计算机病毒的检测
- 格式:doc
- 大小:764.00 KB
- 文档页数:10
下载文档原格式
合集下载
计算机病毒的检测方法(共19张PPT)
1.4 比较法
比较法是用原始的或正常的文件与被检测的文件 进行比较。
长度比较法
一般对磁盘进行病毒检测时,要求内存中不带病毒,因为某些计算机病毒会向检测者报告假情况。
内容比较法 如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。
例如4096病毒在内存中时,查看被它感染的文件长度时,不会发现该文件的长度已发生变化,而当在内存中没有病毒时,才会发现文件长度已 经增加了4096字节。
计算机病毒的检测方法
计算机病毒进行传染,必然会留下痕迹
。检测计算机病毒,就是要到病毒寄生场 所去检查,发现异常情况,并进而验明“ 正身”,确认计算机病毒的存在。病毒静 态时存储于磁盘中,激活时驻留在内存中 。
因此对计算机病毒的检测分为对内存的检 测和对磁盘的检测。
一般对磁盘进行病毒检测时,要求内存中不带病毒 ,因为某些计算机病毒会向检测者报告假情况。
可以发现那些尚不能被现有的查病毒程序发
现的计算机病毒。因为病毒传播得很快,新病
毒层出不穷,由于目前还没有做出通用的能查
出一切病毒,或通过代码分析,可以判定某个 一般对磁盘进行病毒检测时,要求内存中不带病毒,因为某些计算机病毒会向检测者报告假情况。
可以发现那些尚不能被现有的查病毒程序发现的计算机病毒。
缺点
不能识非文件内容改变的惟一的排 他性原因,文件内容的改变有可能是正常程序引起的 ,所以校验和法常常误报警。
会影响文件的运行速度
当已有软件版本更新、变更口令或修改运行参数时,校 验和法都会误报警。
校验和法对隐蔽性病毒无效:
隐蔽性病毒进驻内存后,会自动剥去染毒程序中的 病毒代码,使校验和法受骗,对一个有毒文件算出正 常校验和。
有的特征搜集在一个病毒码资料库中,简称“病毒库”
如何检测电脑病毒并清除
如何检测电脑病毒并清除一、引言如今,电脑病毒已经成为了我们日常生活中的一大威胁。
电脑病毒的存在可能导致系统崩溃、个人信息泄露等严重后果。
因此,学会如何检测电脑病毒并及时清除,对于保护我们的电脑安全至关重要。
本文将介绍一些常用的方法和工具,帮助读者检测和清除电脑病毒。
二、常见的电脑病毒类型在开始讨论如何检测和清除电脑病毒之前,我们先了解一下常见的电脑病毒类型。
这样有助于我们更好地应对不同类型的电脑病毒。
1. 木马病毒:木马病毒是一种潜伏在正常程序或文件中的恶意软件,它可以在用户不知情的情况下获取用户的敏感信息,如用户名、密码等。
2. 计算机蠕虫:计算机蠕虫是一种可以自我复制并传播的恶意软件,它会占据计算机的资源,导致系统变慢甚至崩溃。
3. 病毒:病毒是一种可以通过感染其他程序或文件进行复制和传播的恶意软件,它可能会损坏文件、系统,甚至封锁计算机的功能。
4. 广告软件:广告软件是一种在计算机上显示广告或弹出窗口的恶意软件,它会干扰用户的正常使用体验,并可能导致系统不稳定。
三、如何检测电脑病毒下面将介绍一些常用的方法和工具,帮助您检测电脑病毒。
1. 安装可靠的杀毒软件:为了确保电脑安全,我们应该安装可靠的杀毒软件,并及时更新病毒库。
这些杀毒软件可以实时监测系统,及时发现和隔离电脑病毒。
2. 定期进行系统扫描:除了实时监测,我们还应该定期进行系统扫描。
扫描可帮助我们检测隐藏在系统中的潜在病毒,并采取相应的措施进行清除。
3. 注意下载来源:在下载软件、文件或附件时,我们应该注意来源的可信度。
避免从不可信的网站或邮件附件下载内容,以减少电脑病毒的风险。
四、如何清除电脑病毒一旦检测到电脑病毒存在,我们应该立即采取措施清除病毒以保护电脑和个人信息的安全。
下面将介绍一些常见的清除电脑病毒的方法。
1. 使用杀毒软件:杀毒软件是清除电脑病毒的最有效工具之一。
