今天你中毒了吗?
来源:互联网 发布:淘宝是b2c还是c2c 编辑:程序博客网 时间:2024/04/27 20:32
最近很多朋友电脑中毒,想想自己当初也是深受病毒之扰,烦不胜烦,因此能够深切体会这种心情,在此把自己的防杀毒经验写下来,希望对还在与病毒斗争的朋友们能有些帮助。
对付病毒,不能没有武器,随着病毒的日益猖獗,我们的武器也是鸟枪换炮,武装到了牙齿。kv系列杀毒软件我用了好久,从DOS下的kv300一直到现在用的kv2007,其间也换用过其他一些防病毒软件,比如瑞星(杀毒性能和kv有的一比,但好像很消耗系统资源)、金山毒霸(2005年用过一个版本,会和IE冲突,导致iframe失效,不知道新版本怎样了?)、北信源(很早的产品,现在还有么?)、诺顿(就知道quarantine,还会kill吗?)、卡巴斯基(据说是世界上最牛X的,但好像注册起来很麻烦)、MacAfee(很多朋友反映不错,但我想病毒这个东西还是有中国特色的,老外的东西能适合中国国情么?)、kill(customs内网指定产品,但好像防杀毒性能不好,经常中招,可苦了几位网管了,整天忙着救火,kill好像还是公安部推荐,怎么能这样呢?)等,这些软件在国内都有广泛的用户群,而且口碑也不错,但我用起来总觉得不顺手,不是杀不了毒就是消耗系统资源过多,要么就是与其他软件冲突。而kv的防杀毒能力还是挺强的,由于我一直及时更新病毒库,所以我的机器几乎没中过毒。最近升级到了kv2007,装好后先升级病毒库,kv2007已经支持自动在线升级病毒库了,不用像以往那样手工开启升级,并且还能够自动侦测用户的网络线路,选择连接电信或网通服务器进行升级。装好kv2007后,很多程序的敏感操作都能被它侦测到并提示报警,让用户选择操作。比如现在很多病毒会开启本机端口或者连接外网端口,有的会自动运行本地的可执行文件,有的会往注册表里写入某些内容,这些操作都是现在很多病毒的常用伎俩,kv能够侦测并提示这些异常操作,使用户能够在病毒入侵前就进行拦截,并且也不会使正常程序的运行受阻,当然这就需要用户能够准确辨别哪些操作是病毒发出的,哪些则是正常程序的操作,我一般根据经验判断,如果碰到从没见过的就上google搜一下,也就能立辨真伪了。
防病毒不仅仅需要功能强大的杀毒软件护航,还要具备一定的计算机知识。病毒从计算机发明的那个时代就开始不断的和人们作梗,早期的计算机病毒大多以系统破坏性为主,目标比较单纯,就是要破坏计算机的用户文件和操作系统,一旦中毒,损失惨重。常见的是破坏文件、改写FAT、FDT、MBR(主引导分区),更有甚者,像CIH那样刷新BIOS,更是导致了毁灭性的硬件破坏。它们的启动方式也非常隐蔽,大多数是直接修改操作系统中断向量表,或者直接改写操作系统主引导分区代码,随着操作系统的加载而加载,如果没有汇编和操作系统知识就很难察觉是否中毒,想杀毒也十分困难,一不小心就会破坏正常系统代码,结果导致整个操作系统崩溃。
与传统病毒相比,现代病毒显得实惠了很多,除了一些像传统病毒那样直接破坏PE文件的恶性病毒外,大多数病毒往往并不在意单纯的破坏文件和系统,它们的目标往往是为了获取某些利益,比如你的信用卡密码、网游帐号密码、个人私密资料、商业信息等,它们更善于伪装,在获取利益的过程中可能不会产生任何破坏性作用,这种病毒对现代电子商务的发展造成了恶劣影响,很多网上银行账户频频被盗,银行为了应对这些病毒,不惜采用硬件识别身份的方式,虽然限制了这类病毒的破坏作用,但也增加了人们使用网上银行的成本,比如现在工行的USB盾就要好几十块钱一个。计算机病毒也是程序,它再恶毒,也有其规律可循,只要我们掌握了它的机理,也就不会再畏惧它了。病毒的运行机制符合计算机程序的所有特征,另外还具有破坏性、隐蔽性和复制性的特点。现代病毒的伪装手段很多,除了少数病毒可以利用软件漏洞比如数组溢出执行代码来运行外,大多数病毒还是需要人们主动去运行它才能感染系统,一旦病毒程序被运行,它就利用一切可以利用的手段来驻留在系统中,使自己可以在每次开机后都能够自动运行并进行破坏活动。通过对一些常见木马病毒的分析,我发现大多数病毒的感染方式可以归纳为以下几种:
