恶意软件删除 – 快速指南
恶意软件删除 – 快速指南
恶意软件删除 – 概述
近年来,我们听说许多人和大公司丢失了他们的宝贵数据,或者他们的系统被黑客入侵。在大多数情况下,这些不需要的活动是使用插入网络系统、服务器或个人计算机的软件引起的。这种软件被称为恶意软件。
恶意软件可以直接对系统或网络造成损害,或者破坏它们以供他人使用,而不是按照其所有者的意图使用。它是两个词的组合:Mal意思是坏的,Ware意思是软件。
基于www.av-test.org的统计数据正在急剧增长。请查看下图以了解恶意软件的增长情况。
如您所见,仅 2016 年就检测到超过 600,000,000 个恶意软件。根据securelist.com,与较干净的国家相比,感染计算机的国家是 –
Maximum risk (over 60%) 22 countries including | ||
---|---|---|
Kyrgyzstan (60.77%) | 阿富汗(60.54%)。 | |
High risk (41-60%): 98 countries including | ||
India (59.7%) | 埃及 (57.3%) | 白俄罗斯 (56.7%) |
Turkey (56.2%) | 巴西(53.9%) | 中国(53.4%) |
UAE (52.7%) | 塞尔维亚(50.1%) | 保加利亚(47.7%) |
Argentina (47.4%) | 以色列(47.3%) | 拉脱维亚(45.9%) |
Spain (44.6%) | 波兰(44.3%) | 德国(44%) |
Greece (42.8%) | 法国(42.6%) | 韩国(41.7%), |
Austria (41.7%) | ||
Moderate local infection rate (21-40.99%): 45 countries including | ||
Romania(40%) | 意大利(39.3%) | 加拿大 (39.2%) |
Australia (38.5%) | 匈牙利(38.2%) | 瑞士 (37.2%) |
USA (36.7%) | 英国(34.7%) | 爱尔兰 (32.7%) |
Netherlands(32.1%), | 捷克共和国(31.5%) | 新加坡 (31.4%) |
Norway (30.5%) | 芬兰(27.4%) | 瑞典(27.4%), |
Denmark (25.8%), | 日本(25.6%)。 |
黑客可以出于不同目的设计恶意软件,例如破坏数据、自动将数据发送到其他地方、更改数据或在指定的时间段内继续监视数据。禁用安全措施、破坏信息系统或以其他方式影响数据和系统完整性。
它们也有不同的类型和形式,我们将在本教程接下来的章节中详细讨论。
恶意软件删除 – 工作原理
要了解恶意软件的工作原理,我们应该首先了解恶意软件攻击的剖析,它分为五个步骤,如下所示 –
- 入口点
- 分配
- 开发
- 感染
- 执行
让我们详细了解上述几点。
入口点
恶意软件可以通过多种方式进入系统 –
-
用户访问最近被感染的他最喜欢的网站。这可能是恶意软件的入口点。
-
如果用户单击电子邮件中的 URL,它将劫持该浏览器。
-
恶意软件还可以通过任何受感染的外部媒体(例如 USB 或外部硬盘驱动器)进入。
分配
恶意软件启动一个进程,将流量重定向到漏洞利用服务器,该漏洞利用服务器检查操作系统和应用程序,例如浏览器、Java、Flash 播放器等。
开发
在此阶段,漏洞利用将尝试基于操作系统执行并找到提升权限的方法。
感染
现在,成功安装的漏洞将上传有效载荷以保持访问和管理受害者,如远程访问、文件上传/下载等。
执行
在此阶段,管理恶意软件的黑客将开始窃取您的数据、加密您的文件等。
恶意软件删除 – 类型
恶意软件多种多样;它们来自不同的功能,在不同的情况下表现不同。下面给出了一些最臭名昭著和最危险的恶意软件类型:
- 病毒
- 广告软件
- 间谍软件
- 木马
- Rootkit
- 僵尸网络
- 赎金工具
让我们详细了解其中的每一个。
病毒
病毒是一种以一种有趣的方式运行的恶意软件程序。该程序通过将自身的一些副本放入其他计算机程序、引导扇区、数据文件、硬盘等中来执行或复制自身。 当复制过程完成后,受影响的区域被称为受感染区域.
