計算機病毒平時潛伏在哪里
計算機病毒平時潛伏在哪里
我們都知道計算機病毒具有很強的潛伏性,那它平時到底潛伏在我們計算機的哪里呢?下面就讓學習啦小編和大家說說計算機病毒平時潛伏在哪里吧。
計算機病毒的潛伏
病 毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方,也有個別的以隱含文件形式出現(xiàn)。目的是不讓用戶發(fā)現(xiàn)它的存在。如果不經過代碼分析,病毒程序與正常程序是不容易區(qū)別開來的。一般在沒有防護措施的情況下,計算機病毒程序取得系統(tǒng)控制權后,可以在很短的時間里傳染大量程序。 而且受到傳染后,計算機系統(tǒng)通常仍能正常運行,使用戶不會感到任何異常。試想,如果病毒在傳染到計算機上之后,機器馬上無法正常運行,那么它本身便無法繼續(xù)進行傳染了。正是由于隱蔽性,計算機病毒得以在用戶沒有察覺的情況下擴散到上百萬臺計算機中。
(1)將自己偽裝成系統(tǒng)文件。 木馬病毒會想方設法將自己偽裝成“不起眼”的文件或“正規(guī)”的系統(tǒng)文件,并把自己隱藏在系統(tǒng)文件夾中,與系統(tǒng)文件混在一起。
(2)將木馬病毒的服務端偽裝成系統(tǒng)服務。 當用戶的計算機被木馬病毒入侵并被遠程攻擊或控制的時候,往往會出現(xiàn)系統(tǒng)運行變慢或某些應用程序無法正常運行等情況。這種情況的發(fā)生很容易被用戶察覺。通常情況下,用戶會按下Ctrl+Alt+Del調用任務管理器查看進程。木馬病毒會將自己偽裝成“系統(tǒng)服務”,從而逃過用戶的檢查。
(3)將木馬程序加載到系統(tǒng)文件中。 win.ini和system.ini是兩個比較重要的系統(tǒng)文件。在win.ini有兩個重要的加載項——“run=”和“load=”,它們分別擔負著系統(tǒng)啟動時自動運行和加載程序的功能。在默認情況下,這兩項的值都應該為空。例如,run=c:windows abc.exe load=c:windows abc.exe,那么這個可疑的abc.exe 很可能是木馬程序。 還有的木馬病毒會隱藏在system.ini內[BOOT]子項中的“Shell”啟動項中,將“Explorer”變成病毒自己的程序名,從而在啟動時伺機發(fā)作。
(4)充分利用端口隱藏。每一臺計算機都默認有 65536個端口,我們常用的端口不到默認值的1/3。由于占用常規(guī)端口會造成系統(tǒng)異常而引起用戶警覺,因此病毒通常將自己隱藏在一些不常用的端口中,一般是1024以上的高端口。
(5)隱藏在注冊表中。 注冊表中含有“run”的啟動項也是木馬病毒經常隱藏的地方。如,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下以“run”開頭的鍵值。
(6)自動備份。 為了避免在被發(fā)現(xiàn)之后清除,有些木馬會自動進行備份。這些備份的文件在木馬被清除之后激活,并再次感染系統(tǒng)。
(7)木馬程序與其他程序綁定?,F(xiàn)在,很多木馬利用了一種稱為文件捆綁機的工具,如exe-binder,這種工具可以把任意兩個文件捆綁在一起,在運行時兩個文件可以同時運行,但前臺只能看見一個程序。
(8)“穿墻術”。 病毒啟動后會釋放一個動態(tài)庫文件,然后將這個動態(tài)庫文件插入系統(tǒng)的進程體內運行,而病毒的絕大部分功能全部包括在這個動態(tài)庫中,之后病毒的進程退出。這樣在系統(tǒng)中就找不到病毒進程了,但是實際上很多的系統(tǒng)進程內部都有病毒模塊在運行。
(9)利用遠程線程的方式隱藏。 遠程線程是Windows為程序開發(fā)人員提供的一種系統(tǒng)功能,這種功能允許一個進程(進程A)在其他的進程(B)空間中分配內存,并且將自己的數據復制到其中,然后將復制的數據作為一個線程啟動,這樣進程B中就多出了一個新的線程——病毒線程,而且操作系統(tǒng)會認為這個病毒線程就是進程B的線程,線程所作的任何操作都會被記錄為進程B的操作,這也是穿墻術的一種實現(xiàn)方法。
(10)通過攔截系統(tǒng)功能調用的方式來隱藏自己。
(11)通過先發(fā)制人的方法攻擊殺毒軟件。
查出計算機病毒的方法
【看是否有重復進程】
1,一般電腦中毒后,病毒一般就會自己偽裝成其他的系統(tǒng)文件或者是寄宿在其他的文件中,這樣的話,一般我們是看不出來的,不過有一個共同的特點,占用CPU內存會增大
2,所以我們想要自己檢測病毒,可以按住CTRL+DEL+ALT呼出任務管理器,然后再里面選擇到【進程】這個選項,看一下程序的CPU內存占用
3,打開進程后,如果發(fā)現(xiàn)有很多名稱相同的文件,而且都占用了很大的內存和CPU,那么這個文件很大的可能性就是病毒了,我們可以右擊選擇【打開文件位置】
4,打開文件位置后,然后把這個程序進行刪除,或者打開百度搜索【火眼】上傳這個文件,先鑒定一下是不是病毒,如果是的話再去刪除也可以
【殺毒軟件檢測】
1,其實相對于手動殺毒來說,我們用第三方安全軟件殺毒更為簡單,先打開電腦的殺毒軟件,比如說打開騰訊電腦管家——病毒查殺
2,打開之后,有三種殺毒模式可以自由選擇,然后選擇【全盤查殺】,這樣就會自動在電腦中尋找病毒了,等找到病毒后,再進行一鍵清理就好了。
計算機病毒平時潛伏在哪里相關文章: