进程木马互为监视,互相复活。
因此查杀的关键是找到这“互相依靠”的两个木马文件。
借助任务管理器的PID标识可以找到木马进程。
调出Windows任务管理器,首先在“查看→选择列”中勾选“PID(进程标识符)”,这样返回任务管理器窗口后可以看到每一个进程的PID标识。
这样当我们终止一个进程,它再生后通过PID标识就可以找到再生它的父进程。
启动命令提示符窗口,执行“taskkill /im system.exe /f”命令。
刷新一下电脑后重新输入上述命令,可以看到这次终止的system.exe进程的PID为1536,它属于PID为676的某个进程。
也就是说PID为1536的system.exe进程是由PID 为676的进程创建的。
返回任务管理器,通过查询进程PID得知它就是“internet.exe”进程。
找到了元凶就好办了,现在重新启动系统进入安全模式,使用搜索功能找到木马文件c:\windows\internet.exe ,然后将它们删除即可。
前面无法删除system.exe,主要是由于没有找到internet.exe(且没有删除其启动键值),导致重新进入系统后internet.exe复活木马。
怎么在win7系统中找到隐藏的木马病毒
怎么在win7系统中找到隐藏的木马病毒怎么在win7系统中找到隐藏的木马病毒导读:在我们的电脑当中,有一些病毒是隐藏的,很难被发现到。
以下是小编精心整理的有关电脑安全的知识,希望对大家有所帮助。
具体方法如下:1、集成到程序中其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
2、隐藏在配置文件中木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。
而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。
不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat 和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的`计算机中运行这个该死的木马。
它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。
解决方法:大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:windowsfile.exe load=c:windowsfile.exe4、伪装在普通文件中对于不熟练的windows操作者,很容易上当。
解决方法:把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了。
认识木马与“病毒
“木马”的工作原理由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。
虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。
相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
网络安全技术木马查杀网络安全知识黑客软件网络安全培训黑客技术“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把 Form的Visible 属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。
在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Win dows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini 、system.ini、注册表等等都是“木马”藏身的好地方。
下面具体谈谈“木马”是怎样自动加载的。
网络安全I木马清除I电脑病毒I黑客技术I黑客软件电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)DLL木马要了解DLL木马,就必须知道这个“ DLL'是什么意思,所以,让我们追溯到几年前,DOS 系统大行其道的日子里。
