本文目录一览:
- 1、如何手动查杀木马
- 2、电脑中毒有哪些杀毒软件,很想知道答案...
- 3、计算器有什么杀毒软件?
- 4、在网吧上网如何确定电脑没有病毒或木马?
- 5、如何清楚计算器上的盗号木马?
- 6、怎么可以知道计算器有没有病毒或木马?
如何手动查杀木马
虽然没有绝对的安全,但如果能知已知彼,了解木马的隐藏手段,对于木马即使不能百战百胜,也能做到及时发现,使损失最小化。那么,木马究竟是如何躲在我们的系统中的呢? 最基本的隐藏: 不可见窗体+ 隐藏文件木马程序无论如何神秘,但归根究底,仍是Win32平台下的一种程序。Windows下常见的程序有两种:1.Win32应用程序(Win32 Application),比如QQ、Office等都属于此行列。2.Win32控制台程序(Win32 Console),比如硬盘引导修复程序FixMBR。其中,Win32应用程序通常会有应用程序界面,比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序,但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况,如木马使用者与被害者聊天的窗口),并且将木马文件属性设置为“隐藏”,这就是最基本的隐藏手段,稍有经验的用户只需打开“任务管理器”,并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马,于是便出现了下面要介绍的“进程隐藏”技术。第一代进程隐藏技术:Windows 98的后门在Windows 98中,微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制),但仍有高手发现了这个秘密,这种技术称为RegisterServiceProcess。只要利用此方法,任何程序的进程都能将自己注册为服务进程,而服务进程在Windows 98中的任务管理器中恰巧又是不显示的,所以便被木马程序钻了空子。要对付这种隐藏的木马还算简单,只需使用其他第三方进程管理工具即可找到其所在,并且采用此技术进行隐藏的木马在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形!中止该进程后将木马文件删除即可。可是接下来的第二代进程隐藏技术,就没有这么简单对付了。第二代进程隐藏技术:进程插入在Windows中,每个进程都有自己的私有内存地址空间,当使用指针(一种访问内存的机制)访问内存时,一个进程无法访问另一个进程的内存地址空间,就好比在未经邻居同意的情况下,你无法进入邻居家吃饭一样。比如QQ在内存中存放了一张图片的数据,而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性,如果你的进程存在一个错误,改写了一个随机地址上的内存,这个错误不会影响另一个进程使用的内存。你知道吗——进程(Process)是什么 对应用程序来说,进程就像一个大容器。在应用程序被运行后,就相当于将应用程序装进容器里了,你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等),当应用程序被运行两次时,容器里的东西并不会被倒掉,系统会找一个新的进程容器来容纳它。一个进程可以包含若干线程(Thread),线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件,另一个则接收用户的按键操作并及时做出反应,互相不干扰),在程序被运行后中,系统首先要做的就是为该程序进程建立一个默认线程,然后程序可以根据需要自行添加或删除相关的线程。1.进程插入是什么独立的地址空间对于编程人员和用户来说都是非常有利的。对于编程人员来说,系统更容易捕获随意的内存读取和写入操作。对于用户来说,操作系统将变得更加健壮,因为一个应用程序无法破坏另一个进程或操作系统的运行。当然,操作系统的这个健壮特性是要付出代价的,因为要编写能够与其他进程进行通信,或者能够对其他进程进行操作的应用程序将要困难得多。但仍有很多种方法可以打破进程的界限,访问另一个进程的地址空间,那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后,就可以对另一个进程为所欲为,比如下文要介绍的盗QQ密码。2.木马是如何盗走QQ密码的普通情况下,一个应用程序所接收的键盘、鼠标操作,别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢?木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程,这样该木马DLL就赫然成为了QQ的一部分!然后在用户输入密码时,因为此时木马DLL已经进入QQ进程内部,所以也就能够接收到用户传递给QQ的密码键入了,真是“家贼难防”啊!3.如何插入进程(1)使用注册表插入DLL早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。(2)使用挂钩(Hook)插入DLL比较高级和隐蔽的方式,通过系统的挂钩机制(即“Hook”,类似于DOS时代的“中断”)来插入进程(一些盗QQ木马、键盘记录木马以Hook方式插入到其他进程中“偷鸡摸狗”),需要调用SetWindowsHookEx函数(也是一个Win32 API函数)。