我们可以通过杀毒软件进行全盘扫描,并将检测到的病毒隔离或删除。
计算机病毒的检测
扫描法
1.特征代码扫描法 (5)特征串必须能将病毒与正常非病毒程序区分开。 不然将非病毒程序当成病毒报告给用户, 是假警报 这种假警报大多了,就会使用户放松警惕,等真 的病毒一来,破坏就严重了; 再就是若将这假警报送给清病毒程序,将好程序 给“杀死”了
扫描法
1.特征代码扫描法 使用特征串的扫描法被查病毒软件广泛应用着。其优 点是
前言
就两种方法相比较而言,手工检测方法操作难度大, 技术复杂,它需要操作人员有一定的软件分析经验以 及对操作系统有一个深入的了解 而自动检测方法操作简单、使用方便,适合于一般的 计算机用户学习使用;但是,由于计算机病毒的种类 较多,程序复杂,再加上不断地出现病毒的变种,所 以自动检测方法不可能检测所有未知的病毒。在出现 一种新型的病毒时,如果现有的各种检测工具无法检 测这种病毒,则只能用手工方法进行病毒的检测 其实,自动检测也是在手工检测成功的基础上把手工 检测方法程序化后所得的
前言
检测病毒方法有:
特征代码法 校验和法 行为监测法 软件模拟法 比较法 感染实验法 分析法 监测法 软件模拟法 先知扫描法 实时I/O扫描
8.1.1 特征代码法
国外专家认为特征代码法是检测已知病毒的最 简单、开销最小的方法 特征代码法的实现步骤
前言
通常计算机病毒的检测方法有两种 2.自动检测 自动检测是指通过一些诊断软件来判读一个系 统或一个软盘是否有毒的方法。自动检测则比 较简单,一般用户都可以进行,但需要较好的 诊断软件 这种方法可方便地检测大量的病毒,但是,自 动检测工具只能识别已知病毒,而且自动检测 工具的发展总是滞后于病毒的发展,所以检测 工具总是对相对数量的未知病毒不能识别
扫描法
1.特征代码扫描法
六招教你检测是否中病毒木马介绍
六招教你检测是否中病毒木马介绍六招教你检测病毒木马介绍:六招教你检测病毒木马一、进程首先排查的就是进程了,方法简单,开机后,什么都不要启动!第一步:直接打开任务管理器计算机爱好者,学习计算机基础,电脑入门,请到本站PS:如果任务管理器打开后一闪就消失了,可以判定已经中毒;如果提示已经被管理员禁用,则要引起警惕!第二步:打开冰刃等软件,先查看有没有隐藏进程冰刃中以红色标出,然后查看系统进程的路径是否正确。
PS:如果冰刃无法正常使用,可以判定已经中毒;如果有红色的进程,基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程,也可以判断已经中毒。
第三步:如果进程全部正常,则利用Wsyscheck等工具,查看是否有可疑的线程注入到正常进程中。
PS:Wsyscheck会用不同颜色来标注被注入的进程和正常进程,如果有进程被注入,不要着急,先确定注入的模块是不是病毒,因为有的杀软也会注入进程。
六招教你检测病毒木马二、自启动项目进程排查完毕,如果没有发现异常,则开始排查启动项。
第一步:用msconfig察看是否有可疑的服务,开始,运行,输入“msconfig”,确定,切换到服务选项卡,勾选“隐藏所有 Microsoft 服务”复选框,然后逐一确认剩下的服务是否正常可以凭经验识别,也可以利用搜索引擎。
PS:如果发现异常,可以判定已经中毒;如果msconfig无法启动,或者启动后自动关闭,也可以判定已经中毒。
第二步:用msconfig察看是否有可疑的自启动项,切换到“启动”选项卡,逐一排查就可以了。
第三步,用Autoruns等,查看更详细的启动项信息包括服务、驱动和自启动项、IEBHO等信息。
PS:这个需要有一定的经验。
六招教你检测病毒木马三、网络连接ADSL用户,在这个时候可以进行虚拟拨号,连接到Internet了。
然后直接用冰刃的网络连接查看,是否有可疑的连接,对于IP地址,可以到相关网站查询,对应的进程和端口等信息可以到Google或百度查询。
计算机病毒检测技术