在那时候,写程序是一件繁琐的事情,因为每个程序的代码都是独立的,有时候为了实现一个功能,就要为此写很多代码,后来随着编程技术发展,程序员们把很多常用的代码集合 (通用代码)放进一个独立的文件里,并把这个文件称为“库”(Library ),在写程序的时候,把这个库文件加入编译器,...... DLL木马就是把一个实现了木马功能的代码,加上一些特殊代码写成DLL文件,导出相关的API,在别人看来,这只是一个普通的 DLL,但是这个DLL却携带了完整的木马功能,这就是 DLL木马的概念。
防范电脑病毒和木马常用方法是什么
防范电脑病毒和木马常用方法是什么面对电脑病或者木马,你有什么方法去防范它们呢?下面由店铺给你做出详细的防范电脑病毒和木马常用方法介绍!希望对你有帮助!防范电脑病毒和木马常用方法一:防范计算机病毒的有效方法当然是安装一款好的杀毒软件。
在选择杀毒软件之前一定要注意两点:其一:按需选择,适合自己的才是最好的。
电脑本身是用来体验的,杀毒软件是为我们服务的,因此,我们所选择的杀毒软件应该是能够在保护计算机安全的前提下不影响我们网络冲浪的流畅性。
其二:杀毒软件不是神,没有任何一款杀毒软件能够保证你的100%安全。
因此,良好的使用习惯和及时打好系统及软件补丁是非常关键的。
推荐你使用腾讯电脑管家,在这些方面已经树立了一定的口碑。
防范电脑病毒和木马常用方法二:1、腾讯电脑管家独有的二代反病毒引擎,防护查杀更彻底2、腾讯电脑管家拥有全球最大的云库平台,能更好的识别诈骗、钓鱼网站3、腾讯电脑管家独创鹰眼模式,时刻保护您的爱机不受侵害4、腾讯电脑管家独有的安全等级,您可以时刻查看你爱机的安全状态5、新增广告过滤功能,有效减轻广告骚扰。
防范电脑病毒和木马常用方法三:要想实现对网络攻击、计算机病毒以及木马的防范,应当做好以下几点:(1)及时安装杀毒软件和防火墙,防止病毒侵犯、木马渗透、黑客入侵。
(2)经常使用杀毒软件进行病毒扫描,定期进行全盘扫描,及时处理潜在的安全威胁。
(3)使用硬件防火墙,定期查看安全日志,防止可疑线程恶意连接。
(4)可移动设备插入时进行病毒扫描,防止病毒渗透。
(5)及时升级杀毒软件和防火墙,获得最新的防护。
(6)多查看进程列表、服务列表,清理浏览器缓存,防止病毒潜伏。
(7)管理不常用用户的权限,防止病毒木马进行利用。
(8)及时修复系统漏洞,防止黑客利用漏洞攻击。
(9)管理浏览器的访问权限,尽量少访问可疑网站。
做好以上几点,就可以基本保证没有病毒入侵。
如何识别木马
如何识别木马识别木马有新招,希望这篇文章对你有所帮助。
一、经常看到有玩家说,在输入自己的帐号的时候通故意输错帐号和码。
其实这种木马是最早期的木马程序。
现在已经很少有编木马程序的程序员,还按照这种监听键盘记录的思路去编写木马程序。
现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。
大家都知道,不管是传奇还是任何一款程序。
它都是有他所特有的数据的(包括玩家的帐号、密码,等级装备资料等等)。
这些数据都是会通过本机与游戏服务器取得了验证以后,玩家的角色资料才会出现在玩家的面前。
而这些数据在运行的时候都是存放在计算机的内存里面的。
木马作者只需要在自己的程序里面加入条件语句就可以取得玩家真实的游戏帐号、密码、角色等级~~~~~,以我自己的计算机知识,这种语句的大概意思应该是:当游戏进程进入到让玩家选择角色的时候再从内存中提取最后一次的帐号、密码、角色等级等资料。
也就是说,其实玩家之前所做的故意输错帐号或密码完全是浪费自己的表情、浪费自己的时间。
下边先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多图片木马,EML和EXE木马,其中的图片木马其实很简单,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种方法,就是把木马exe编译到.JS文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马已经有了大概了解,简单防治的方法:开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉,然后打开Internet Explorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,然后把“在中加载程序和文件”禁用,当然这只是简单的防治方法,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。
专家教你怎么找木马隐藏在哪里