病毒被构建为在被感染时在主机上执行一些最有害的活动。他们可以窃取 CPU 时间甚至硬盘空间。他们还可以破坏数据,并可以在系统屏幕上放置一些有趣的消息。
广告软件
本软件主要是广告配套软件。一个自动附带广告的包。因此,它可以为业主带来一些不错的收入。
间谍软件
间谍软件是一种主要用于收集有关某个组织或个人的信息的软件。该信息是在没有人知道该信息是从他或她的系统中生成的情况下收集的。
木马
特洛伊木马是一种非自我复制的恶意软件。它包含一些恶意代码,这些代码会执行一些由该特定木马的性质决定的操作。这仅在执行时发生。操作的结果通常是数据丢失,并且还会以多种方式损害系统。
Rootkit
Rootkit 是一种隐蔽的恶意软件。它们以某种特殊的方式设计,它们实际上可以很好地隐藏自己,并且很难在系统中检测到它们。正常的检测方法对它们不起作用。
僵尸网络
僵尸网络是一种安装在通过互联网连接的计算机上的软件,它可以帮助一个人与其他相同类型的程序进行通信,从而可以执行某些操作。它们可以与控制某些 IRC 相同,这些 IRC 是 Internet 相关图表。此外,它还可以用于发送一些垃圾邮件或参与一些拒绝服务攻击的分发。
赎金工具
勒索软件是一种加密文件的软件,这些文件位于硬盘驱动器上。他们中的一些人甚至可以最终简单地向实施该程序的人显示一些有关付款的信息。
恶意软件移除 – 检测技术
通常,如果计算机被感染,则会出现一些症状,即使是更简单的用户也能注意到。
常见的恶意软件检测技术
下面列出了一些最常用的恶意软件检测技术。
-
您的计算机显示弹出窗口和错误消息。
-
您的计算机经常死机,您无法使用它。
-
当程序或进程启动时,计算机会变慢。这可以在任务管理器中注意到软件的进程已经启动,但尚未打开工作。
-
第三方抱怨他们在社交媒体上或通过您的电子邮件收到邀请。
-
未经您的同意,文件扩展名更改或文件添加到您的系统。
-
即使您的互联网速度非常好,Internet Explorer 也经常死机。
-
您的硬盘大部分时间都在被访问,您可以从计算机闪烁的 LED 灯中看到。
-
操作系统文件已损坏或丢失。
-
如果您的计算机消耗过多带宽或网络资源,则属于计算机蠕虫。
-
硬盘空间一直被占用,即使您没有采取任何行动。例如,安装一个 Mew 程序。
-
与其原始版本相比,文件和程序大小发生了变化。
与恶意软件无关的错误
以下错误与恶意软件活动无关–
-
系统在Bios阶段启动时出错,如Bios的电池电量显示,计时器错误显示。
-
硬件错误,如哔哔声、RAM 烧毁、硬盘驱动器等。
-
如果某个文档无法像损坏的文件一样正常启动,但可以相应地打开其他文件。
-
键盘或鼠标不响应您的命令;你必须检查插件。
-
显示器开关过于频繁,如闪烁或振动,这是硬件故障。
在下一章中,我们将了解如何为恶意软件移除做准备。
恶意软件删除 – 准备删除
恶意软件将自身附加到程序并通过利用某些事件传输到其他程序。他们需要这些事件发生,因为他们不能自己启动,通过使用不可执行的文件传输自己并感染其他网络或计算机。
为了准备移除阶段,我们应该首先了解恶意软件正在使用哪些计算机进程来杀死它们。他们正在使用哪些流量端口来阻止它们?与这些恶意软件相关的文件是什么,以便我们有机会修复或删除它们。所有这些都包括一堆工具,可以帮助我们收集这些信息。
调查过程
从上述结论中,我们应该知道,当一些异常进程或服务自行运行时,我们应该进一步调查它们与可能的病毒的关系。调查过程如下 –
要调查流程,我们应该从使用以下工具开始 –
- 端口文件
- pslist.exe
- 处理程序
- 网络统计工具
该Listdll.exe显示了所有DLL文件正在使用。带有变量的netstat.exe显示了正在使用各自端口运行的所有进程。以下示例显示了如何将卡巴斯基反病毒软件的进程映射到命令 netstat-ano 以查看进程编号。要检查它属于哪个进程号,我们将使用任务管理器。
对于 Listdll.exe,我们从以下链接下载它 – https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx,我们可以运行它来检查哪些进程与正在连接的 DLL用过的。
我们打开CMD并进入Listdll.exe的路径如下图所示,然后运行它。
我们将得到如下屏幕截图所示的结果。
例如,PID 16320 正在被dllhost.exe 使用,它在左侧有一个COM Surrogate描述。它显示了这个进程显示的所有DLL,我们可以谷歌检查。
现在我们将使用 Fport,它可以从以下链接下载 – https://www.mcafee.com/hk/downloads/free-tools/fport.aspx#将服务和 PID 与端口映射。