计算机病毒检测技术:计算机病毒检测第一:智能广谱扫描技术。
这一技术是为了躲避杀毒软件的查杀,通过对非连续性和转变性较大的病毒的所有字节进行分析,并且进行整合的一种高变种的病毒,被称为智能广谱扫描技术,这一技术是按照目前病毒的类型和形式的千变万化的情况研发而出的。
由于传统的病毒在目前一些杀毒软件中都有一定的资料,检测技术也就相对比较简单,那么为了使用杀毒软件找出病毒,必须要对进行改革,智能广谱扫描技术能够对病毒的每一个字节进行分析,在发现程序代码中的字节出现相同或者是相近的两个病毒编码就可以确定其为病毒。
这一技术的优点有准确性高,查找病毒速度快等优点,但是需要收集较多的信息,针对于新的病毒并没有杀毒功能,主要是针对已经存在的病毒进行杀毒。
计算机病毒检测第二:虚拟机技术。
虚拟机技术也就是用软件先虚拟一套运转环境,让病毒在虚拟的环境中进行,以此来分析病毒的执行行为,并且由于加密的病毒在执行的时候需要解密,那么就可以在解密之后通过特征码来查杀病毒,在虚拟的环境中病毒的运转情况都被监控那么在实际的环境中就可以有效的检测出计算机病毒。
虚拟机技术主要针对的是一些新生代的木马、蠕虫病毒等,这一技术具有提前预知性,识别速度较快等优点。
计算机病毒检测第三:特征码过滤技术。
在病毒样本中选择特征码,特征码在一般情况下选得较长,甚至可以达到数十字节,通过特征码对各个文件进行扫描,在发现这一特征码的时候就说明该文件感染了病毒。
一般在选择特征码的时候可以根据病毒程序的长度将文件分成几份,这能够有效的避开采用单一特征码误报病毒现象的发生,此外在选择特征码的时候要避开选出的信息是通用信息,应该具有一定的特征,还要避开选取出来的信息都是零字节的最后需要将选取出来的几段特征码,以及特征码的偏移量存入病毒库,再表示出病毒的名称也就可以。
特征码过滤技术具有检测准确快速,误报警率低,可识别病毒名称等优点,但是它也存在着一些缺点,例如:速度慢,不能够对付隐蔽性的病毒等,主要是针对已知病毒进行分析和记忆贮存。
计算机病毒的检测
• (2)这种检测是一种静态的检测,不能检查多态型病毒,不容易判定病毒运行后,会产生怎样的特 征信息,特别是有些病毒能反复变换,并具有加密等一系列反跟踪技术,这为静态分析增加了难度。
• (3)不能对付隐蔽性病毒,隐蔽性病毒能先于检测工具运行,将被查文件中的病毒代码剥去,使检 测工具只能看到一个虚假的正常文件。
6.分析法
• 分析法更侧重于计算机病毒的研究,适合开发反病毒产 品的专业技术人员使用。使用分析法的基本步骤如下:
• (1)确认被观察的磁盘引导区和程序中是否含有病毒。 • (2)确认病毒的类型和种类,判定其是否是一种新病毒。 • (3)弄清楚病毒体的大致结构,提取特征识别用的字节串或特
征字,并增添到病毒代码库中供病毒扫描和识别程序使用。 • (4)详细分析病毒代码,为相应的反病毒措施制定方案。
复:
• 用无毒软盘启动系统。 • 寻找一台同类型、硬盘分区相同的无毒计算机,将其硬盘主引导扇区写入一张软盘。
将此软盘插入染毒计算机,将其中采集的主引导扇区数据写入染毒硬盘,即可修复。
• (2)硬盘、软盘BOOT扇区的修复。硬盘、软盘BOOT扇区染毒时,寻找与染 毒盘相同版本的无毒系统软盘,执行SYS命令,即可修复。
• 这种方法能及时发现被查文件的细微变化,而且既 可发现已知病毒又可发现未知病毒。
3.行为监测法
• 通过对病毒常时间的观察和研究,反病毒专家发现,有 一些行为是病毒的共同行为,比较特殊,而且在正常程 序中,这些行为比较罕见。归纳各种病毒的共有行为模 式,运用反汇编技术分析被检测对象,并利用常驻内存 (TSR)手段,随时监控系统中可疑病毒行为的方法, 称为行为监测法。
5.比较法
• 比较法是用原始备份与被检测的数据区域进行比较,从 而发现病毒的方法。用这种方法可以发现那些尚不能被 现有的查病毒程序发现的计算机病毒。