所以无论是“任务管理器”还是杀毒软件,想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段,只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除,这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题,所以没有被广泛采用。
而木马由于事先对该API函数进行了Hook,所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色),木马便得到了通知,并且在函数将结果(列出所有进程)返回给程序前,就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目,却有人不知不觉中将电视接上了DVD,你在不知不觉中就被欺骗了。
跟杀毒软件对着干:反杀毒软件外壳
木马再狡猾,可是一旦被杀毒软件定义了特征码,在运行前就被拦截了。要躲过杀毒软件的追杀,很多木马就被加了壳,相当于给木马穿了件衣服,这样杀毒软件就认不出来了,但有部分杀毒软件会尝试对常用壳进行脱壳,然后再查杀(小样,别以为穿上件马夹我就不认识你了)。除了被动的隐藏外,最近还发现了能够主动和杀毒软件对着干的壳,木马在加了这种壳之后,一旦运行,则外壳先得到程序控制权,由其通过各种手段对系统中安装的杀毒软件进行破坏,最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。
木马将自身作为DLL插入别的进程空间后,用查看进程的方式就无法找出木马的踪迹了,你能看到的仅仅是一些正常程序的进程,但木马却已经偷偷潜入其中了。解决的方法是使用支持“进程模块查看”的进程管理工具(如“ATool”提供的进程查看),木马的DLL模块就会现形了。
如何找出木马隐藏地点
如何找出木马隐藏地点1. 引言随着互联网的快速发展,网络安全威胁也日益增加。
其中,木马病毒是最具破坏性和隐蔽性的一类恶意软件。
一旦计算机中感染了木马病毒,黑客可以远程控制计算机并窃取用户的敏感信息,造成巨大的损失。
因此,找出木马隐藏的地点并及时清除是保护计算机和网络安全的重要一步。
本文将介绍如何通过一些常见的方法来找出木马隐藏的地点,以便及时清除木马病毒,保护计算机和网络安全。
2. 查看任务管理器任务管理器是一个实用的工具,它可以显示当前运行在计算机上的进程和服务。
木马病毒通常会在后台运行,并隐藏自己的进程名称以逃避检测。
通过查看任务管理器,我们可以检查计算机上运行的所有进程,并查找异常的或者可疑的进程。
以下是查看任务管理器的步骤:•在Windows系统中,按下Ctrl+Shift+Esc组合键打开任务管理器。
•选择“进程”选项卡,查看正在运行的进程。
•注意观察进程名称、CPU使用率和内存使用情况,如果发现有异常的进程,可以通过搜索引擎查询该进程是否为木马病毒。
3. 使用安全软件进行扫描安全软件是保护计算机和网络安全的重要工具,它可以帮助我们及时发现并清除木马病毒。
以下是使用安全软件进行扫描的步骤:•首先,确保你的安全软件是最新版本,并具有最新的病毒库。
•打开安全软件,并选择全盘扫描或者自定义扫描。
•等待扫描完成,查看扫描报告。
如果发现有木马病毒,安全软件会给出相应的提示和建议清除该病毒。
4. 检查系统启动项木马病毒通常会在系统启动时自动运行,并在后台隐藏自己。
通过检查系统启动项,我们可以查找是否存在异常或者可疑的启动项。
以下是检查系统启动项的步骤:•在Windows系统中,按下Win+R快捷键打开运行对话框。
•输入“msconfig”并按下回车键,打开系统配置工具。
•选择“启动”选项卡,查看启动项列表。
•注意观察启动项的名称和路径,如果发现异常的启动项,可以禁用该启动项并重启计算机。
5. 定期清理垃圾文件和临时文件夹垃圾文件和临时文件夹是木马病毒常用的隐藏地点之一。
利用windows的任务管理器识别病毒和木马
iex plore .exe :Internet Explor r 网络浏 e 览器 用子 访问Inter et, 如果您没开 IE,却也 n 有这个进程, 要注意可能是感染了病毒。如 Wor m` Lovgate. AF (爱之门)蠕虫病毒, I 常 E iex plor .exe 应位于 Program Files \ Internet e Explorer 文件夹中, 而该病毒程序则 位于Sys t e m32 中.