另一个监控服务并查看它们消耗了多少资源的工具称为“进程资源管理器”,可以从以下链接下载 – https://download.sysinternals.com/files/ProcessExplorer.zip及之后下载它,您必须运行 exe 文件,您将看到以下结果 –
恶意软件删除过程
在本章中,我们将了解如何清理已被任何类型的恶意软件感染的计算机。让我们按照下面给出的步骤进行操作。
步骤 1 – 首先,我们需要断开计算机与网络的连接,这可以是电缆连接或无线连接。这样做是为了让黑客过程与黑客失去联系,因此不会有更多数据继续泄漏。
步骤 2 – 以安全模式启动计算机,只加载最少的程序和服务。如果任何恶意软件设置为在 Windows 启动时自动加载,进入此模式可能会阻止它这样做。这很重要,因为它允许更轻松地删除文件,因为它们实际上并未运行或处于活动状态。
以安全模式启动计算机
以安全模式启动计算机可以从 Windows 7 到 Windows 10。对于 Windows 10 操作系统,步骤如下 –
步骤 1 – 按键盘上的Windows 徽标键 + I打开设置。如果这不起作用,请选择屏幕左下角的“开始”按钮,然后选择“设置”。选择更新和安全 → 恢复。
步骤 2 – 在高级启动部分下,选择立即重启。
步骤 3 – 在您的 PC 重新启动到选择一个选项屏幕后,选择疑难解答 → 高级选项 → 启动设置 → 重新启动。
步骤 4 – 在您的 PC 重新启动后,您将看到一个选项列表。选择 4 或 F4 以安全模式启动您的 PC。如果您需要使用 Internet,请为带网络连接的安全模式选择 5 或 F5。
删除临时文件
删除您的临时文件。这样做将加快病毒扫描速度,释放磁盘空间,甚至摆脱一些恶意软件。要使用Windows 10 附带的磁盘清理实用程序,只需在搜索栏中键入磁盘清理或按下开始按钮并选择出现的工具 – 磁盘清理。
停止可能与之相关的恶意软件进程
我们将尝试终止所有相关的恶意进程。为此,我们将使用 Rkill,它可以从以下链接轻松下载 – www.bleepingcomputer.com/download/rkill/
下载恶意软件扫描程序并开始扫描
如果您的计算机上已有防病毒程序处于活动状态,则应使用不同的扫描程序进行此恶意软件检查,因为您当前的防病毒软件可能未检测到该恶意软件。大多数著名的防病毒软件都在以下屏幕截图中给出。
恶意软件移除 – 保护
我们应该明白,病毒只有在计算机用户的帮助下才能感染外机,就像点击未知人电子邮件附带的文件,插入USB而不扫描,打开不安全的URL等。 ,我们作为系统管理员必须在他们的计算机中删除用户的管理员权限。
让恶意软件进入系统的一些最常见的禁忌如下 –
-
不要打开任何来自未知人员甚至已知人员的包含可疑文本的电子邮件附件。
-
不要在社交媒体上接受来自陌生人的任何邀请。
-
不要打开任何未知人或已知人发送的任何奇怪形式的 URL。
保持系统更新的其他一些重要提示如下 –
-
定期更新操作系统。
-
安装和更新防病毒软件。
从第三方获取的任何可移动存储都应使用更新的防病毒软件进行扫描。此外,请记住检查以下方面。
-
检查您的显示器是否正在使用屏幕保护程序。
-
检查计算机防火墙是否打开。
-
检查您是否定期进行备份。
-
检查是否有无用的共享。
-
检查您的帐户是否拥有完全权限或受限。
-
更新其他第三方软件。
管理恶意软件风险
管理恶意软件风险主要针对那些不遵守单个计算机用户的公司。为了管理来自恶意软件的风险,有一些关键因素可以接受正在使用的技术,还有人为因素。风险管理与识别恶意软件风险并根据它们对业务流程可能产生的影响进行优先排序的分析有关。
为了降低中型企业环境中的恶意软件风险,我们应该考虑以下几点 –
- 公共信息系统资产
- 常见威胁
- 漏洞
- 用户教育
- 平衡风险管理和业务需求
在下一章中,我们将学习一些重要的恶意软件清除工具。
恶意软件移除 – 工具
在前面的章节中,我们讨论了恶意软件是什么、它们如何运作以及如何清理它们。但是,在本章中,我们将看到自动保护的另一面,它们被归类为反恶意软件或防病毒软件。如今,这款软件的使用非常重要,因为正如我们在前面的章节中看到的,恶意软件的数量呈指数级增长,因此无法检测到它们。
每个反恶意软件生产商在如何检测恶意软件方面都有自己的技术和技巧,但值得一提的是,它们的检测速度非常快,因为他们几乎每天都会通过新的恶意软件检测进行更新。
下面提到了一些最著名和最有效的反恶意软件或防病毒软件 –
-
迈克菲毒刺
-
劫持这个
-
恶意软件字节数
-
卡巴斯基端点安全 10
-
熊猫免费杀毒软件
-
间谍机器人搜索和销毁
-
Ad-Aware 免费杀毒软件+
-
AVG 杀毒软件 2016
-
超级反间谍软件
-
微软安全必备