1.在系统注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下面建立自动运行项,这种方式是最常见的,很多正常软件安装后也会在这里下写入一些值,实现开机后自动运行的功能,比如一些媒体播放器、系统更新程序等。从技术上来说,用这种方式实现自动运行是最容易的,但也最容易被查出来,即使不用任何杀毒软件,只需要凭借经验也能看出来自动运行项是否有病毒存在。
2.在system.ini中的explorer配置项中加载病毒程序,这种方式现在已经很少见了,原因是这种方式只适用于以前的windows 3x和windows 9x系统,而现在大多数系统是windows 2000或windows xp这样的32位系统,已经不需要依靠system.ini来加载explorer了,所以现在很少见这种病毒加载方式了。
3.系统服务加载。服务是操作系统提供的公共组件,操作系统中的很多重要功能都有服务来提供,服务程序没有用户界面,而且需要指定运行帐号,现在很多大型应用软件都通过服务来实现一些后台重要功能。一般用户很少会关注自己系统中有哪些服务,这就给病毒可乘之机,曾经见过一些病毒以服务的形式加载,还试图伪造微软的数字签名认证,但数字签名可不是好轻易伪造的,这些虚假签名都被windows标示了not verified标记。
4.BHO组件加载,BHO全称是browser help object,也就是所谓的浏览器辅助对象,它是微软的IE浏览器提供的组件接口技术,程序员遵循BHO接口开发的组件可以由IE浏览器自动加载。现在常见的google工具条,3721工具条都是BHO技术的典型应用,它们也的确扩展了浏览器的功能,给用户带来了更多有趣、实用的功能。但任何技术都有利有弊,由于现在上网人群激增,IE的使用率非常高,使得IE成为一个很好的病毒加载载体,BHO这种隐蔽式的自动加载方式又被很多病毒所利用。一些使用BHO技术的软件功能非常强大,不仅仅提供了实用的功能,也给用户强加了一些不需要的功能和令人厌烦的商业广告,甚至在用户不知情的情况下收集用户的私人信息,这就导致了用户的反感,但它们也有公开的界面,安装、卸载功能一应俱全,因此也不能说它们是病毒,于是人们形象地称之为“流氓软件”。如果流氓软件连这层伪装都不要了,那就成了彻头彻尾的病毒了(强烈鄙视青娱乐,极其流氓,上次进浩方对站平台时没注意登录框上的自动安装选项,结果把我害惨了,不过搞定它后,我也level up了)。BHO病毒一般比较好查杀,只需要找出它的BHO组件,使用regsvr32 /u卸载组件,并清理掉它的注册加载项即可。如果不熟悉原理的话,也可以使用工具查杀,现在查杀流氓软件的工具也很多了,我用的最顺手的还是windows优化大师的流氓软件清理工具,它的流氓软件特征库更新很及时,这就保证了能够最快的查杀最新的流氓软件。
上述的这些病毒加载方式对于病毒来说十分重要,它是病毒进入我们系统的必经之道,一旦被我们找出来并处理掉,那么再厉害的病毒也将无计可施。所以病毒往往会同时使用这几种加载方式,并对这些加载方式进行伪装和自我修复,病毒进程会在运行时不断的监控这些加载点,一发现加载点被修改就会进行自我修复,这样保证了下次机器启动后能够再次自我加载、感染。所以当你找出某些病毒的加载项并处理后,杀毒软可能会立刻报警,提示你某个程序正在试图访问注册表地址或文件,那就是内存中的病毒进程在监控并自我修复,这时病毒也自我暴露了它的程序实体,我们只需要在保护模式下进入系统,删除这个病毒程序实体即可。
病毒不论用什么方式加载后,都会以进程的形式运行于系统内存中,因此一般情况下我们可以在windows任务管理器中看到它的踪影,但一些狡猾的病毒会使用更加高超的手段伪装自己,比如借助dllhost.exe这个系统组件宿主程序来加载自己,这样的话,我们在任务管理器中只会看到dllhost这个宿主进程,看不到任何病毒进程在运行。还有个别技巧高超的病毒编写者,使用kernel系统0级来运行病毒进程,这时候在任务管理器中也不会看到任何病毒进程。有些病毒进程虽然不隐藏自己,但使用障眼法,使用一些类似于系统进程的名称来伪装自己,比如SVCHOST.EXE(大写伪装)、scvhost.exe(字母颠倒伪装)、system.exe(系统没有这个进程,利用system关键字迷惑用户)、5vchost.exe(用数字5和字母s的类似性来迷惑用户),还有些病毒干脆使用一串不着边际的随机字母数字串来命名自己的进程,让用户真假难辨,不敢轻易对其下手。对于难以判断的进程,我一般使用windows优化大师的进程管理器来查看每个进程是由哪个程序加载的,比如可以看到dllhost具体加载了哪些组件,这样就可以检查出大多数病毒的进程伪装了。我们平时只需多熟悉系统进程,对可疑的进程不能确定时,上网搜索一下,就可以辨认出是否病毒进程了。
