在这个网上支付流行的时代,人们最害怕的事情莫过于电脑病毒了。以前不装杀毒软件“裸奔”是一件再平常不过的事情。现在估计很少有人敢这么干了,生怕自己网银里的钱被别人神不知鬼不觉的偷走了。今天,我就写一篇新手小白文来告诉大家如何快速判断自己的电脑是否中毒。


在讨论如何判断电脑是否中毒之前,我们先来说一下病毒常见的一些的特征。


1. 计算机里运行的各种程序我们都可以找到相对应的进程。病毒的进程名通常会比较奇怪。比如一串奇怪的随机名,再比如伪装成一些系统进程名。举个栗子,svchost.exe是一个系统进程,很多病毒常常会起名成scvhost.exe,以伪装自己。

2. 病毒为了保证自己能够正常运行,通常会把自身加入开机自动运行程序。稍后我会对这部分进行介绍。

3. 自我复制,这是蠕虫的一个典型特征,为了保证自己能够在后期依然被执行并感染别的机器。病毒会进行自我复制并且自动执行。

4. 联网下载别的程序或者打开本地监听端口。这是***及僵尸病毒的典型特征。

5. 更高级一点的病毒会通过Rootkit技术隐藏自己。包括注册表,进程以及文件。


接下来开始来重点吧。^_^

1. Process Explorer

  下载地址: https://technet.microsoft.com/en-us/sysinternals/bb896653/

  Process Explorer是微软官方发布的一个进程查看工具,能够查看当前系统的进程树以及与进程相关的调用。

  wKioL1YGpADBjt8kAAT-2IJJoOc338.jpg

  这是windows XP进程数的一个正常情况的例子。这里我打开了wireshark程序,因此进程里有一个wireshark.exe。我们可以关注一下“Company Name”一栏。很多时候病毒开发人员会忽略这里的细节。比如微软自己的系统进程的Company Name叫“Microsoft Corporation”。病毒程序为了伪装成系统进程,会在起名字时故意伪装成系统进程,但有时也会露出蛛丝马迹。比如命名为“Microsoft Corp.” 或者“Microsoft Corporation, Inc.”。遇到这样的进程名时就要小心了。


  接下来给大家举一个病毒程序的例子。

  wKioL1YGprGRlJgCAAVasEb04zc695.jpg

  在这个例子中,我们看到有一个进程名叫: malware3.exe, 这个进程最可疑的地方就是Description栏和Company Name是空的。很多病毒程序编写者常常会忽略这些细节,因为他们的感染对象是不懂计算机的人,自然不会注意到这些细节。当你看到这些线索时,就需要进行深入的分析了。


2. Autoruns

  下载地址: https://technet.microsoft.com/en-us/sysinternals/bb963902

  Autoruns 也是微软官方发布的一个工具,正如我之前所说,病毒为了保证自己能够正常运行起来,会把自己加入开机启动项。这时,运用Autoruns工具检查就是个不错的选择。

  wKiom1YGsD_Q7-QOAAZmSz68EoE921.jpg  如果发现程序把自己加入的自启动项,而且是在系统目录下,这时,可以到Google上搜索该文件名查找相关线索,很有可能并不是系统程序。


3. Virus Total

  网页地址: https://www.virustotal.com/

  该网页可以扫描文件样本查看该文件是否是病毒,也可以上传文件hash值进行查询。比如刚刚所说的可疑程序,在autoruns中我们看到该程序目录是c:\windows\system32\svchost.scr. 我们可以将其提交到virustotal上进行查询。

  

wKioL1YGs3HxIiccAAOLK_QU26M910.jpg  可以看到绝大多数防毒软件厂商都将该软件判定为恶意软件,那么就八九不离十了。


4. TCPview

  下载地址: https://technet.microsoft.com/en-us/sysinternals/bb897437

  TCPview是一款微软提供的查看本地网络连接情况的工具。可以用其查看本地端口监听情况以及向外连接情况等信息。这通常是***和僵尸网络的特征。以下是一个例子:

  wKioL1YGtZHSxKjQAALtifif4n4774.jpg

  这里可以看到所有进程的网络访问情况,通过简单的搜索可以发现,boot.exe进程监听在本地的1234端口是十分可疑的一个行为。然后你就可以用process explorer找到该进程及其位置,上传virustotal进行分析。


5. 最后给大家介绍一个高级一点病毒自我隐藏技术: Rootkit. Rootkit是病毒进行自我隐藏的一种技巧。其原理可以这么解释。操作系统可以分为两个模式: User Mode 和 Kernel Mode。我们浏览文件也好,查看进程及注册表也好,实际上都是从user mode向kernel mode的一种调用,并接受kernel mode的返回结果,从而将信息展现在我们的屏幕上。

  如果病毒采用了Rootkit技术,那么就会通过嵌入kernel mode来隐藏自己,截获kernel mode向user mode的返回结果,并把自己从这个结果中移除。这时想要找出他就不是那么容易了,我们可以通过以下的工具来帮忙。

  RootkitBuster: http://free.antivirus.com/us/rootkit-buster/

  这时一款趋势科技提供的公开免费的Rootkit扫描软件,可以通过他来判断自己的电脑是否感染了Rootkit病毒。

wKiom1YGufOTo8CKAALoJAqiPZ0373.jpg

  可以看到这里病毒隐藏了很多文件及注册表。可以通过选中这些工具并点击“Fix Now”来清除。

  注意: 此工具不适用于Win8及其以上的操作系统。


最后,给大家介绍几款免费的轻便型的杀毒工具(用360的请绕过):

1. Housecall: http://housecall.trendmicro.com/apac/

  轻型免费的病毒查杀工具,简单易用。


2. Hijackthis: http://sourceforge.net/projects/hjt/

  需要一定的操作系统知识,该工具可以列出系统进程,注册表,服务,网络动作等相关信息,但是需要人工进行分析。


3. RUBotted: http://free.antivirus.com/us/rubotted/

  免费的僵尸网络专杀小工具。


今天就先到这里了,以后有空会给大家写更多的有关系统安全的文章,希望能给大家带来帮助。