c srss . e xe :C li ent / Se rver Runt m e Se rver i
smss .exe :Ses ion M anager S , m e t y s b u 该 进程为会话管理子系统用以初始化系统变量 , MS- DO 驱动名$j澳 似LPTI 以及 COM,调用 S Win32壳子系统和运行在Window s 登陆过侄。 它是一个会话管理子系 , 统 负责启动用户会话。 这个进程是通过系统进 程初始化的并且对许多 活动的, 包括已经正在运行的 Wmlogon ,Win32 (cs rs s .exe)线程和设定的系统变量作出反映. 在它启动这些进侄后, 它等待 Winlogon .exe或 者cs rss .ex e结束。如果这些过程时正常的, 系 统就关 掉了。 如果发生了什么不可 预料的事(青, sms .exe 就- it 系统停止 s 响应〔 挂起)。 要注意: 如果系统中出现了不只一个smss .exe进捏, 而且 有的smss .ex e路径是 "%WINDIR%\ S MSS . EXE",}R 是中T Tr ojanClicker .N og ar d .a A j
稳 定。
taskmgr .exe :Win dows 任务管理器, 按 CTRL+ ALT十 DEL打开, 用子查着 诩在是运行 在系统上的任务与进程等信息。 alg .exe :Application Layer Gateway Ser vic .应用程序网 e 关服务, 为Inter et 连接共 n 享和 Window s 防火墙提供第三方协议插件的 支持。该进程属Windows 系统服务。
怎样发现自己的电脑被人安装了木马
怎样发现自己的电脑被人安装了木马?一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
一、检测网络连接如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。
通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
二、禁用不明服务很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。
但是别急,可以通过“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。
方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。
三、轻松检查账户很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。
他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。
恶意的攻击者可以通过这个账户任意地控制你的计算机。
为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user+用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。
电脑如何查找并删除病毒
电脑如何查找并删除病毒随着互联网的发展,电脑安全问题日益凸显。
电脑病毒是常见的安全隐患之一,它们会危害我们的个人信息安全和系统运行稳定性。
因此,了解如何查找并删除病毒是保护电脑安全的重要一环。
本文将介绍如何使用杀毒软件和其他方法来查找并删除电脑病毒。
一、使用杀毒软件杀毒软件是最常见、最有效的查找并删除电脑病毒的工具之一。
以下是一些常用的杀毒软件及其使用方法:1. 360安全卫士360安全卫士是一款知名的杀毒软件,具有全面的病毒查杀能力。
使用该软件查找并删除病毒,按照以下步骤进行操作:1)打开360安全卫士软件,点击“全盘查杀”选项。
2)等待杀毒引擎加载完成后,点击“开始查杀”按钮。
3)360安全卫士会自动扫描系统中的病毒文件,并显示查杀结果。
4)根据扫描结果,选择删除病毒文件或者进行其他操作。
2. 腾讯电脑管家腾讯电脑管家是另一款广受欢迎的杀毒软件,它可以帮助用户有效查找并删除电脑病毒。
使用该软件的方法如下:1)打开腾讯电脑管家软件,点击“查杀木马”选项。
2)点击“全盘查杀”按钮,进行全盘扫描。
3)软件会自动扫描系统中的病毒文件,并展示查杀结果。
4)根据扫描结果,选择清除病毒文件或者进行其他操作。
二、其他方法除了使用杀毒软件,还有一些其他方法可以帮助我们查找并删除电脑病毒。
以下是一些常用的方法:1. 定期更新操作系统和软件电脑病毒通常会利用系统和软件的漏洞来传播和感染。
因此,定期更新操作系统和软件是重要的一步,可以修补这些漏洞,提高系统的安全性。
2. 网络安全意识教育提高网络安全意识也是预防和处理电脑病毒的重要方法。
我们应该学会辨别可疑的链接和附件,不随便下载和安装未知来源的软件,避免访问疑似恶意网站等。
3. 手动查找恶意文件有时,杀毒软件可能无法完全检测到所有病毒文件。
这时,我们可以手动查找和删除这些文件。
打开任务管理器,点击“进程”选项卡,查找并终止可疑的进程。
然后,进入文件资源管理器,搜索并删除可疑的文件。
如何识别恶意软件
如何识别恶意软件现今互联网的普及和应用使得计算机安全问题日益突出,恶意软件的威胁也日益严重。
恶意软件是指通过计算机病毒、木马、蠕虫等方式传播的、对计算机系统和用户数据进行破坏、窃取、篡改等恶意行为的软件。
在使用电脑和网络的过程中,我们都需要时刻保持警惕并学会识别恶意软件,以保护我们的计算机和个人信息安全。
下面将介绍一些常见的识别恶意软件的方法和技巧。
1. 注意安装来源:恶意软件通常通过一些非官方或不可信的渠道进行传播,比如某些免费软件下载网站、陌生的应用商店等。