• (3)不能对付隐蔽性病毒,隐蔽性病毒能先于检测工具运行,将被查文件中的病毒代码剥去,使检 测工具只能看到一个虚假的正常文件。
6.分析法
• 分析法更侧重于计算机病毒的研究,适合开发反病毒产 品的专业技术人员使用。使用分析法的基本步骤如下:
• (1)确认被观察的磁盘引导区和程序中是否含有病毒。 • (2)确认病毒的类型和种类,判定其是否是一种新病毒。 • (3)弄清楚病毒体的大致结构,提取特征识别用的字节串或特
征字,并增添到病毒代码库中供病毒扫描和识别程序使用。 • (4)详细分析病毒代码,为相应的反病毒措施制定方案。
复:
• 用无毒软盘启动系统。 • 寻找一台同类型、硬盘分区相同的无毒计算机,将其硬盘主引导扇区写入一张软盘。
将此软盘插入染毒计算机,将其中采集的主引导扇区数据写入染毒硬盘,即可修复。
• (2)硬盘、软盘BOOT扇区的修复。硬盘、软盘BOOT扇区染毒时,寻找与染 毒盘相同版本的无毒系统软盘,执行SYS命令,即可修复。
• 这种方法能及时发现被查文件的细微变化,而且既 可发现已知病毒又可发现未知病毒。
3.行为监测法
• 通过对病毒常时间的观察和研究,反病毒专家发现,有 一些行为是病毒的共同行为,比较特殊,而且在正常程 序中,这些行为比较罕见。归纳各种病毒的共有行为模 式,运用反汇编技术分析被检测对象,并利用常驻内存 (TSR)手段,随时监控系统中可疑病毒行为的方法, 称为行为监测法。
5.比较法
• 比较法是用原始备份与被检测的数据区域进行比较,从 而发现病毒的方法。用这种方法可以发现那些尚不能被 现有的查病毒程序发现的计算机病毒。
计算机病毒原理与防范-计算机病毒检测技术
• 检查系统内存高端的内容,来判断其中的 代码是否可疑
校验和法
• 特点 • 方法 • 优缺点
行为监测法(实时监控法)
• 监测病毒的行为特征 • 病毒防火墙 • 优缺点
软件模拟法
• 变形病毒类型
– 第一类变形计算机病毒的特性:具备普通计算机病毒所具有的基本特性 – 第二类变形计算机病毒的特性:除了具备一维变形计算机病毒的特性外,
病毒分析法
• (1)确认被观察的磁盘引导区和程序中是 否含有计算机病毒。
• (2)确认计算机病毒的类型和种类,判定 其是否是一种新计算机病毒。
• (3)搞清楚计算机病毒体的大致结构,提 取特征识别用的字符串或特征字,用于增 添到计算机病毒代码库以供计算机病毒扫 描和识别程序用。
• (4)详细分析计算机病毒代码,为制定相 应的反计算机病毒措施制定方案。
感染实验法
• 检测未知引导型计算机病毒的感染实验法 • 检测未知文件型计算机病毒的感染实验法
算法扫描法
• 针对多形态的计算机病毒的算法部分进行 扫描
语义分析法
• 恶意代码的语义分析 • 语义反洗方法
虚拟机分析法
• 虚拟机的类型 • 虚拟执行 • 反计算机病毒的虚拟机运行流程 • 反虚拟机技拟技术又称为解密引擎、虚拟机技术、虚拟执行技术或软件仿真
技术 – 新型病毒检测工具
启发式代码扫描技术
• 启发式扫描通常应设立的标志 • 误报/漏报 • 如何处理虚警谎报 • 传统扫描技术与启发式代码分析扫描技术
的结合运用 • 其他扫描技术 • 启发式反毒技术的未来展望
4.4 计算机网络病毒的检测
• 计算机病毒入侵检测 • 智能引导技术 • 嵌入式杀毒技术 • 未知病毒查杀技术
4.5 计算机病毒检测的作用
校验和法
• 特点 • 方法 • 优缺点
行为监测法(实时监控法)
• 监测病毒的行为特征 • 病毒防火墙 • 优缺点
软件模拟法
• 变形病毒类型
– 第一类变形计算机病毒的特性:具备普通计算机病毒所具有的基本特性 – 第二类变形计算机病毒的特性:除了具备一维变形计算机病毒的特性外,
病毒分析法
• (1)确认被观察的磁盘引导区和程序中是 否含有计算机病毒。
• (2)确认计算机病毒的类型和种类,判定 其是否是一种新计算机病毒。
