- 计算机安全教程
- 计算机安全 - 首页
- 计算机安全 - 概述
- 计算机安全 - 要素
- 计算机安全 - 术语
- 计算机安全 - 层级
- 计算机安全 - 操作系统安全
- 计算机安全 - 防病毒软件
- 计算机安全 - 恶意软件
- 计算机安全 - 加密
- 计算机安全 - 数据备份
- 灾难恢复
- 计算机安全 - 网络
- 计算机安全 - 策略
- 计算机安全 - 检查清单
- 法律合规性
- 计算机安全有用资源
- 计算机安全 - 快速指南
- 计算机安全 - 资源
- 计算机安全 - 讨论
计算机安全 - 恶意软件
在上一章中,我们讨论了防病毒软件,它帮助我们保护系统。但在本章中,我们将讨论恶意软件,如何手动检测它们,它们的形态,文件扩展名,感染计算机的迹象等。它们很重要,因为现在企业和个人电脑的感染率太高了。
它们是自我复制程序,通过将自身附加到其他可执行代码来复制自己的代码。它们在未经计算机用户许可或不知情的情况下运行。就像现实生活中的病毒或恶意软件一样,在计算机中,它们会污染其他健康文件。
但是,我们应该记住,病毒只能在计算机用户的协助下感染外部机器。这可以通过点击来自陌生人的电子邮件附件,插入未扫描的 USB 设备,打开不安全的 URL 等方式发生。作为系统管理员,我们必须删除这些计算机上用户的管理员权限。我们将恶意软件分为三种类型:
- 木马和Rootkit
- 病毒
- 蠕虫
病毒的特征
以下是感染我们计算机的任何病毒的一些特征。
它们驻留在计算机的内存中,并在附加的程序开始运行时激活自身。
例如 - 它们通常附加到 Windows 操作系统中的explorer.exe,因为它是一个始终运行的进程,因此当此进程开始消耗太多计算机资源时,您应该谨慎。
在感染阶段后,它们会修改自身,例如源代码、扩展名、新文件等,因此防病毒软件更难检测到它们。
它们始终试图通过以下方式隐藏在操作系统中:
将自身加密为神秘符号,并在复制或执行时解密自身。
例如 - 您可以在以下图像中查看以更好地理解,因为在我的计算机上我发现了此文件。
找到此文件后,我用文本编辑器打开它,正如预期的那样,文本不可理解,如下面的屏幕截图所示。
发现这一点后,我尝试使用 base64 解码器对其进行解码,发现它是一个病毒文件。
此病毒可能对您的计算机造成以下影响:
它可能会删除计算机中的重要数据以获取其进程的空间。
它可能会通过重定向磁盘数据来避免检测。
它可以通过触发自身事件来执行任务。例如,当感染的计算机上弹出表格等自动显示在屏幕上时,就会发生这种情况。
它们在 Windows 和 Mac OS 中很常见,因为这些操作系统没有多个文件权限并且分布更广。
恶意软件的工作流程以及如何清理它
恶意软件会将自身附加到程序,并通过利用某些事件传播到其他程序,它们需要这些事件发生,因为它们无法:
- 自行启动
- 使用不可执行文件传播自身
- 感染其他网络或计算机
从以上结论中,我们应该知道,当某些不寻常的进程或服务自行运行时,我们应该进一步调查它们与可能存在的病毒的关系。调查过程如下:
要调查这些进程,请从使用以下工具开始:
- fport.exe
- pslist.exe
- handle.exe
- netstat.exe
Listdll.exe 显示所有正在使用的dll 文件,而netstat.exe及其变量显示所有正在运行的进程及其各自的端口。
您可以查看以下示例,了解我如何映射我使用的 Kaspersky 防病毒软件的进程,以及如何使用netstat -ano命令查看进程号,以及使用任务管理器查看此编号属于哪个进程。
然后,我们应该查找任何修改、替换或删除的文件,并且还应检查共享库。它们通常会感染扩展名为.EXE、.DRV、.SYS、.COM、.BIN的可执行程序文件。恶意软件会更改真实文件的扩展名,例如:File.TXT 更改为 File.TXT.VBS。
如果您是 Web 服务器的系统管理员,则应该注意另一种称为Webshell的恶意软件。它通常以 .php 扩展名存在,但具有奇怪的文件名并以加密形式存在。如果检测到它们,您应该删除它们。
完成此操作后,我们应该更新防病毒程序并再次扫描计算机。
从病毒感染中检测计算机错误
在本节中,我们将讨论如何从病毒中检测计算机或操作系统的故障,因为有时人们和系统管理员会混淆这些症状。
以下事件很可能不是由恶意软件引起的:
- 系统在 BIOS 阶段启动时出错,例如 BIOS 电池单元显示、计时器错误显示。
- 硬件错误,例如蜂鸣声、RAM 烧毁、HDD 等。
- 如果文档无法正常启动,例如损坏的文件,但其他文件可以正常打开。
- 键盘或鼠标无法响应您的命令,您需要检查插件。
- 显示器频繁开关,例如闪烁或振动,这是硬件故障。
另一方面,如果您的系统出现以下迹象,则应检查是否存在恶意软件。
您的计算机显示弹出窗口或错误表格。
经常冻结。
在程序或进程启动时速度变慢。
第三方抱怨他们通过您在社交媒体或通过电子邮件收到邀请。
文件扩展名更改出现或未经您同意将文件添加到您的系统中。
即使您的互联网速度非常快,Internet Explorer 也经常冻结。
您的硬盘大部分时间都在访问,您可以从计算机机箱上的 LED 指示灯看到。
操作系统文件已损坏或丢失。
如果您的计算机消耗了过多的带宽或网络资源,则这是计算机蠕虫的情况。
硬盘空间始终被占用,即使您没有执行任何操作,例如安装新程序。
与原始版本相比,文件和程序大小发生了变化。
一些避免病毒的实用建议 -
- 不要打开来自陌生人或来自包含可疑文本的熟人的任何电子邮件附件。
- 不要接受社交媒体上来自陌生人的邀请。
- 不要打开来自陌生人或以任何奇怪形式出现的熟人的 URL。
病毒信息
如果您发现病毒但想进一步调查其功能。我建议您查看这些病毒数据库,这些数据库通常由防病毒软件供应商提供。
卡巴斯基病毒数据库 - (http://www.kaspersky.com/viruswatchlite?hour_offset=-1)
F-Secure - (https://www.f-secure.com/en/web/labs_global/threat-descriptions)
赛门铁克 - 病毒百科全书 - (https://www.symantec.com/security_response/landing/azlisting.jsp)