因此,在安装软件时,我们应该选择官方渠道下载,并且下载前要仔细确认软件的来源是否可靠。
2. 查看权限申请:恶意软件为了实施恶意行为,往往会申请一些与其功能无关的过高权限,比如要求访问通讯录、短信、相机、录音等。
如果遇到这种情况,应该仔细考虑是否真的需要这些权限,并对软件的目的进行怀疑。
3. 借助安全软件:安全软件可以帮助我们监测和拦截恶意软件的攻击,因此我们应该及时安装并始终保持安全软件处于最新状态。
安全软件不仅可以帮助我们识别和拦截已知的恶意软件,还可以通过行为分析等技术来检测未知恶意软件的行为,提高我们的计算机安全水平。
4. 注意电子邮件的附件和链接:恶意软件常常隐藏在电子邮件的附件或链接中,利用用户的好奇心或者不留心的习惯进行传播。
因此,在打开或下载附件、点击链接之前,我们要慎重考虑发送者的身份和内容的可信度,如果有任何疑问,最好咨询相关专业人士或使用安全软件来进行检测。
5. 更新系统和软件:及时更新操作系统和软件是保持计算机安全的重要措施之一。
恶意软件通常会利用系统和软件的漏洞进行攻击,而软件和系统的更新往往会修复已知漏洞,提高计算机的安全性。
因此,我们应该经常检查系统和软件的更新,并及时进行安装。
6. 警惕可疑行为:恶意软件的行为往往是异常的,比如电脑变慢、频繁弹出广告、自动下载软件等。
如果我们发现电脑的行为异常,应该及时进行检查,并使用安全软件来进行扫描和清除。
电脑网络安全如何识别和防止网络钓鱼攻击
电脑网络安全如何识别和防止网络钓鱼攻击在当今数字化时代,电脑网络安全已经成为我们生活中不可忽视的重要问题之一。
尤其是网络钓鱼攻击,它以伪装成可信的实体诱骗用户提交个人敏感信息,导致信息泄露和财产损失。
本文将介绍如何识别和防止网络钓鱼攻击,以保护我们的个人隐私与财产安全。
一、识别网络钓鱼攻击的常见手段1. 假冒网站: 攻击者经常伪造信任的网站,诱使用户输入个人信息。
这些假冒网站通常设计得非常逼真,与正规网站难以区分。
2. 电子邮件欺骗: 攻击者会发送电子邮件,装成被信任的机构或个人,通常采用紧急事件或奖励诈骗用户。
邮件中包含链接,指向伪造的网站。
3. 信息窃取软件: 也称为“木马”,它可能伪装成合法的应用程序,一旦用户安装,攻击者就可以窃取用户的敏感信息。
二、识别网络钓鱼攻击的方法1. 查看网址: 注意检查URL是否是可信的网站。
攻击者经常在URL 中添加额外的字符或错误的拼写,以迷惑用户。
2. 检查邮件发送者: 不要相信来自陌生或可疑发件人的电子邮件。
查看邮件发送者的电子邮件地址以及邮件内容的语法和拼写。
3. 谨慎下载和安装应用程序: 下载应用程序时应仔细检查应用商店的评价和反馈。
只从官方渠道或可信的第三方应用商店下载应用程序。
4. 使用安全浏览器: 选择使用受信任的安全浏览器,并确保浏览器具备自动检测和阻止恶意网站的功能。
5. 更新系统和应用程序: 及时更新操作系统和所有应用程序,以修复已知的漏洞。
三、防止网络钓鱼攻击的措施1. 多因素认证: 启用多因素认证可以增加用户账户的安全性。
除了用户名和密码外,还可以使用指纹、短信验证码等额外的身份认证方式。
2. 教育与培训: 提供网络安全教育和培训,让用户了解网络钓鱼攻击的手段和识别方法,以增强安全意识。
3. 安全软件和防病毒软件: 安装和定期更新防病毒软件可以帮助检测和阻止潜在的网络钓鱼攻击。
4. 隐私保护设置: 在社交媒体平台和其他网络服务中,设置合适的隐私策略并严格控制个人信息的公开范围。
教你安全用电脑
教你安全用电脑:识别进程中的隐藏木马作者:中关村在线刘菲菲责任编辑:刘晶晶【原创】 CBSi中国·ZOL 09年07月07日 [评论1条]任何病毒和木马存在于电脑系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。
但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看病毒进程隐藏三法,他就能告诉您。
当我们确认系统中存在病毒,但是通过"任务管理器"查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:发现隐藏的木马进程直接手工删除病毒一.以假乱真系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。
对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。
通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。
又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。
如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
常见系统进程解惑:进程文件:svchost 或svchost.exe进程描述:svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库(DLL) 中运行的服务的通用主机进程名称。
这个程序对你系统的正常运行是非常重要,而且是不能被结束的。
如何查看win7下的隐藏文件或是木马
如何查看win7下的隐藏文件或是木马
现在市面上的黑客们编程出了很多的木马,严重的危害到了网民们的安全。
下面是小编收集整理的如何查看win7下的隐藏文件或是木马,希望对大家有帮助~~
如何查看win7下的隐藏文件或是木马
方法/步骤
打开计算机资源管理器,找到左上角“组织”,然后单击"文件夹和搜索选项"图中红色部分;
点击“查看”,拖动右侧滚动条找到“显示隐藏的文件、文件夹和驱动器”,选中后单击确定按钮,
看看窗口中是不是多了几个文件夹(颜色比较浅)