• (3)搞清楚计算机病毒体的大致结构,提 取特征识别用的字符串或特征字,用于增 添到计算机病毒代码库以供计算机病毒扫 描和识别程序用。
• (4)详细分析计算机病毒代码,为制定相 应的反计算机病毒措施制定方案。
感染实验法
• 检测未知引导型计算机病毒的感染实验法 • 检测未知文件型计算机病毒的感染实验法
算法扫描法
• 针对多形态的计算机病毒的算法部分进行 扫描
语义分析法
• 恶意代码的语义分析 • 语义反洗方法
虚拟机分析法
• 虚拟机的类型 • 虚拟执行 • 反计算机病毒的虚拟机运行流程 • 反虚拟机技拟技术又称为解密引擎、虚拟机技术、虚拟执行技术或软件仿真
技术 – 新型病毒检测工具
启发式代码扫描技术
• 启发式扫描通常应设立的标志 • 误报/漏报 • 如何处理虚警谎报 • 传统扫描技术与启发式代码分析扫描技术
的结合运用 • 其他扫描技术 • 启发式反毒技术的未来展望
4.4 计算机网络病毒的检测
• 计算机病毒入侵检测 • 智能引导技术 • 嵌入式杀毒技术 • 未知病毒查杀技术
4.5 计算机病毒检测的作用
计算机病毒检测技术探究
计算机病毒检测技术探究提纲:1. 计算机病毒检测技术的分类及原理分析2. 影响计算机病毒检测技术准确率的因素探究3. 计算机病毒检测技术在实际应用中的存在问题与解决方法4. 深度学习技术在计算机病毒检测中的应用5. 人工智能技术在计算机病毒检测中的展望1.计算机病毒检测技术的分类及原理分析计算机病毒检测技术主要可以分为静态和动态两种。
静态检测采用目标文件本身的特征进行检测,主要包括特征码和行为码两种。
特征码主要是指病毒在二进制文件中的唯一标识,通过检测这种标识可以确定目标文件是否感染了病毒。
行为码则是指病毒在被执行时所产生的行为,检查目标文件的执行过程中是否出现了病毒的典型行为码可以确定是否感染了病毒。
静态检测的优点是检测速度快,缺点是准确性不高,不能检测到未知病毒。
动态检测则是通过监视目标文件在运行时的行为,根据病毒的行为模式来判断是否感染了病毒。
动态检测的优点是可以检测到未知病毒,缺点是检测速度慢,而且易受到病毒的干扰。
2. 影响计算机病毒检测技术准确率的因素探究影响计算机病毒检测技术准确率的因素主要有以下几个:(1)病毒变异能力。
病毒可以通过不断变异来逃避检测,这是影响准确率的最主要因素之一。
(2)虚假拦截率。
虚假拦截率指的是误将正常文件视为病毒的概率。
虚假拦截率越低,准确率也就越高。
但是虚假拦截率太低会导致漏报率上升。
(3)病毒库的完备性。
病毒库中包含的病毒种类越多,检测的准确率也就越高。
(4)病毒检测技术的更新与升级。
病毒检测技术的新陈代谢非常快,随着病毒的不断变异,病毒检测技术也需要不断更新和升级。
3. 计算机病毒检测技术在实际应用中的存在问题与解决方法在实际应用中,计算机病毒检测技术存在一些问题,如病毒变异导致的漏报、虚假拦截率过高等。
针对这些问题,可采取以下解决方法:(1)引入多种检测技术。
在检测过程中,引入多种检测技术,如静态检测和动态检测相结合,可以减少漏报和误报的概率。
(2)开发新型病毒检测技术。
浅谈计算机病毒的检测及防治方法
浅谈计算机病毒的检测及防治方法计算机病毒是计算机系统中常见的一种恶意软件,能够在未经用户授权的情况下在计算机系统中进行破坏、篡改、窃取数据等操作。
计算机病毗主要通过网络传播,对用户的计算机系统和数据造成不可估量的危害。
为了保护计算机系统的安全,我们需要学习计算机病毒的检测及防治方法。
一、计算机病毒的检测方法1. 安装杀毒软件安装杀毒软件是最基本的计算机病毒检测方法。
选择一款可信赖的杀毒软件,并经常更新病毒库,及时发现和清除计算机中的病毒。
2. 定期进行全盘扫描除了实时监控外,定期进行全盘扫描也是必不可少的。
全盘扫描可以检测隐藏在计算机各个角落的病毒,保护计算机系统的安全。
3. 手动检测在安装杀毒软件的基础上,可以通过手动检测的方式来确认计算机系统中是否存在病毒。