缺点是技术门槛较高,程序调试困难,这种木马的制作者必须具有相当的Win32编程水平。你知道吗——什么是API Windows中提供各种功能实现的接口称为Win32 API(Application Programming Interface,即“应用程序编程接口”),如一些程序需要对磁盘上的文件进行读写,就要先通过对相应的API(文件读写就要调用文件相关的API)发出调用请求,然后API根据程序在调用其函数时提供的参数(如读写文件就需要同时给出需要读写的文件的文件名及路径)来完成请求实现的功能,最后将调用结果(如写入文件成功,或读取文件失败等)返回给程序。(3)使用远程线程函数(CreateRemoteThread)插入DLL在Windows 2000及以上的系统中提供了这个“远程进程”机制,可以通过一个系统API函数来向另一个进程中创建线程(插入DLL)。缺点很明显,仅支持Windows 2000及以上系统,在国内仍有相当多用户在使用Windows 98,所以采用这种进程插入方式的木马缺乏平台通用性。木马将自身作为DLL插入别的进程空间后,用查看进程的方式就无法找出木马的踪迹了,你能看到的仅仅是一些正常程序的进程,但木马却已经偷偷潜入其中了。解决的方法是使用支持“进程模块查看”的进程管理工具(如“Windows优化大师”提供的进程查看),木马的DLL模块就会现形了。不要相信自己的眼睛:恐怖的进程“蒸发”严格地来讲,这应该算是第2.5代的进程隐藏技术了,可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中,而可以直接消失!它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控,“任务管理器”之所以能够显示出系统中所有的进程,也是因为其调用了EnumProcesses等进程相关的API函数,进程信息都包含在该函数的返回结果中,由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。而木马由于事先对该API函数进行了Hook,所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色),木马便得到了通知,并且在函数将结果(列出所有进程)返回给程序前,就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目,却有人不知不觉中将电视接上了DVD,你在不知不觉中就被欺骗了。所以无论是“任务管理器”还是杀毒软件,想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段,只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除,这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题,所以没有被广泛采用。你知道吗——什么是HookHook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制,中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后,一旦发生已Hook的事件,对该事件进行Hook的程序(如:木马)就会收到系统的通知,这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。毫无踪迹:全方位立体隐藏利用刚才介绍的Hook隐藏进程的手段,木马可以轻而易举地实现文件的隐藏,只需将Hook技术应用在文件相关的API函数上即可,这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是,现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。跟杀毒软件对着干:反杀毒软件外壳木马再狡猾,可是一旦被杀毒软件定义了特征码,在运行前就被拦截了。要躲过杀毒软件的追杀,很多木马就被加了壳,相当于给木马穿了件衣服,这样杀毒软件就认不出来了,但有部分杀毒软件会尝试对常用壳进行脱壳,然后再查杀(小样,别以为穿上件马夹我就不认识你了)。除了被动的隐藏外,最近还发现了能够主动和杀毒软件对着干的壳,木马在加了这种壳之后,一旦运行,则外壳先得到程序控制权,由其通过各种手段对系统中安装的杀毒软件进行破坏,最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。你知道吗——什么是壳顾名思义,你可以很轻易地猜到,这是一种包在外面的东西。没错,壳能够将文件(比如EXE)包住,然后在文件被运行时,首先由壳获得控制权,然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密,这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”,如果发现某文件中含有这个特征,就认为该文件是木马,而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”,加密后变成了“54321”,这样杀毒软件当然不能靠文件特征进行检查了)。脱壳指的就是将文件外边的壳去除,恢复文件没有加壳前的状态
本文来自猴岛游戏论坛 :
电脑中毒有哪些杀毒软件,很想知道答案...