当然,现代病毒的感染手段和破坏范围远远不止上述几种,近年来常发生的大规模网络攻击就是由蠕虫病毒一手导演的,它们会感染网络上的计算机,并不断复制自己,同时向目标机器发送大量的垃圾数据包,导致目标机器拒绝服务,这就是所谓的DDOS(distributed deny of service)。还有一些黑客病毒,会在被感染的目标机器(俗称肉鸡)上开启后门端口,使目标机器成为黑客远程控制的傀儡,甚至成为黑客对其他目标进行攻击的跳板,这些病毒的危害性就不仅仅是造成个人的一些信息损失了,甚至会造成千亿美元的损失和国家机密的泄漏。
我们在使用计算机时要时刻注意保护个人信息,提高对计算机病毒危害性的重视,对于重要的信息一定要及时备份,俗话说有备无患嘛。熟悉病毒的运行原理,在查杀病毒的过程中不断总结经验对我们十分重要,它可以让我们在第一时间就对某些异常现象进行准确的判断,并作出迅速而正确的操作,这样就可以把病毒拒之于电脑之外,更好的享受信息时代给我们带来的便捷了。
freekv.com
kv虽好,但很惭愧,我一直都没买过正版,我检讨 -_-|| 。大家可以试用下kv,觉得不错的话,还请购买正版,支持民族软件产业。
对付病毒,不能没有武器,随着病毒的日益猖獗,我们的武器也是鸟枪换炮,武装到了牙齿。kv系列杀毒软件我用了好久,从DOS下的kv300一直到现在用的kv2007,其间也换用过其他一些防病毒软件,比如瑞星(杀毒性能和kv有的一比,但好像很消耗系统资源)、金山毒霸(2005年用过一个版本,会和IE冲突,导致iframe失效,不知道新版本怎样了?)、北信源(很早的产品,现在还有么?)、诺顿(就知道quarantine,还会kill吗?)、卡巴斯基(据说是世界上最牛X的,但好像注册起来很麻烦)、MacAfee(很多朋友反映不错,但我想病毒这个东西还是有中国特色的,老外的东西能适合中国国情么?)、kill(customs内网指定产品,但好像防杀毒性能不好,经常中招,可苦了几位网管了,整天忙着救火,kill好像还是公安部推荐,怎么能这样呢?)等,这些软件在国内都有广泛的用户群,而且口碑也不错,但我用起来总觉得不顺手,不是杀不了毒就是消耗系统资源过多,要么就是与其他软件冲突。而kv的防杀毒能力还是挺强的,由于我一直及时更新病毒库,所以我的机器几乎没中过毒。最近升级到了kv2007,装好后先升级病毒库,kv2007已经支持自动在线升级病毒库了,不用像以往那样手工开启升级,并且还能够自动侦测用户的网络线路,选择连接电信或网通服务器进行升级。装好kv2007后,很多程序的敏感操作都能被它侦测到并提示报警,让用户选择操作。比如现在很多病毒会开启本机端口或者连接外网端口,有的会自动运行本地的可执行文件,有的会往注册表里写入某些内容,这些操作都是现在很多病毒的常用伎俩,kv能够侦测并提示这些异常操作,使用户能够在病毒入侵前就进行拦截,并且也不会使正常程序的运行受阻,当然这就需要用户能够准确辨别哪些操作是病毒发出的,哪些则是正常程序的操作,我一般根据经验判断,如果碰到从没见过的就上google搜一下,也就能立辨真伪了。
防病毒不仅仅需要功能强大的杀毒软件护航,还要具备一定的计算机知识。病毒从计算机发明的那个时代就开始不断的和人们作梗,早期的计算机病毒大多以系统破坏性为主,目标比较单纯,就是要破坏计算机的用户文件和操作系统,一旦中毒,损失惨重。常见的是破坏文件、改写FAT、FDT、MBR(主引导分区),更有甚者,像CIH那样刷新BIOS,更是导致了毁灭性的硬件破坏。它们的启动方式也非常隐蔽,大多数是直接修改操作系统中断向量表,或者直接改写操作系统主引导分区代码,随着操作系统的加载而加载,如果没有汇编和操作系统知识就很难察觉是否中毒,想杀毒也十分困难,一不小心就会破坏正常系统代码,结果导致整个操作系统崩溃。
