微点交流论坛 - 电脑&数码 - 【原创】呀！你中毒了！切，别逗我了。

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 电脑&数码 » 【原创】呀！你中毒了！切，别逗我了。

1/2

jr21066
版主

电脑&数码区版主

积分 1648
发帖 1646
注册 2006-12-16

#1 【原创】呀！你中毒了！切，别逗我了。

经常有朋友问我：为什么我安装的杀毒软件，老是报告有病毒，我的机器非常的慢，老出错，是不是有病毒了？这时我就告诉他们，杀毒软件能报告有病毒，说明已经对病毒进行了处理，如果真的中毒的话，杀毒软件有可能是不会报告的。同时就想要是能有篇文章能够简单的说明病毒的传播方法，让大家很快了解系统是否中了病毒，是否应该找人帮自己重装系统了，于是我开始写这篇文章。为了文章的可读性，ms这是第三稿了。

什么情况下我有可能会中毒，什么情况不可能中毒呢
病毒运行有几个必须具有的条件，只有这几个条件完全具备时，才有可能感染计算机，否则系统是没有可能中毒的。
条件一：程序必须以文件的形式存在，或者是你硬盘上的一个文件，或者是你U盘上的一个文件。也可能是网上的。总之，这个病毒要在你的系统中运行，它必须以一个机器能够访问的路径下存放的一个文件的形式才行。可能有些拗口。
条件二：病毒必须获取系统的控制权，简单说就是病毒要使自己生效，激活，必须先运行自己。病毒运行跟普通的程序是没有什么不同的，首先需要系统加载自己，并对数据进行初始化后将控制权交给自己，这时病毒才真正开始执行，才会对系统进行破坏。

那么综上所述，病毒在什么情况下是不可能对自己产生危害的，那就是病毒在没有执行的时候是不具备任何效果的，更不要说破坏力。那么我们只要加强系统的防护，减少病毒运行的可能性，那么在另一个方面也可以直到预防病毒的效果。

为了提高人气，直接切入正题。如何简单快速的查看系统是否中毒了呢？

1。查看进程，有无不明的进程
通常病毒进程有着这样一些特征，为了程序比较小便于传播外，也是为了防止杀毒软件的查杀，病毒多半是经过加密压缩的，如下图中紫色部分的程序都是经过压缩的；病毒程序多半没有程序的描述，相比正规的程序都有详细的公司，产品名等描述字段；病毒多半存在的路径也在Windows目录或是伪装成一些品牌软件厂商的目录中。
http://mpicture.micropoint.com.c ... f87c7291328dfc4a3c4

2。查看启动项，有无不明的加载项
病毒为了实现自身的再次激活，都会在系统多个启动项上注册自己，如下图中在服务中添加自己，直接修改启动项等。

3。查看系统文件关联，是否有被修改的文件关联
病毒通过修改文件关联也可以实现自己的激活，如图中打勾的部分

※ ※ ※ 本文纯属【jr21066】个人意见，与【微点交流论坛】立场无关※ ※ ※

有点点才会放心

2007-10-26 13:11

jr21066
版主

电脑&数码区版主

积分 1648
发帖 1646
注册 2006-12-16

#2

4。查看Windows目录中可执行程序
正常的Windows目录里只有几个系统程序，病毒为了简化代码。多把自己放在Windows目录以及system32目录中。打开Windows目录，并显示系统和隐藏文件，检查可执行文件，对没有图标的，以及文件大小过小的（一般都在几十K或更小），文件属性中无文件描述等要特别关注。还有一些病毒会把自己命名为一些跟系统非常类似的名字。象图中的1explorer猛一看还以为是ie浏览器呢。

5。查看文件夹选项中显示隐藏系统文件的选项是否失效
部分病毒为了隐藏自己，会不断的修改系统属性，导致文件夹选项中的显示隐藏系统文件选项不能被选中。如图中标黄部分

※ ※ ※ 本文纯属【jr21066】个人意见，与【微点交流论坛】立场无关※ ※ ※

有点点才会放心

2007-10-26 13:13

jr21066
版主

电脑&数码区版主

积分 1648
发帖 1646
注册 2006-12-16

#3

6。查看系统日期
现在病毒也更多的注重智能攻击，通过寻找系统漏洞显然难度很高。而近来流行的修改系统时间导致杀毒软件全部过期失效的方法非常管用，成批的杀毒软件被放倒。一个字，惨！

