计算机安全 - 恶意软件

---

在上一章中，我们讨论了帮助我们保护系统的防病毒软件，但在本章中，我们将讨论恶意软件，如何手动检测它们，它们的形式是什么，它们的文件扩展名是什么，受感染计算机的迹象等。它们是由于当今企业和个人计算机的感染率太高，因此治疗很重要。

它们是自我复制程序，通过将自身附加到其他可执行代码来复制自己的代码。它们在未经计算机用户许可或不知情的情况下运行。病毒或恶意软件就像现实生活中一样，在计算机中会污染其他健康文件。

然而，我们应该记住，病毒只有在计算机用户的帮助下才能感染外部机器。通过点击来自未知人员的电子邮件所附的文件、在不扫描的情况下插入 USB、因此打开不安全的 URL，可能会发生这些情况。我们作为系统管理员必须删除这些计算机中用户的管理员权限。我们将恶意软件分为三种类型 -

• 特洛伊木马和 Rootkit
• 病毒
• 蠕虫

病毒的特征

以下是感染我们计算机的任何病毒的一些特征。

• 它们驻留在计算机的内存中，并在附加的程序开始运行时自行激活。

  例如- 它们通常将自己附加到Windows 操作系统中的explorer.exe，因为它是一直在运行的进程，因此当该进程开始消耗过多的计算机容量时，您应该小心。

• 它们在感染阶段后会进行自我修改，例如源代码、扩展、新文件等，因此防病毒软件更难检测到它们。

• 他们总是试图通过以下方式将自己隐藏在操作系统中 -

  • 将自身加密为神秘符号，并在复制或执行时解密自身。

    例如- 您可以在下图中看到这一点，以便更好地理解，因为我在我的计算机中找到了这个文件。

找到这个文件后，我用文本编辑器打开它，并认为文本无法理解，如下面的屏幕截图所示。

找到这个后，我在base64解码器上尝试了一下，发现这是一个病毒文件。

该病毒可能会对您的计算机造成以下影响 -

• 它可能会从您的计算机中删除重要数据，以为其进程赢得空间。

• 它可以通过磁盘数据重定向来避免检测。

• 它可以通过自身触发事件来执行任务。例如，当在受感染的计算机中弹出表格等自动显示在屏幕上时，就会发生这种情况。

• 它们在 Windows 和 Mac OS 中很常见，因为这些操作系统没有多个文件权限并且更加分散。

恶意软件的工作过程及清除方法

恶意软件将自己附加到程序上，并通过利用某些事件传输到其他程序，它们需要这些事件发生，因为它们不能 -

• 从自己开始
• 使用非可执行文件传输自身
• 感染其他网络或计算机

从以上结论我们应该知道，当某些异常进程或服务自行运行时，我们应该进一步调查其与可能的病毒的关系。调查过程如下 -

要研究这些过程，请从使用以下工具开始​​ -

• 端口号
• pslist.exe
• 句柄.exe
• 网络统计工具

Listdll.exe显示正在使用的所有dll 文件，而netstat.exe及其变量显示正在使用其各自端口运行的所有进程。

您可以查看以下示例，了解我如何映射卡巴斯基反病毒软件的进程，我使用命令netstat-ano来查看进程号，并使用任务管理器来查看属于该编号的进程。

然后我们应该查找任何修改、替换或删除的文件，并且还应该检查共享库。它们通常感染扩展名为.EXE、.DRV、.SYS、.COM、.BIN的可执行程序文件。恶意软件会更改正版文件的扩展名，例如：File.TXT 更改为 File.TXT.VBS。

如果您是网络服务器的系统管理员，那么您应该注意另一种形式的恶意软件，称为webshel​​l。它通常采用 .php 扩展名，但具有奇怪的文件名和加密形式。如果您检测到它们，则应将其删除。

完成后，我们应该更新防病毒程序并重新扫描计算机。

检测病毒感染引起的计算机错误

在本节中，我们将讨论如何检测病毒引起的计算机或操作系统故障，因为有时人们和系统管理员会混淆症状。

以下事件很可能不是由恶意软件引起的 -

• 系统在BIOS阶段启动时出现错误，如Bios的电池电量显示、定时器错误显示。
• 硬件错误，如蜂鸣声、RAM 烧毁、HDD 等。
• 如果某个文档像损坏的文件一样无法正常启动，但其他文件可以相应打开。
• 键盘或鼠标不响应您的命令，您必须检查插件。
• 显示器开关太频繁，例如闪烁或振动，这是硬件故障。

另一方面，如果您的系统中有以下迹象，则应该检查是否存在恶意软件。

• 您的计算机会显示弹出窗口或错误表。

• 经常结冰。

• 当程序或进程启动时，它会变慢。

• 第三方抱怨他们通过社交媒体或电子邮件收到了您的邀请。

• 未经您同意，文件扩展名发生更改或文件被添加到您的系统中。

• 即使您的互联网速度非常快，Internet Explorer 也经常冻结。

• 从计算机机箱上的 LED 灯可以看出，您的硬盘大部分时间都在被访问。

• 操作系统文件已损坏或丢失。

• 如果您的计算机消耗过多的带宽或网络资源，则属于计算机蠕虫。

• 硬盘空间始终被占用，即使您没有执行任何操作（例如安装新程序）。

• 与原始版本相比，文件和程序大小发生了变化。

一些避免病毒的实用建议-

• 不要打开任何来自未知人员或已知人员且包含可疑文本的电子邮件附件。
• 不要在社交媒体上接受陌生人的邀请。
• 不要打开由未知人员或已知人员以任何奇怪形式发送的 URL。

病毒信息

如果您发现病毒但想进一步调查其功能。我建议您查看这些病毒数据库，这些病毒数据库通常由防病毒供应商提供。

• 卡巴斯基病毒数据库- ( http://www.kaspersky.com/viruswatchlite?hour_offset=-1 )

• F-Secure - ( https://www.f-secure.com/en/web/labs_global/threat-descriptions )

• 赛门铁克 – 病毒百科全书– ( https://www.symantec.com/security_response/landing/azlisting.jsp )