計(jì)算機(jī)病毒平時(shí)潛伏在哪里
計(jì)算機(jī)病毒平時(shí)潛伏在哪里
我們都知道計(jì)算機(jī)病毒具有很強(qiáng)的潛伏性,那它平時(shí)到底潛伏在我們計(jì)算機(jī)的哪里呢?下面就讓學(xué)習(xí)啦小編和大家說說計(jì)算機(jī)病毒平時(shí)潛伏在哪里吧。
計(jì)算機(jī)病毒的潛伏
病 毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方,也有個(gè)別的以隱含文件形式出現(xiàn)。目的是不讓用戶發(fā)現(xiàn)它的存在。如果不經(jīng)過代碼分析,病毒程序與正常程序是不容易區(qū)別開來的。一般在沒有防護(hù)措施的情況下,計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后,可以在很短的時(shí)間里傳染大量程序。 而且受到傳染后,計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行,使用戶不會感到任何異常。試想,如果病毒在傳染到計(jì)算機(jī)上之后,機(jī)器馬上無法正常運(yùn)行,那么它本身便無法繼續(xù)進(jìn)行傳染了。正是由于隱蔽性,計(jì)算機(jī)病毒得以在用戶沒有察覺的情況下擴(kuò)散到上百萬臺計(jì)算機(jī)中。
(1)將自己偽裝成系統(tǒng)文件。 木馬病毒會想方設(shè)法將自己偽裝成“不起眼”的文件或“正規(guī)”的系統(tǒng)文件,并把自己隱藏在系統(tǒng)文件夾中,與系統(tǒng)文件混在一起。
(2)將木馬病毒的服務(wù)端偽裝成系統(tǒng)服務(wù)。 當(dāng)用戶的計(jì)算機(jī)被木馬病毒入侵并被遠(yuǎn)程攻擊或控制的時(shí)候,往往會出現(xiàn)系統(tǒng)運(yùn)行變慢或某些應(yīng)用程序無法正常運(yùn)行等情況。這種情況的發(fā)生很容易被用戶察覺。通常情況下,用戶會按下Ctrl+Alt+Del調(diào)用任務(wù)管理器查看進(jìn)程。木馬病毒會將自己偽裝成“系統(tǒng)服務(wù)”,從而逃過用戶的檢查。
(3)將木馬程序加載到系統(tǒng)文件中。 win.ini和system.ini是兩個(gè)比較重要的系統(tǒng)文件。在win.ini有兩個(gè)重要的加載項(xiàng)——“run=”和“load=”,它們分別擔(dān)負(fù)著系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行和加載程序的功能。在默認(rèn)情況下,這兩項(xiàng)的值都應(yīng)該為空。例如,run=c:windows abc.exe load=c:windows abc.exe,那么這個(gè)可疑的abc.exe 很可能是木馬程序。 還有的木馬病毒會隱藏在system.ini內(nèi)[BOOT]子項(xiàng)中的“Shell”啟動(dòng)項(xiàng)中,將“Explorer”變成病毒自己的程序名,從而在啟動(dòng)時(shí)伺機(jī)發(fā)作。
(4)充分利用端口隱藏。每一臺計(jì)算機(jī)都默認(rèn)有 65536個(gè)端口,我們常用的端口不到默認(rèn)值的1/3。由于占用常規(guī)端口會造成系統(tǒng)異常而引起用戶警覺,因此病毒通常將自己隱藏在一些不常用的端口中,一般是1024以上的高端口。
(5)隱藏在注冊表中。 注冊表中含有“run”的啟動(dòng)項(xiàng)也是木馬病毒經(jīng)常隱藏的地方。如,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下以“run”開頭的鍵值。
(6)自動(dòng)備份。 為了避免在被發(fā)現(xiàn)之后清除,有些木馬會自動(dòng)進(jìn)行備份。這些備份的文件在木馬被清除之后激活,并再次感染系統(tǒng)。
(7)木馬程序與其他程序綁定?,F(xiàn)在,很多木馬利用了一種稱為文件捆綁機(jī)的工具,如exe-binder,這種工具可以把任意兩個(gè)文件捆綁在一起,在運(yùn)行時(shí)兩個(gè)文件可以同時(shí)運(yùn)行,但前臺只能看見一個(gè)程序。
(8)“穿墻術(shù)”。 病毒啟動(dòng)后會釋放一個(gè)動(dòng)態(tài)庫文件,然后將這個(gè)動(dòng)態(tài)庫文件插入系統(tǒng)的進(jìn)程體內(nèi)運(yùn)行,而病毒的絕大部分功能全部包括在這個(gè)動(dòng)態(tài)庫中,之后病毒的進(jìn)程退出。這樣在系統(tǒng)中就找不到病毒進(jìn)程了,但是實(shí)際上很多的系統(tǒng)進(jìn)程內(nèi)部都有病毒模塊在運(yùn)行。
(9)利用遠(yuǎn)程線程的方式隱藏。 遠(yuǎn)程線程是Windows為程序開發(fā)人員提供的一種系統(tǒng)功能,這種功能允許一個(gè)進(jìn)程(進(jìn)程A)在其他的進(jìn)程(B)空間中分配內(nèi)存,并且將自己的數(shù)據(jù)復(fù)制到其中,然后將復(fù)制的數(shù)據(jù)作為一個(gè)線程啟動(dòng),這樣進(jìn)程B中就多出了一個(gè)新的線程——病毒線程,而且操作系統(tǒng)會認(rèn)為這個(gè)病毒線程就是進(jìn)程B的線程,線程所作的任何操作都會被記錄為進(jìn)程B的操作,這也是穿墻術(shù)的一種實(shí)現(xiàn)方法。
(10)通過攔截系統(tǒng)功能調(diào)用的方式來隱藏自己。
(11)通過先發(fā)制人的方法攻擊殺毒軟件。
查出計(jì)算機(jī)病毒的方法
【看是否有重復(fù)進(jìn)程】
1,一般電腦中毒后,病毒一般就會自己偽裝成其他的系統(tǒng)文件或者是寄宿在其他的文件中,這樣的話,一般我們是看不出來的,不過有一個(gè)共同的特點(diǎn),占用CPU內(nèi)存會增大
2,所以我們想要自己檢測病毒,可以按住CTRL+DEL+ALT呼出任務(wù)管理器,然后再里面選擇到【進(jìn)程】這個(gè)選項(xiàng),看一下程序的CPU內(nèi)存占用
3,打開進(jìn)程后,如果發(fā)現(xiàn)有很多名稱相同的文件,而且都占用了很大的內(nèi)存和CPU,那么這個(gè)文件很大的可能性就是病毒了,我們可以右擊選擇【打開文件位置】
4,打開文件位置后,然后把這個(gè)程序進(jìn)行刪除,或者打開百度搜索【火眼】上傳這個(gè)文件,先鑒定一下是不是病毒,如果是的話再去刪除也可以
【殺毒軟件檢測】
1,其實(shí)相對于手動(dòng)殺毒來說,我們用第三方安全軟件殺毒更為簡單,先打開電腦的殺毒軟件,比如說打開騰訊電腦管家——病毒查殺
2,打開之后,有三種殺毒模式可以自由選擇,然后選擇【全盤查殺】,這樣就會自動(dòng)在電腦中尋找病毒了,等找到病毒后,再進(jìn)行一鍵清理就好了。
計(jì)算機(jī)病毒平時(shí)潛伏在哪里相關(guān)文章: