恶意软件删除 - 快速指南
恶意软件删除 - 概述
近年来,我们听说许多人和大公司丢失了宝贵的数据或系统遭到黑客攻击。在大多数情况下,这些不需要的活动是由插入网络系统、服务器或个人计算机的软件引起的。该软件被称为恶意软件。
恶意软件可能会直接对系统或网络造成损害,或者破坏它们以供他人使用,而不是按照其所有者的意图使用。它是两个词的组合:Mal意思是“坏”,Ware意思是“软件”。
根据www.av-test.org,统计数据正在大幅增长。请查看下图以了解恶意软件的增长情况。
如您所见,仅 2016 年就检测到了超过 6 亿个恶意软件。根据securelist.com 的数据,与干净的国家相比,感染计算机的国家是 -
| 最大风险(超过 60%) 22 个国家,包括 | ||
|---|---|---|
| 吉尔Guice斯坦 (60.77%) | 阿富汗(60.54%)。 | |
| 高风险(41-60%):98 个国家,包括 | ||
| 印度(59.7%) | 埃及 (57.3%) | 白俄罗斯 (56.7%) |
| 土耳其 (56.2%) | 巴西(53.9%) | 中国(53.4%) |
| 阿联酋 (52.7%) | 塞尔维亚 (50.1%) | 保加利亚 (47.7%) |
| 阿根廷 (47.4%) | 以色列(47.3%) | 拉脱维亚(45.9%) |
| 西班牙(44.6%) | 波兰 (44.3%) | 德国(44%) |
| 希腊 (42.8%) | 法国(42.6%) | 韩国(41.7%)、 |
| 奥地利(41.7%) | ||
| 中度局部感染率(21-40.99%):45个国家,包括 | ||
| 罗马尼亚(40%) | 意大利(39.3%) | 加拿大 (39.2%) |
| 澳大利亚(38.5%) | 匈牙利 (38.2%) | 瑞士(37.2%) |
| 美国(36.7%) | 英国 (34.7%) | 爱尔兰(32.7%) |
| 荷兰(32.1%), | 捷克共和国 (31.5%) | 新加坡 (31.4%) |
| 挪威(30.5%) | 芬兰 (27.4%) | 瑞典(27.4%)、 |
| 丹麦(25.8%)、 | 日本(25.6%)。 | |
黑客可以出于不同目的设计恶意软件,例如破坏数据、自动将数据发送到其他地方、更改数据或在指定的时间段内持续监视数据。禁用安全措施、损坏信息系统或以其他方式影响数据和系统完整性。
它们也有不同的类型和形式,我们将在本教程的后续章节中详细讨论。
恶意软件删除 - 工作原理
要了解恶意软件的工作原理,我们首先应该了解恶意软件攻击的剖析,该攻击分为五个步骤,如下所示 -
- 入口点
- 分配
- 开发
- 感染
- 执行
让我们详细了解一下上述几点。
入口点
恶意软件可以通过多种方式进入系统 -
用户访问了他最喜欢的最近被感染的网站。这可能是恶意软件的入口点。
如果用户点击电子邮件中的 URL,它将劫持该浏览器。
恶意软件还可以通过任何受感染的外部介质(例如 USB 或外部硬盘驱动器)进入。
分配
恶意软件启动一个进程,将流量重定向到漏洞利用服务器,该服务器检查操作系统和应用程序,例如浏览器、Java、Flash 播放器等。
开发
在此阶段,漏洞利用程序将尝试根据操作系统执行,并找到提升权限的方法。
感染
现在,成功安装的漏洞将上传有效负载以维持访问并管理受害者,例如远程访问、文件上传/下载等。
执行
在此阶段,管理恶意软件的黑客将开始窃取您的数据、加密您的文件等。
恶意软件删除 - 类型
恶意软件多种多样;他们来自不同的职能,在不同的情况下表现不同。下面列出了一些最臭名昭著和最危险的恶意软件类型:
- 病毒
- 广告软件
- 间谍软件
- 木马
- Rootkit
- 僵尸网络
- 勒索软件
让我们详细了解其中的每一个。
病毒
病毒是一种恶意软件程序,其Behave方式很有趣。该程序通过将自身的一些副本放入其他计算机程序、引导扇区、数据文件、硬盘等中来执行或复制自身。当复制过程完成时,受影响的区域被称为受感染区域。
病毒被构建为在宿主被感染时执行一些最有害的活动。他们可以窃取 CPU 时间,甚至硬盘空间。他们还可以破坏数据,并可以在系统屏幕上显示一些有趣的消息。
广告软件
该软件主要是广告配套软件。一个自动附带广告的包裹。因此,它可以为业主带来一些不错的收入。
间谍软件
间谍软件是一种主要用于收集有关某个组织或个人的信息的软件。这些信息是在没有人知道这些信息是从他或她的系统中产生的情况下收集的。