检测过程中应该注意一些系统异常,如速度变慢、程序频繁崩溃等现象。
1. 谨慎下载在互联网上下载文件时,一定要选择正规的网站,并且不要下载来源不明的文件。
病毒很容易隐藏在一些看似无害的文件中,从而破坏计算机系统。
2. 定期更新系统软件定期更新系统软件可以修补系统中的漏洞,增强系统的安全性,减少病毒的侵袭。
3. 备份重要数据备份重要数据是保护计算机系统安全的关键措施之一。
在病毒入侵时,及时恢复备份的数据,可以减少病毒对计算机系统的损害。
4. 注意邮件附件不要随意打开不明邮件附件,这些附件中可能隐藏着病毒。
在收到陌生邮件时,一定要小心谨慎。
5. 使用强密码使用强密码可以有效防止黑客对计算机系统的攻击,减少病毒的传播。
总结:计算机病毒的检测及防治方法对于保护计算机系统的安全至关重要。
通过安装杀毒软件、定期进行全盘扫描、手动检测等方法来检测计算机病毒;通过谨慎下载、定期更新系统软件、备份重要数据、注意邮件附件、使用强密码等方法来防治计算机病毒。
我们也应该不断加强自己对计算机安全的认识,提高自身防范能力,共同保护计算机系统的安全。
计算机病毒检测方法
计算机病毒检测方法检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法,这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。
1、特征代码法特征代码法是检测已知病毒的最简单、开销最小的方法。
它的实现是采集已知病毒样本。
病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。
打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。
如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。
采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。
病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。
特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。
其缺点是:A、速度慢。
随着病毒种类的增多,检索时间变长。
如果检索5000种病毒,必须对5000种病毒特征代码逐一检查。
如果病毒种数再增加,检病毒的时间开销就变得十分可观。
此类工具检测的高速性,将变得日益困难。
B、不能检查多形性病毒。
特征代码法是不可能检测多态性病毒的。
国外专家认为多态性病毒是病毒特征代码法的索命者。
C、不能对付隐蔽性病毒。
隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的"好文件",而不能报警,被隐蔽性病毒所蒙骗。
2、校验和法将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。
在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。
在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒,要知道这些我们可以按以下几个方法来判断:
一:
反病毒软件扫描:
三:
进程观察:
TXPlatform.exe是腾讯即时通讯客户端相关程序,用于阻止同一个QQ号在同一台电脑上登陆2次和支持外部添加功能。
(不建议关闭)
svchost.exe是系统进程,在XP系统中进程数量较多,正常,不能关闭!
zhudongfangyu.exe,是主动防御的拼写,360进程。
360rp/360rps是360杀毒进程。
360tray,360进程。
safeboxtray.exe,360保险箱进程。
nvsvc32,显卡驱动进程。
以上进程不建议关闭。
taskmgr.exe,任务管理器进程,可以结束进程。
computerZ_cn是鲁大师进程,关闭程序时进程自动结束。
QQDL可以关闭,是QQ多用户一键登录,可以实现一键自动登录你所有QQ 用户。
sogouCloud.exe是搜狗输入法的进程。
(关闭后会被再次自动启动)
iexplore.exe是IE浏览器进程,打开页面多了自然会重复。
(若结束进程,则会导致IE页面被关闭)
几个值得注意的进程:
1、explorer.exe:explorer 或者 explorer.exe
所在路径: (系统安装目录盘)C:\windows\explorer.exe
进程全称: Microsoft Windows Explorer
中文名称:微软windows资源管理器
但此时桌面上空无一物,怎么办?别着急,按下Ctrl+Alt+Del组合键,出现“Windows安全”对话框,单击“任务管理器”按钮,在任务管理器窗口中选中“应用程序”选项卡,单击“新任务”,在弹出的“创建新任务”的对话框中,输入你想要打开的软件的路径或者名称即可。
这个只能有一个,超过一个就是病毒。
注意和IEXPLORER.EXE的区别
这个可以有很多个。
看看你开了几个浏览器。
还有一些expl0re.exe exp1ore.exe 伪装者。
2、svchost.exe:svchost.exe是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。
这个程序对你系统的正常运行是非常重要的。
这个进程有很多个,所以很难判断。
winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003server中则更多。
这些svchost进程提供很多系统服务,如:rpcss服务(remoteprocedurecall)、dmserver服务(logicaldiskmanager)、dhcp 服务(dhcpclient)等。
到了Windows Vista 系统时svchost 进程多达12个,这些svchost.exe都是同一个文件路径下 C :\Windows\System32\svchost.exe ,它们分别是imgsvc、NetworkServiceNetworkRestricted、LocalServiceNoNetwork 、NetworkService 、LocalService 、netsvcs 、LocalSystemNetworkRestricted、LocalServiceNetworkRestricted 、services 、rpcss、 WerSvcGroup 、DcomLaunch服务组。
如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist-s”命令来查看,该命令是win2000supporttools提供的。
在winxp则使用“tasklist/svc”命令。
手工清除SVCHOST.EXE病毒
查看:svchost.exe进程详解
在开始菜单的运行中输入cmd,出现命令行提示,输入命令“tasklist /svc >c:\1.txt”(例如:C:\Documents and Settings\Administrator>tasklist /svc >c:\1.txt),就会在C盘根目录生成1.txt文件,打开1.txt可以看到如下内容:
查找svchost.exe的PID值和服务名称。
如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可。
清除Svchost.exe病毒方法:
