病毒的"障眼法"
计算机病毒危害之大,相信大多数个人电脑用户都深有体会.那么,病毒是如何用"障眼法"隐藏自己的呢?其实,任何病毒和木马存在于系统中,都无法彻底和进程脱离关系(一个进程可以笼统的认为是一个正在执行的程序),即使采用隐藏技术,仍然可以从进程中找到其踪迹,因此查看系统中活动的进程成为我们检测病毒木马最直接的方法。认识并区分进程也成为我们不得不认真对待的事情。
当用户意识到机器中病毒后,我们通过“任务管理器”查看系统中的进程时,并没有发现异常的进程,这说明病毒采用了隐藏措施。病毒是如何欺骗你的眼睛呢?
有过计算机使用经验的人应该知道,在系统中存在几个经常被病毒所利用来伪装自己的进程:svchost.exe、explorer.exe、iexplore.exe等,被伪装后的恶意进程呈现如下摸样:svch0st.exe、explore.exe、iexplorer.exe等。粗心的用户可能会被貌似一样的名称所迷惑,但是仔细对比,就发现了其中的七窍。通常此类病毒是将进程名的o改为0,l改为i,i改为j,以求迷惑用户。
另外还有一个经常被利用的进程svchost.exe,它是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,病毒正是利用这点。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。
毒种类很多,可以使用的技术也有很多,这里笔者建议用户使用第三方进程查看工具来查看您系统中到底运行了那些程序。还是用svchost.exe做例子,在XP中点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remoteprocedurecall”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost-krpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine\system\currentcontrol\setservices\rpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost-krpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“%systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
其实只要用户稍加留意,用户就可以自行发现系统中存在的大部分恶意程序。下面笔者介绍几种常用的杀毒方式:
安全模式或DOS模式清除病毒
当计算机感染病毒的时候,绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒。但计算机病毒是不甘于被杀毒软件轻易发现的,这就需要在计算机安全模式下进行病毒的清除。在安全模式下对于现在大多数流行的病毒,都可以进行比较彻底彻底的清除。但对于一些引导区病毒和感染可执行文件的病毒,需要在纯 DOS下杀毒,如今大部分的杀毒软件都已经提供了引导杀毒,用户可以通过安装盘进行引导区杀毒。
Outlook邮件病毒的清除
基本上主流的防毒软件都可以查邮件是否带毒,并可以根据用户的设置进行相应的处理,但在Outlook中,易出现杀毒后的邮箱依旧可以检测到病毒情况,这主要是没有进行空间释放的原因导致的,用户可以进行如下操作:
选择“工具” — “选项” — “维护” — “立即清除” — “压缩” — “删除”
共享目录杀毒
遇到本地共享的目录中的带毒文件不能清除的情况,建议取消共享,然后针对共享目录进行彻底查杀。对远程的共享目录(包括映射盘)查杀病毒的时候,首先要保证本地计算机的操作系统是干净的,同时对共享目录也有最高的读写权限。
当然这只是这不是所有的病毒清除办法,不得不承认,随着病毒的发展,如今的病毒,类似这几天很火的“杀软克星”,会通过修改注册表,阻止用户进入安全模式。对于此类病毒,一般用户处理起来会相对比较麻烦,建议用户留意最新的病毒播报,即使预防或使用专杀。另外及时更新用户的系统漏洞,也是必不可少的,笔者还是那句老话,病毒或者攻击行为的发生,根本还是利用系统的漏洞。
转截请注明:文章来自 pc捍卫者 http://www.pchwz.com
本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点