与传统病毒相比,现代病毒显得实惠了很多,除了一些像传统病毒那样直接破坏PE文件的恶性病毒外,大多数病毒往往并不在意单纯的破坏文件和系统,它们的目标往往是为了获取某些利益,比如你的信用卡密码、网游帐号密码、个人私密资料、商业信息等,它们更善于伪装,在获取利益的过程中可能不会产生任何破坏性作用,这种病毒对现代电子商务的发展造成了恶劣影响,很多网上银行账户频频被盗,银行为了应对这些病毒,不惜采用硬件识别身份的方式,虽然限制了这类病毒的破坏作用,但也增加了人们使用网上银行的成本,比如现在工行的USB盾就要好几十块钱一个。计算机病毒也是程序,它再恶毒,也有其规律可循,只要我们掌握了它的机理,也就不会再畏惧它了。病毒的运行机制符合计算机程序的所有特征,另外还具有破坏性、隐蔽性和复制性的特点。现代病毒的伪装手段很多,除了少数病毒可以利用软件漏洞比如数组溢出执行代码来运行外,大多数病毒还是需要人们主动去运行它才能感染系统,一旦病毒程序被运行,它就利用一切可以利用的手段来驻留在系统中,使自己可以在每次开机后都能够自动运行并进行破坏活动。通过对一些常见木马病毒的分析,我发现大多数病毒的感染方式可以归纳为以下几种:
1.在系统注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下面建立自动运行项,这种方式是最常见的,很多正常软件安装后也会在这里下写入一些值,实现开机后自动运行的功能,比如一些媒体播放器、系统更新程序等。从技术上来说,用这种方式实现自动运行是最容易的,但也最容易被查出来,即使不用任何杀毒软件,只需要凭借经验也能看出来自动运行项是否有病毒存在。
2.在system.ini中的explorer配置项中加载病毒程序,这种方式现在已经很少见了,原因是这种方式只适用于以前的windows 3x和windows 9x系统,而现在大多数系统是windows 2000或windows xp这样的32位系统,已经不需要依靠system.ini来加载explorer了,所以现在很少见这种病毒加载方式了。
3.系统服务加载。服务是操作系统提供的公共组件,操作系统中的很多重要功能都有服务来提供,服务程序没有用户界面,而且需要指定运行帐号,现在很多大型应用软件都通过服务来实现一些后台重要功能。一般用户很少会关注自己系统中有哪些服务,这就给病毒可乘之机,曾经见过一些病毒以服务的形式加载,还试图伪造微软的数字签名认证,但数字签名可不是好轻易伪造的,这些虚假签名都被windows标示了not verified标记。
4.BHO组件加载,BHO全称是browser help object,也就是所谓的浏览器辅助对象,它是微软的IE浏览器提供的组件接口技术,程序员遵循BHO接口开发的组件可以由IE浏览器自动加载。现在常见的google工具条,3721工具条都是BHO技术的典型应用,它们也的确扩展了浏览器的功能,给用户带来了更多有趣、实用的功能。但任何技术都有利有弊,由于现在上网人群激增,IE的使用率非常高,使得IE成为一个很好的病毒加载载体,BHO这种隐蔽式的自动加载方式又被很多病毒所利用。一些使用BHO技术的软件功能非常强大,不仅仅提供了实用的功能,也给用户强加了一些不需要的功能和令人厌烦的商业广告,甚至在用户不知情的情况下收集用户的私人信息,这就导致了用户的反感,但它们也有公开的界面,安装、卸载功能一应俱全,因此也不能说它们是病毒,于是人们形象地称之为“流氓软件”。如果流氓软件连这层伪装都不要了,那就成了彻头彻尾的病毒了(强烈鄙视青娱乐,极其流氓,上次进浩方对站平台时没注意登录框上的自动安装选项,结果把我害惨了,不过搞定它后,我也level up了)。BHO病毒一般比较好查杀,只需要找出它的BHO组件,使用regsvr32 /u卸载组件,并清理掉它的注册加载项即可。如果不熟悉原理的话,也可以使用工具查杀,现在查杀流氓软件的工具也很多了,我用的最顺手的还是windows优化大师的流氓软件清理工具,它的流氓软件特征库更新很及时,这就保证了能够最快的查杀最新的流氓软件。
上述的这些病毒加载方式对于病毒来说十分重要,它是病毒进入我们系统的必经之道,一旦被我们找出来并处理掉,那么再厉害的病毒也将无计可施。所以病毒往往会同时使用这几种加载方式,并对这些加载方式进行伪装和自我修复,病毒进程会在运行时不断的监控这些加载点,一发现加载点被修改就会进行自我修复,这样保证了下次机器启动后能够再次自我加载、感染。所以当你找出某些病毒的加载项并处理后,杀毒软可能会立刻报警,提示你某个程序正在试图访问注册表地址或文件,那就是内存中的病毒进程在监控并自我修复,这时病毒也自我暴露了它的程序实体,我们只需要在保护模式下进入系统,删除这个病毒程序实体即可。
病毒不论用什么方式加载后,都会以进程的形式运行于系统内存中,因此一般情况下我们可以在windows任务管理器中看到它的踪影,但一些狡猾的病毒会使用更加高超的手段伪装自己,比如借助dllhost.exe这个系统组件宿主程序来加载自己,这样的话,我们在任务管理器中只会看到dllhost这个宿主进程,看不到任何病毒进程在运行。还有个别技巧高超的病毒编写者,使用kernel系统0级来运行病毒进程,这时候在任务管理器中也不会看到任何病毒进程。有些病毒进程虽然不隐藏自己,但使用障眼法,使用一些类似于系统进程的名称来伪装自己,比如SVCHOST.EXE(大写伪装)、scvhost.exe(字母颠倒伪装)、system.exe(系统没有这个进程,利用system关键字迷惑用户)、5vchost.exe(用数字5和字母s的类似性来迷惑用户),还有些病毒干脆使用一串不着边际的随机字母数字串来命名自己的进程,让用户真假难辨,不敢轻易对其下手。对于难以判断的进程,我一般使用windows优化大师的进程管理器来查看每个进程是由哪个程序加载的,比如可以看到dllhost具体加载了哪些组件,这样就可以检查出大多数病毒的进程伪装了。我们平时只需多熟悉系统进程,对可疑的进程不能确定时,上网搜索一下,就可以辨认出是否病毒进程了。
当然,现代病毒的感染手段和破坏范围远远不止上述几种,近年来常发生的大规模网络攻击就是由蠕虫病毒一手导演的,它们会感染网络上的计算机,并不断复制自己,同时向目标机器发送大量的垃圾数据包,导致目标机器拒绝服务,这就是所谓的DDOS(distributed deny of service)。还有一些黑客病毒,会在被感染的目标机器(俗称肉鸡)上开启后门端口,使目标机器成为黑客远程控制的傀儡,甚至成为黑客对其他目标进行攻击的跳板,这些病毒的危害性就不仅仅是造成个人的一些信息损失了,甚至会造成千亿美元的损失和国家机密的泄漏。
我们在使用计算机时要时刻注意保护个人信息,提高对计算机病毒危害性的重视,对于重要的信息一定要及时备份,俗话说有备无患嘛。熟悉病毒的运行原理,在查杀病毒的过程中不断总结经验对我们十分重要,它可以让我们在第一时间就对某些异常现象进行准确的判断,并作出迅速而正确的操作,这样就可以把病毒拒之于电脑之外,更好的享受信息时代给我们带来的便捷了。
freekv.com
kv虽好,但很惭愧,我一直都没买过正版,我检讨 -_-|| 。大家可以试用下kv,觉得不错的话,还请购买正版,支持民族软件产业。
- 今天你中毒了吗?
- 你“中毒”了吗?
- 今天你java了吗?
- 今天你表达了吗?
- 今天你冲浪了吗?
- 今天你吃了吗?
- 今天你生气了吗?
- 今天你生气了吗?
- 今天你‘博’了吗
- 今天你Swicki了吗?
- 今天你tag了吗?
- 今天你Shlemiel了吗
- 今天你Gentoo了吗?
- 今天你学习了吗?
- 今天你笑了吗?
- 今天你非法了吗?
- 今天你Silverlight了吗?
- 今天,你总结了吗
- CSS中布局div高度自适应的方法
- 转贴:Microsoft OLE DB Provider for SQL Server错误80040e37
- 韩国学习
- ICallbackEventHandler 小析
- java中的时间操作
- 今天你中毒了吗?
- JMS学习笔记
- java的文件操作
- jsp语法
- ASP.NET 2.0使用Web Part创建应用程序之一
- 存储过程学习!
- ASP.NET 2.0使用Web Part创建应用程序之二
- SQL游标用法
- SQL SERVER的字段类型说明
