系統(tǒng)自檢四部曲_第1頁(yè)
系統(tǒng)自檢四部曲_第2頁(yè)
系統(tǒng)自檢四部曲_第3頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、系統(tǒng)自檢四部曲 當(dāng)系統(tǒng)的運(yùn)行速度莫名其妙變慢時(shí),我們第一時(shí)間想到的就是系統(tǒng)中了病毒,可究竟是不是真的中毒了呢?很多朋友都會(huì)打開(kāi)殺毒軟件掃描系統(tǒng),結(jié)果可能什么也沒(méi)發(fā)現(xiàn)。其實(shí)只要掌握了系統(tǒng)自檢的四個(gè)方法,就能快速查出系統(tǒng)是否中毒,省下大把的時(shí)間。 查找病毒進(jìn)程 任何病毒都有自身的進(jìn)程,但有些病毒進(jìn)程采用了障眼法,導(dǎo)致我們無(wú)法尋其蹤跡。打開(kāi)任務(wù)管理器,查找是否有可疑進(jìn)程,這需要我們對(duì)進(jìn)程的知識(shí)有一定的了解。病毒很喜歡使用與系統(tǒng)進(jìn)程相似的名字,比如用“svchost.exe”進(jìn)程名冒充正常的系統(tǒng)進(jìn)程“svchost.exe”,僅僅一字之差,我們?cè)跈z查的時(shí)候一定要仔細(xì)。如果出現(xiàn)這種不正常的進(jìn)程,幾乎可以

2、肯定它就是病毒。還有一種可能性是病毒主程序的名稱和正常系統(tǒng)進(jìn)程名一樣,但是路徑不同。例如svchost.exe的位置應(yīng)該是c:windowssystem32目錄,若這個(gè)進(jìn)程位于其它目錄,也要引起注意。借助專業(yè)的進(jìn)程管理工具Procexp,可以有效查出此類冒充的 病毒進(jìn)程。 檢測(cè)系統(tǒng)啟動(dòng)項(xiàng)和服務(wù) 病毒為了隨系統(tǒng)一起啟動(dòng),通常會(huì)在注冊(cè)表的啟動(dòng)項(xiàng)中動(dòng)手腳。我們可以通過(guò)“系統(tǒng)配置實(shí)用程序”來(lái)檢查系統(tǒng)啟動(dòng)項(xiàng)。 運(yùn)行“msconfig”打開(kāi)“系統(tǒng)配置實(shí)用程序”,切換到“啟動(dòng)”標(biāo)簽,在這里就可以對(duì)系統(tǒng)的啟動(dòng)項(xiàng)進(jìn)程檢查了。病毒會(huì)使用各種方法來(lái)迷惑用戶,所以要仔細(xì)區(qū)分病毒的啟動(dòng)信息。比如上文提到的“svchos

3、t.exe”可能位于不正常的目錄中,從這里就能看出端倪。如果有不認(rèn)識(shí)的啟動(dòng)項(xiàng)目,可以通過(guò)搜索引擎來(lái)查找相關(guān)信息,查到病毒進(jìn)程后就結(jié)束它。 “服務(wù)”也是病毒常下手的地方,病毒在“服務(wù)”中搞小動(dòng)作同樣可以實(shí)現(xiàn)隨系統(tǒng)啟動(dòng)的目的。進(jìn)入控制面板,雙擊“管理工具/服務(wù)”,查找病毒添加的服務(wù)。注意看服務(wù)的描述部分,這通常是找出病毒服務(wù)比較有效的辦法。但是如果病毒采用rootkit技術(shù)將服務(wù)隱藏,這就需要使用下文的系統(tǒng)內(nèi)核檢測(cè)。 檢測(cè)系統(tǒng)內(nèi)核 所謂的rootkit技術(shù),就是通過(guò)修改系統(tǒng)的內(nèi)核讓病毒的進(jìn)程、服務(wù)以及文件等隱藏起來(lái),躲過(guò)用戶的查殺,因此在做系統(tǒng)自檢的時(shí)候,內(nèi)核也是必須檢查的地方。檢測(cè)系統(tǒng)內(nèi)核需要使

4、用專業(yè)的軟件,例如著名的安全工具“IceSword”就具有系統(tǒng)內(nèi)核的檢測(cè)功能。 運(yùn)行IceSword后,進(jìn)入查看模塊,選中“內(nèi)核模塊”查看其中是否有異樣。接著再進(jìn)入其中的“SSDT”查看功能,如果存在用紅色字體顯示的條目,就要小心了,例如著名的木馬病毒“Pcshare”就會(huì)在這里被檢測(cè)出來(lái)(如圖2)。當(dāng)然有時(shí)候殺毒軟件的服務(wù)也會(huì)在這里以紅色字體顯示,但大多有明確的關(guān)鍵字,可以很容易地區(qū)分好壞。 最后,我們要尋找的就是病毒產(chǎn)生的可執(zhí)行文件了。通過(guò)上面的檢測(cè),已得知病毒主程序的路徑,找到后將它刪除即可。有時(shí)候這樣做還是不夠的,因?yàn)椴《竞芸赡苓€有其它拷貝,例如“熊貓燒香”病毒就會(huì)向其它磁盤分區(qū)拷貝病毒文件,還要檢查每個(gè)分區(qū)下是否有病毒文件,最常見(jiàn)的病毒文件就是“Autorun.inf”了。這里千萬(wàn)要注意用右鍵點(diǎn)擊盤符,再選擇“打開(kāi)”,如果

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論