第一步:进入安全模式(电脑启动时按F8),打开我的电脑,搜索SVCHOST,将搜索到的文件除了%systemroot%\System32这个文件夹里的之外的都删除。
第二步:进入注册表,搜索SVCHOST,将搜索到的除开
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersion\Svchost]这个值的不动之外,其他的都删除掉。
然后重新搜索一遍,进行整理
第三步、重启动电脑。
SVCHOST.EXE病毒专杀工具下载:
/upload/autorunkill/AutoGuarder2.rar
3.lsass.exe:lsass.exe是一个系统进程,用于微软Windows系统的安全机制。
它用于本地安全和登陆策略。
注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
如果你的启动菜单(开始-运行-输入“msconfig”)里有个lsass.exe 启动项,那就证明你的lsass.exe是木马病毒,中毒后,在进程里可以见到有两个相同的进程,分别是lsass.exe和LSASS.EXE,同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行,LSASS.EXE管理exe类执行文件,exert.exe管理程序退出,还会在D盘根目录下产生和 autorun.inf两个文件,同时侵入注册表破坏系统文件关联。
4.System windows系统进程,一个重要的进程,权限比计算机管理员还大,要是你想结束它那你就高估你自己了,如果强行结束它,结果60秒倒记时重新启动,没有任何机会后悔。
5.System Idle Process 系统进程,它的作用是显示系统有多少闲置的cpu资源。
System Idle Process进程的作用是在系统空闲的时候分派CPU的时间,如果它显示的超过百分之多少以上的CPU资源并不是指的它占用了这么多CPU资源,恰恰相反,而是表示有百分之多少以上的CPU资源空闲了出来,这里的数字越
大表示CPU资源越多,数字越小则表示CPU资源紧张。
该进程是系统运行必需的,不能禁止
三:
1. 病毒也是程序,所以病毒活跃时总以进程的形式存在。
深一步,任何进程需要调用特定的模块DLL,这就构成了一个运行特征。
通过对进程及其调用模块的分析,将进一步的显示出对病毒的珠丝马迹来。
2. 其次就是注册表的监控,病毒需要潜伏,通常需要寻找一个注册表引导区来潜伏,否则等计算机一重起,病毒就失效了。
注册表的是操作系统的核心,留出的引导区域是有限的。
通过对这些引导区域的全网统一监控,通过对这些引导区增删改的监控,将极大的提高对病毒入侵的行为的发现。
除了对一些常用的引导区域,注册表监控也将提高了象通过修改文件关联项这样的病毒的管理能力,修改了TXT或EXE文件的关联项的病毒是很难发现和处理的。
3. 其他的监控。
通过netstat可以来看到活跃的网络活动连接,开异常的端口应该引起网管人员的重视。
4. 管理木马的说明:通常,为破坏计算机运行为目的的病毒的行为可能更加的诡异一些,木马的目的在于提供控制和窃取数据的手段,所以更加象一个正常的程序。
尤其是一些特定的木马,用寻常的杀毒办法可能更加不容
易。
但是以上的监控手段却可能更加的有效用。
其实,一般地你有了杀软和防火墙,又经常更新病毒库,又有健康啊的上网习惯,无特殊情况一般不会中什么毒
最后提醒一下各位Ghost偏好者,!ghost数据恢复对付一般小病毒没什么问题,因为他们都喜欢往C盘,就是通常的系统盘里面钻,你回复数据也一般都是C
盘,所以一般是没问题,但是要是碰到高级一点点的,
能往别的盘钻的呢?能感染所有盘的呢?甚至有些能直接篡改ghost文件甚至删除的呢?……
病毒和木马只能防,尽量挡在中招之前,就相当于人体一样,把细菌病毒和疾病挡在外面,防患于未然,。