4如果不希望看见隐藏的文件,按上述方法操作,点击“不显示隐藏的文件、文件夹和驱动器”,单击确定即可。
再来看看已经没有刚刚那个文件了。
是不是很简单。
如何查看win7下的隐藏文件或是木马相关文章:
1.win7系统如何清除伪装木马病毒文件
2.Win7 Ghost SP1盗版内置木马的危害
3.win7系统中如何优化才能让电脑不卡速度
4.如何提高Win7系统的响应速度
5.巧用组策略提高Win7系统安全性
6.win7电脑桌面没有我的电脑图标怎么办
7.怎么设置把win7电脑的性能提升。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
任何病毒和木马存在于电脑系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。
但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看病毒进程隐藏三法,他就能告诉您。
当我们确认系统中存在病毒,但是通过"任务管理器"查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
发现隐藏的木马进程直接手工删除病毒
一.以假乱真
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。
对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。
通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。
又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。
如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
常见系统进程解惑:
进程文件:svchost 或svchost.exe
进程描述:svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库(DLL) 中运行的服务的通用主机进程名称。
这个程序对你系统的正常运行是非常重要,而且是不能被结束的。
因为svchost进程启动各种服务,所
以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。
但windows系统存在多个svchost进程是很正常的,但如果你的svchost.exe进程不是在C:\windows\system32\这个目录下的话,那么就要当心了。
进程文件:explorer 或explorer.exe
进程全称:Microsoft Windows Explorer
中文名称:微软windows资源管理器
进程描述:Windows 资源管理器,可以说是Windows 图形界面外壳程序,它是一个有用的系统进程。
注意它的正常路径是C:\Windows 目录,否则可能是W32.Codered 或
W32.mydoom.b@mm 病毒。
explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。
该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。
该病毒会在受害者机器上建立SMTP服务。
该病毒允许攻击者访问你的计算机、窃取密码和个人数据。
进程文件:iexplore 或iexplore.exe
进程名称:Microsoft Internet Explorer
进程描述:iexplore.exe是Microsoft Internet Explorer的主程序。
这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。
这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。
注意iexplore.exe也有可能是Trojan.KillAV.B病毒,该病毒会终止你的反病毒软件,和一些Windows系统工具。
进程文件:winlogon 或winlogon.exe
进程名称:Microsoft Windows Logon Process
进程描述:Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。
该进程的正常路径应是C:\Windows\System32 且是以SYSTEM 用户运行,若不是以上路径且不以SYSTEM 用户运行,则可能是sky.D@mm 蠕虫病毒,该病毒通过EMail 邮件传播,当你打开病毒发送的附件时,即会被感染。
该病毒会创建SMTP 引擎在受害者的计算机上,群发邮件进行传播。
二.偷梁换柱
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。
于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。
如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。
那么这个进程是不是就安全了呢?非也,其实它只是利用了"任务管理器"无法查看进程对应可执行文件这一缺陷。
我们知道svchost.exe进程对应的可执行文件位于
"C:\WINDOWS\system32"目录下(Windows2000则是C:\WINNT\system32目录),如果病毒将自身复制到"C:\WINDOWS\"中,并改名为svchost.exe,运行后,我们在"任务管理器"中看到的也是svchost.exe,和正常的系统进程无异。
你能辨别出其中哪一个是病毒的进程吗?