捷克的Avast有免费版本,一个就够了 Avast 最新版本的 avast! 杀毒内核拥有杰出的检测能力, 兼容高性能. 能够检测出 100% 的流行病毒 (在用户之间传播的已知病毒) 还有突出的检测木马病毒功能. 此内核是经过 ICSA Labs 验证的; 而且经常参加 Virus Bulletin 杂志的测试, 多次赢得 VB100 奖项. avast! 引擎还有突出的解压功能. 它可扫描以下压缩档里面的内容: ARJ, ZIP, MIME (+ 所有组合格式), MAPI (Outlook pst 文件), DBX (Outlook Express 压缩档), RAR, TAR, GZIP, CAB, BZIP2, ZOO, ACE, ARC, LHA/LHX, TNEF (winmail.dat), CPIO, CHM, RPM, ISO, 7ZIP 和 SIS. 它还支持一些可执行文件压缩器 (如 PKLite, Diet, UPX, ASPack, PeShield, FSG, MEW 等.). 最后,它还能够扫描隐藏在NTFS卷宗交换数据流的病毒. 简易用户界面 简易用户界面用于启动手动扫描,处理扫描结果和更改选项等,基本的常驻防护设置可在此更改. 简易用户界面是 avast! 4 Home Edition 的主操作面板. 你可以通过简易用户界面启动 avast! 模件, 如病毒隔离区,更新器或者日志浏览器. 简易用户界面的外观是很灵活的. 它提供多款面板 (应用程序的可更换外观), 因此你可以选择适合你的界面. 主程序包包含三款面板, 更多面板可在我们的 网页 上找到. 标准常驻防护 常驻防护 (实时防护你的计算机系统), 是目前杀毒软件其中一个最重要的功能. avast! 拥有一个强劲的常驻防护模组,能够在病毒感染你的计算机前把它检测出来. avast! Home Edition 包含计算机文件系统常驻防护模组和 e-mail 常驻防护模组. 文件系统防护确保病毒不能够在计算机上启动. 它提供大幅度的设置调整, 例如,可指定程序在文件复制过程中扫描此文件, 或者只扫描包含指定扩展的文件. E-mail/新闻防护包含两个独立的模组; 首先,有一种扫描器扫描 SMTP/POP3/IMAP4/NNTP 协议. 它可以防护所有使用这些协议的 e-mail 客户. 其次,有一个特别的MS Outlook插件; 全自动扫描邮件,无需特别设置. 版本4的一个新功能是启发式分析 e-mail 扫描器.此功能能够防护抵抗新的,未知的病毒和网虫,普通的扫描工具是无法检测出来的. 启发式模组针对每个 e-mail 信息执行全面检查,监视可能病毒的可疑征象. 如果这些征象超过用户定义的水平,信息将被视为危险,程序将发出警告. P2P 和 IM 防护 Avast 有一个 IM 程序(即时信息 "聊天") 防护模组,还有一个 P2P 程序(peer-to-peer) 防护模组. 支持大部分的 IM 和 P2P 程序, 当前支持超过30种程序. 聊天本身不会引起严重的病毒安全问题,但是当今的 IM 应用程序不仅仅是一个聊天工具: 大部分的这些聊天工具提供或多或少的文件分享功能 - 如果不正确检测这些功能可能会引起病毒感染. P2P 防护模组不需要太多的解释 - 当今的 P2P 网络(例如 Kazaa) 包含上千个潜在感染的文件, 一个有效的防护是必不可少的. 网络防护 avast! 4.5 添加一个新的常驻防护模组: 网络防护. 本模组提供对抗,防护已知因特网网虫/攻击. 它会分析所有网络流量并扫描所有恶意文本. 它可被视为轻度防火墙(或者, 更准确来说,一个 IDS (Intrusion Detection System). 网络防护仅适用于 NT-based 系统 (Windows NT/2000/XP/2003). 网页防护 网页防护是 avast! 的一个监控系统,它能够过滤所有因特网上的站点 HTTP 流量. 因为层出不穷的病毒 (还有恶意软件,如广告软件, 间谍软件和拨号软件) 通过国际互联网传播, 一个有效的对策变得致关重要. 网页防护作为一个透明 HTTP 代理而且能够和所有主流的网页浏览器兼容, 包括 Microsoft Internet Explorer, FireFox, Mozilla 和 Opera. 不像大部分同行的解决方案,我们的网页防护几乎不影响开启网页的速度. 这是因为我们采用独特的 "Intelligent Stream Scan"功能,能让网页防护模组扫描on-the-fly对象, 不需要caching. 流扫描只在操作记忆体上执行,提供最大可能的吞吐量. 自动更新 自动更新是病毒防护的另一个重点. 我们的病毒数据库跟程序本身都能够自动更新. 