木马
特洛伊木马是一种非自我复制的恶意软件。它包含一些恶意代码,这些代码执行一些由特定特洛伊木马的性质决定的操作。这仅在执行时发生。该操作的结果通常是数据丢失,并且还会以多种方式损害系统。
Rootkit
Rootkit 是隐秘类型的恶意软件。它们以某种特殊的方式设计,实际上可以很好地隐藏自己,并且很难在系统中检测到它们。常规的检测方法对它们不起作用。
僵尸网络
僵尸网络是一种安装在通过互联网连接的计算机上的软件,它可以帮助一个人与其他同类型的程序进行通信,以便执行某些操作。它们可以与控制某些IRC(互联网相关图表)相同。此外,它还可以用于发送一些垃圾邮件或参与一些分发拒绝服务攻击。
勒索软件
勒索软件是一种对硬盘上的文件进行加密的软件。其中一些甚至最终可能只是简单地向实施该计划的人显示一些有关付款的信息。
恶意软件删除 - 检测技术
一般来说,如果计算机被感染,就会出现一些症状,即使是简单的用户也能注意到。
常见恶意软件检测技术
下面列出了一些最常用的恶意软件检测技术。
您的计算机显示弹出窗口和错误消息。
您的计算机经常死机,您无法使用它进行工作。
当程序或进程启动时,计算机速度会变慢。在任务管理器中可以注意到该软件的进程已启动,但尚未打开运行。
第三方抱怨他们通过社交媒体或电子邮件收到了您的邀请。
未经您同意,文件扩展名发生更改或文件被添加到您的系统中。
即使您的网速非常好,Internet Explorer 也经常死机。
您的硬盘大部分时间都在被访问,这可以从计算机闪烁的 LED 灯看出。
操作系统文件已损坏或丢失。
如果您的计算机消耗过多的带宽或网络资源,则可能是计算机蠕虫。
即使您没有执行任何操作,硬盘空间也始终被占用。例如,Mew 程序安装。
文件和程序大小与其原始版本相比发生了变化。
与恶意软件无关的错误
以下错误与恶意软件活动无关-
系统在Bios阶段启动时出现错误,如Bios的电池电量显示、定时器错误显示。
硬件错误,如蜂鸣声、RAM 烧毁、HDD 等。
如果某个文档像损坏的文件一样无法正常启动,但其他文件可以相应打开。
键盘或鼠标不响应您的命令;你必须检查插件。
显示器开关太频繁,例如闪烁或振动,这是硬件故障。
在下一章中,我们将了解如何准备恶意软件删除。
恶意软件删除 - 准备删除
恶意软件将自身附着在程序上,并利用某些事件传播到其他程序。它们需要这些事件发生,因为它们无法自行启动、使用不可执行文件进行自我传输并感染其他网络或计算机。
为了准备删除阶段,我们应该首先了解恶意软件正在使用哪些计算机进程来杀死它们。他们正在使用哪些流量端口来阻止他们?与这些恶意软件相关的文件有哪些,以便我们有机会修复或删除它们。所有这些都包括一系列可以帮助我们收集这些信息的工具。
调查过程
从上述结论我们应该知道,当某些异常进程或服务自行运行时,我们应该进一步调查其与可能的病毒的关系。调查过程如下 -
为了研究这个过程,我们应该从使用以下工具开始 -
- 端口号
- pslist.exe
- 句柄.exe
- 网络统计工具
Listdll.exe显示正在使用的所有dll文件。netstat.exe及其变量显示了使用各自端口运行的所有进程。以下示例显示卡巴斯基反病毒软件的进程如何映射到命令 netstat-ano 以查看进程号。要检查它属于哪个进程号,我们将使用任务管理器。
对于Listdll.exe,我们从以下链接下载它 – https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx,我们可以运行它来检查哪些进程与正在连接的DLL用过的。
我们打开CMD并进入Listdll.exe的路径(如下图所示),然后运行它。
我们将得到如下图所示的结果。
例如,PID 16320 正在被dllhost.exe使用,其描述为COM Surrogate,位于左侧。它显示了该进程显示的所有 DLL,我们可以通过 google 进行检查。
现在我们将使用 Fport,可以从以下链接下载 - https://www.mcafee.com/hk/downloads/free-tools/fport.aspx#将服务和 PID 与端口进行映射。
另一个用于监视服务并查看它们消耗了多少资源的工具称为“Process Explorer”,可以从以下链接下载该工具 - https://download.sysinternals.com/files/ProcessExplorer.zip及之后下载它后,您必须运行 exe 文件,您将看到以下结果 -