此时需要借助第三方软件来查看进程的所在目录,比较重要的系统进程,如:svchost.exe、winlogon.exe等,正常路径是C:\Windows\System32,如果不是那么就要小心了。
另外需要提醒大家注意的是,在选择用来查看进程或实现其它辅助功能的第三方软件时也要谨慎,不要随便安装一些不知名的小软件或系统插件,因为木马和病毒也往往会隐藏在
其中。
目前大部分的知名杀毒软件或与杀软配套的安全助手类工具,都具备基本的系统维护功能,如垃圾文件清理、进程管理、系统修复、启动项管理等。
以瑞星卡卡安全助手为例,在进程管理功能中可以看到每个进程的对应命令行,安全助手已将所有进程进行了安全级别划分,智能识别出哪些是安全可靠的系统进程,哪些是无法判断的可疑进程和危险进程。
使用瑞星卡卡安全助手查看电脑进程
这样一来,面对众多进程就不会感到无从下手了,我们可以跳过所有安全进程,主要关注那些未被识别的进程,判断与其对应的可执行文件是否为已知程序。
三.借尸还魂
除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。
所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。
什么是进程插入技术?
在Windows中,每个进程都有自己的私有内存地址空间,当使用指针(一种访问内存的机制)访问内存时,一个进程无法访问另一个进程的内存地址空间,比如QQ在内存中存放了一张图片的数据,而MSN则无法通过直接读取内存的方式来获得该图片的数据。
这样做同时也保证了程序的稳定性,如果你的进程存在一个错误,改写了一个随机地址上的内存,这个错误不会影响另一个进程使用的内存。
对于用户来说,独立的地址空间使操作系统将变得更加健壮,因为一个应用程序无法破坏另一个进程或操作系统的运行。
但仍有很多种方法可以打破进程的界限,访问另一个进程的地址空间,那就是“进程插入”(Process Injection)。
一旦木马的DLL插入了另一个进程的地址空间后,就可以对另一个进程为所欲为,比如盗QQ。
普通情况下,一个应用程序所接收的键盘、鼠标操作,别的应用程序是无权“过问”的。
可盗号木马是怎么偷偷记录下我的密码的呢?木马首先将1个DLL文件插入到QQ的进程
中并成为QQ进程中的一个线程,这样该木马DLL就赫然成为了QQ的一部分!然后在用户输入密码时,因为此时木马DLL已经进入QQ进程内部,所以也就能够接收到用户传递给QQ的密码键入了!
如何清除采用进程插入技术,隐藏了进程的DLL病毒
最常见的是进程插入explorer.exe和winlogon.exe中,目前很多杀毒软件针对这种动态链接库的病毒查杀,效果都不理想,有时杀毒软件甚至会出现误判。
插入explorer.exe中的DLL文件,大部分可以利用工具将DLL文件卸载,然后手工删除DLL病毒文件。
而插入winlogon.exe中的DLL文件,少数可以利用卸载,然后手工删除DLL病毒文件,但大部分是不可以"卸除"的,
对于上述两种不可以"卸除"的情况,需要在安全模式下,手工删除DLL病毒文件。
另外,目前还有些病毒或木马程序有时还会感染U盘,在U盘产生Autorun.inf和相应的EXE文件。