更新是采用先进的 增量式 更新, 只下载新的或者缺少的数据:从而减少数据传送量. 如果你的因特网是永久连接的 (例如 永久在线的宽带网连接), 那么更新将在固定的期间完全自动执行. 如果你只是偶尔上网, avast! 将在你上网的时候执行更新. 拥有最新的病毒数据库和杀毒程序是保护您的计算器的关键. 病毒隔离区 病毒隔离区可被想象为你磁碟上的一个文件夹, 特殊的属性令它变得更安全, 隔离的特性适合储存病毒文件. 在安全限制的保护下你可以使用隔离区里面的文件. 病毒隔离区的主要属性是与操作系统完全隔离. 无对外处理, 像一个病毒可能进入文件里面,但是隔离区里面的文件是不可执行的,因此储存病毒绝对安全. 系统整合 avast! antivirus 拥有杰出的系统整合功能. 可以直接从 Windows Explorer 启动扫描, 通过鼠标右键点击文件夹或者文件并从菜单上选择扫描操作. 我们还提供一个特别的屏幕保护程序, 当执行病毒扫描时, avast! antivirus 与你选择的屏幕保护共同工作, 使用时无需更改任何个人设置. 本次发布新增一项新功能 - 开机扫描 (只适用于Windows NT/2000/XP/2003). 本项重要的功能允许用户在病毒活动前启动扫描. 加入avast! Virus Cleaner 从版本 4.1 开始, avast! 包含病毒清理器, 一个为已经感染的计算机完全移除最普遍病毒感染而设计的工具. 所以现在 avast! 不单只是检测而且还能够提供可靠的"治疗". 病毒清理器可清除的病毒/网虫数量不断增加. 有关的最新信息,我们建议你浏览 Virus Cleaner 页面. 注意: 紧急情况下, 病毒清理器可当作独立产品使用, 无需安装 avast! 程序也可以使用. 支持for 64-bit Windows avast! 家庭/专业版现在全面支持 64-bit Windows 平台. ALWIL Software 预料此平台的使用将大幅度增长, 因为 Windows XP 64-Bit Edition 将支持 32 GB RAM 和 16 TB 虚拟内存, 就算在处理大量数据的情况下应用程序都能够快速运作. 应用程序可以预载大量数据到虚拟内存, 允许通过处理器的64-bit扩展快速进入. 这样可以 减少加载数据的时间,或者找寻,读取和编写到数据存储器, 令应用程序运作更快更有效率. 一般的 (32-bit) 杀毒程序不能够在 64-bit Windows 平台上正常操作, 因为它们依靠 32-bit 内核模式驱动程序. 最新版本的 avast! 使用原生 64-bit 驱动, 传送与 32-bit Windows 环境相等的防护. 32-bit 和 64-bit 的安装包是一样的 - 启动程序自动检测运作中的操作系统并安装所有必要文件
记得采纳啊
计算器有什么杀毒软件?
要看你需要什么软件了 国内:金山、瑞星、360、江民、微点、还有个不上道的可牛、至于QQ医生之内的算不上杀毒软件 国外:太多了,一般常用的有NOD32、卡巴斯基、趋势(算是国内的吧)、小红伞,另外还有一大堆,。
在网吧上网如何确定电脑没有病毒或木马?
1、如果网吧的系统被挂马的话,木马也在网吧的保护软件保护下,你重启也没用。
2、我的做法是这样的:
1)在不重要的邮箱里存上一个【进程查看软件】,一个【MD5计算器】。
2)开机,先上邮箱,下载【进程查看软件】和【MD5计算器】,把不熟悉的进程(疑似木马)全部关掉,然后计算一下你要玩的游戏文件夹里面所有的*.exe文件的MD5值,看【相同版本下】MD5值对不对,【游戏版本变动】或者【被挂马了】都会不对应你记录的MD5值。你可以覆盖上正确的文件游戏。
如何清楚计算器上的盗号木马?
你好,
你可以安装电脑管家来清除木马的。
电脑管家为国内首个采用“ 4+1 ”核“芯”杀毒引擎的专业杀毒软件,8.0版应用了腾讯自研第二代反病毒引擎“鹰眼”,资源占用少,基于CPU虚拟执行技术能够根除顽固病毒,大幅度提升深度查杀能力。
电脑管家可以很好地解除电脑上的病毒。
更多问题可以去电脑管家平台提问!
怎么可以知道计算器有没有病毒或木马?
您好
1,如果您说的是计算器,是不会中毒,因为本身就几乎不带有内存,而且也没有病毒传播的途径。
2,如果您说的是计算机病毒,那么您可以到腾讯电脑管家官网下载一个电脑管家。
3,使用电脑管家——杀毒——全盘查杀,检测一下就知道了。
4,电脑管家拥有基于“云查杀与微特征技术”的新一代电脑管家云查杀引擎和本地反病毒引擎,能够检测出各种流行隐藏顽固的木马病毒,并提供处理方案,保护电脑安全。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难