原来的稿子话太多了。没想到删除后只有三分之一了。只好加个文字动画来充数了。下边是我在维修机器里所采取的常规操作
1。扫描系统分区的逻辑错误，原因，系统多次出错、死机、蓝屏可能会产生很多逻辑错误，会带来不可预知的错误，曾扫描后修复一个启动后不能正常使用的系统。

※ ※ ※ 本文纯属【jr21066】个人意见，与【微点交流论坛】立场无关※ ※ ※

有点点才会放心

2007-10-26 13:15

jr21066
版主

电脑&数码区版主

积分 1648
发帖 1646
注册 2006-12-16

#4

2。检查文件关联，原因，病毒修改文件关联后，如果不及时修复，一个不留神的操作，病毒再次激活，工作全部重来。
3。检查系统进程，原因，如果不结束病毒进程，对系统的恢复工作病毒可能比你还恢复的快，铲除病毒进程后才能进一步清除启动项
4。检查系统服务，原因，服务没有明显的进程，但是一直运行的，同样会实时恢复你刚才所做的工作。应该象进程一样，及时停止病毒的服务。
5。检查系统启动项，彻底清除病毒。

补充说明。我使用的U盘中保存有常用的工具，要么用rar压缩，可执行文件后缀改为com、bat、cmd等。可防止工具被病毒感染不能工作。

※ ※ ※ 本文纯属【jr21066】个人意见，与【微点交流论坛】立场无关※ ※ ※

有点点才会放心

2007-10-26 13:16

jr21066
版主

电脑&数码区版主

积分 1648
发帖 1646
注册 2006-12-16

#5

SREng的使用说明
系统修复，检查文件关联是否正确，如果不是系统默认的关联，软件会自己打勾的。

自动修复，可以修复常用的文件夹选项不能显示隐藏系统文件，ie不能正常使用等疑难杂症

启动项目中，如果出现有问题的启动项时会以红色来警告

※ ※ ※ 本文纯属【jr21066】个人意见，与【微点交流论坛】立场无关※ ※ ※

有点点才会放心

2007-10-26 13:21

jr21066
版主

电脑&数码区版主

积分 1648
发帖 1646
注册 2006-12-16

#6

Process Explorer简介

pe可以很方便的观察进程的上下级关系，路径以及命令行参数等。压缩的程序会以紫色显示。

对一些双进程互锁的，可以对进程进行挂起操作

※ ※ ※ 本文纯属【jr21066】个人意见，与【微点交流论坛】立场无关※ ※ ※

有点点才会放心

2007-10-26 13:22

jr21066
版主

电脑&数码区版主

积分 1648
发帖 1646
注册 2006-12-16

#7

Autoruns简介
菜单中选中签名检验功能及隐藏微软签名功能，可以只显示出第三方软件。极大的减少工作量，同时可以发现伪装成微软的程序

需要关注的几个地方，Logon，常见的启动项都在这里。这里病毒使用最多的地方，对于系统加载项要熟记于心；Explorer，资源管理器，进程注入它就是目标之一；Internet Explorer，第二大目标吧。流氓软件，病毒全看上它了。这里包括ie的按钮，接口等，属于重灾区；Scheduled Tasks，计划任务，这里出现病毒的机会很少；Services，服务，这里病毒的天堂，能在这里安家的病毒就不会去别的地了，重点留意处；Drivers，驱动，驱动自身不产生危害，但有可能会带来系统的不稳定，认识的可以清除掉；Winsock Providers，网络劫持的病毒在这里安家，少见；Winlogon，系统的启动关键东东，如果在这里被进程注入，安全模式也是清除不掉的。烦；Appinit，这里个别病毒会挂接Dll文件的。但后缀多为txt等有伪装性的后缀。呵；ImageHijacks，这里也有病毒入侵的。少见；Boot Execute，系统启动前的操作，象磁盘的扫描，杀毒软件的预扫描都在这里，本人未在这里见到过病毒，但并不排除可能性。

※ ※ ※ 本文纯属【jr21066】个人意见，与【微点交流论坛】立场无关※ ※ ※

有点点才会放心

2007-10-26 13:24

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#8

很不错啊支持！！

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-10-26 17:13

Rokit
中级用户

积分 330
发帖 342
注册 2007-3-12
来自深圳

#9

不错,收藏了

※ ※ ※ 本文纯属【Rokit】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-10-26 18:38

lm5247
注册用户

积分 81
发帖 81
注册 2007-10-25

#10

斑竹的文章看来都可收藏

※ ※ ※ 本文纯属【lm5247】个人意见，与【微点交流论坛】立场无关※ ※ ※

用Ｖista+firefox+微点，放心

2007-10-27 18:53

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号