恶意软件删除过程
在本章中,我们将了解如何对已感染任何类型恶意软件的计算机进行清理过程。让我们按照下面给出的步骤进行操作。
步骤 1 - 首先,我们需要断开计算机与网络的连接,网络可以是有线连接或无线连接。这样做是为了让黑客进程失去与黑客的联系,这样就不会继续泄露更多的数据。
步骤 2 - 以安全模式启动计算机,仅加载最少所需的程序和服务。如果任何恶意软件设置为在 Windows 启动时自动加载,进入此模式可能会阻止它这样做。这很重要,因为它允许更轻松地删除文件,因为它们实际上并未运行或活动。
以安全模式启动计算机
从 Windows 7 到 Windows 10,以安全模式启动计算机可能有所不同。对于 Windows 10 操作系统,步骤如下 -
步骤 1 - 按键盘上的Windows 徽标键 + I打开“设置”。如果这不起作用,请选择屏幕左下角的“开始”按钮,然后选择“设置”。选择更新和安全 → 恢复。
步骤 2 - 在高级启动部分下,选择立即重新启动。
步骤 3 - 当您的电脑重新启动到“选择选项”屏幕后,选择“疑难解答”→“高级选项”→“启动设置”→“重新启动”。
步骤 4 - 电脑重新启动后,您将看到选项列表。选择 4 或 F4 以安全模式启动电脑。如果您需要使用互联网,请选择 5 或 F5 进入带网络的安全模式。
删除临时文件
删除您的临时文件。这样做将加快病毒扫描速度,释放磁盘空间,甚至清除一些恶意软件。要使用Windows 10 附带的磁盘清理实用程序,只需在搜索栏中输入“磁盘清理”或按“开始”按钮后选择出现的工具 - 磁盘清理。
停止可能与之相关的恶意软件进程
我们将尝试终止所有相关的恶意进程。为此,我们将使用 Rkill,它可以从以下链接轻松下载 – www.bleepingcomputer.com/download/rkill/
下载恶意软件扫描程序并开始扫描
如果您的计算机上已经安装了激活的防病毒程序,则应使用不同的扫描仪进行恶意软件检查,因为您当前的防病毒软件可能无法检测到该恶意软件。大多数知名的防病毒软件都在下面的屏幕截图中给出。
恶意软件删除 - 保护
我们应该明白,病毒只有在计算机用户的帮助下才能感染外部机器,这可能是点击来自未知人员的电子邮件附带的文件、在不扫描的情况下插入 USB、打开不安全的 URL 等。 ,我们作为系统管理员必须删除用户计算机中的管理员权限。
让恶意软件进入系统的一些最常见的禁忌如下:
不要打开任何来自未知人员甚至来自已知人员且包含可疑文本的电子邮件附件。
不要在社交媒体上接受任何不明人士的邀请。
不要打开任何由未知人员或已知人员以任何奇怪形式发送的 URL。
保持系统更新的其他一些重要提示如下:
保持定期更新操作系统。
安装并更新防病毒软件。
应使用更新的防病毒软件扫描从第三方获取的任何可移动存储。另外,请记住检查以下几个方面。
检查您的显示器是否正在使用屏幕保护程序。
检查电脑防火墙是否开启。
检查您是否定期进行备份。
检查是否有无用的共享。
检查您的帐户是否具有完全权限或受限。
更新其他第三方软件。
管理恶意软件风险
管理恶意软件风险主要针对那些不遵守单一计算机用户规定的公司。为了管理来自恶意软件的风险,有一些接受正在使用的技术的关键因素,也有人为因素。风险管理涉及识别恶意软件风险并根据它们对业务流程的影响对其进行优先级排序的分析。
为了降低中型企业环境中的恶意软件风险,我们应该考虑以下几点 -
- 通用信息系统资产
- 常见威胁
- 漏洞
- 用户教育
- 平衡风险管理和业务需求
在下一章中,我们将学习一些重要的恶意软件清除工具。
恶意软件删除 - 工具
在前面的章节中,我们讨论了恶意软件是什么、它们如何运作以及如何清除它们。然而,在本章中,我们将看到自动保护的另一面,它们被分类为反恶意软件或防病毒。如今,这款软件的使用非常重要,因为正如我们在前面的章节中看到的那样,恶意软件的数量呈指数级增长,因此无法检测到它们。
每个反恶意软件生产商都有自己的技术和技巧来检测恶意软件,但值得一提的是,他们的检测速度非常快,因为他们几乎每天都会更新新的恶意软件检测。
下面提到了一些全球最知名和最有效的反恶意软件或防病毒软件 -
迈克菲毒刺
劫持这个
恶意软件字节
卡巴斯基端点安全 10
pandas免费防病毒软件
间谍机器人搜索和摧毁
广告感知免费防病毒软件+
AVG 防病毒软件 2016
超级反间谍软件
微软安全必备