计算机安全 – 恶意软件
计算机安全 – 恶意软件
在上一章中,我们处理了帮助我们保护系统的防病毒软件,但在本章中,我们将处理恶意软件、如何手动检测它们、它们的形式是什么、它们的文件扩展名是什么、计算机受感染的迹象等。它们是重要的是要治疗,因为如今企业和个人电脑的感染率太高了。
它们是自我复制程序,通过将自身附加到其他可执行代码来复制自己的代码。它们在没有计算机用户许可或知识的情况下运行。病毒或恶意软件就像在现实生活中一样,在计算机中它们会污染其他健康文件。
但是,我们应该记住,病毒只有在计算机用户的帮助下才能感染外部机器。这可能是通过点击一个来自未知人的电子邮件附带的文件、在不扫描的情况下插入 USB、因此打开不安全的 URL 来发生的。我们作为系统管理员必须删除这些计算机中用户的管理员权限。我们将恶意软件分为三种类型 –
- 特洛伊木马和 Rootkit
- 病毒
- 蠕虫
病毒的特征
以下是感染我们计算机的任何病毒的几个特征。
-
它们驻留在计算机的内存中,并在连接的程序开始运行时自行激活。
例如– 它们通常将自己附加到Windows 操作系统中的explorer.exe,因为它是一直在运行的进程,所以当这个进程开始消耗过多的计算机容量时,你应该小心。
-
他们在感染阶段后修改自己,如源代码、扩展名、新文件等,因此防病毒软件更难检测到它们。
-
他们总是试图通过以下方式将自己隐藏在操作系统中 –
-
将自身加密为神秘符号,并在复制或执行时对自身进行解密。
例如– 您可以在下图中看到这一点,以便更好地理解,因为我在我的电脑中找到了这个文件。
-
找到这个文件后,我用文本编辑器打开它,认为文本无法理解,如下面的屏幕截图所示。
找到这个后,我在base64解码器上试了一下,发现是病毒文件。
该病毒可能会对您的计算机造成以下影响 –
-
它可能会从您的计算机中删除重要数据,以便为其进程腾出空间。
-
它可以通过重定向磁盘数据来避免检测。
-
它可以通过触发自身的事件来执行任务。例如,当在受感染的计算机上弹出表格等时,就会发生这种情况,自动显示在屏幕上。
-
它们在 Windows 和 Mac OS 中很常见,因为这些操作系统没有多个文件权限并且更加分散。
恶意软件的工作过程以及如何清理它
恶意软件通过使用某些事件将自己附加到程序并传输到其他程序,它们需要这些事件发生,因为它们不能 –
- 自己动手
- 使用不可执行的文件传输自己
- 感染其他网络或计算机
从上面的结论我们应该知道,当一些异常的进程或服务自己运行时,我们应该进一步调查它们与可能的病毒的关系。调查过程如下 –
要调查这些过程,请从使用以下工具开始 –
- 端口文件
- pslist.exe
- 处理程序
- 网络统计工具
该Listdll.exe显示了所有DLL文件正在使用,而的netstat.exe与它的变量显示正与它们各自的端口上运行的所有进程。
您可以查看以下示例,了解我如何映射卡巴斯基防病毒软件的进程,我将其与命令netstat-ano一起使用以查看进程编号和任务管理器以查看属于该编号的进程。
然后我们应该查找任何修改、替换或删除的文件,还应该检查共享库。它们通常感染扩展名为.EXE、.DRV、.SYS、.COM、.BIN 的可执行程序文件。恶意软件会更改正版文件的扩展名,例如:File.TXT 为 File.TXT.VBS。
如果您是网络服务器的系统管理员,那么您应该了解另一种称为webshell的恶意软件。它通常是 .php 扩展名,但具有奇怪的文件名和加密形式。如果您检测到它们,您应该删除它们。
完成后,我们应该更新防病毒程序并再次重新扫描计算机。
从病毒感染中检测计算机错误
在本节中,我们将讨论如何从病毒中检测计算机或操作系统故障,因为有时人们和系统管理员会混淆这些症状。
以下事件很可能不是由恶意软件引起的 –
- 系统在bios阶段启动时出错,如Bios的电池电量显示,定时器错误显示。
- 硬件错误,例如发出哔哔声 RAM 烧毁、HDD 等。
- 如果某个文档无法像损坏的文件一样正常启动,但可以相应地打开其他文件。
- 键盘或鼠标不响应您的命令,您必须检查插件。
- 显示器开关过于频繁,如闪烁或振动,这是硬件故障。
另一方面,如果您的系统中有以下迹象,则应检查是否存在恶意软件。
-
您的计算机显示弹出窗口或错误表。
-
经常结冰。
-
当程序或进程启动时它会变慢。
-
第三方抱怨他们在社交媒体上或通过电子邮件收到您的邀请。
-
未经您的同意,文件扩展名更改或文件被添加到您的系统。
-
即使您的互联网速度非常好,Internet Explorer 也经常死机。
-
从计算机机箱上的 LED 灯可以看出,您的硬盘大部分时间都在被访问。
-
操作系统文件已损坏或丢失。
-
如果您的计算机消耗过多带宽或网络资源,这就是计算机蠕虫的情况。
-
硬盘空间一直被占用,即使您没有采取任何措施,例如安装新程序。
-
与原始版本相比,文件和程序大小发生了变化。
避免病毒的一些实用建议–
- 不要打开任何来自未知人员或已知人员的包含可疑文本的电子邮件附件。
- 不要在社交媒体上接受陌生人的邀请。
- 不要打开陌生人或已知人发送的任何奇怪形式的 URL。
病毒信息
如果您发现了病毒,但想进一步调查其功能。我建议您查看这些病毒数据库,它们通常由防病毒供应商提供。
-
卡巴斯基病毒数据库– ( http://www.kaspersky.com/viruswatchlite?hour_offset=-1 )
-
F-Secure – ( https://www.f-secure.com/en/web/labs_global/threat-descriptions )
-
赛门铁克 – 病毒百科全书– ( https://www.symantec.com/security_response/landing/azlisting.jsp )