杀软网第一次安全讲座文字整理 病毒是怎么进入系统
第一次,我就给大家说说,病毒主要是通过什么途径进入我们计算机的。大家想想,如果我们要手动入侵一台计算机,大概都要具备什么条件?当然病毒也是一样的,他是人写出来的,这个如果是通过网络传播,网线是肯定要具备的。我计算机没有装杀毒软件的,这样说吧,我自己先唱,你们有什么不懂就问。黑客要入侵我们电脑,就必须找我们电脑上的漏洞,病毒同理。其实本来,我们的计算机是比较安全的,因为,微软在设计的时候就已经考虑到这些安全方面的东西了。但是病毒还是进入我们计算机了,因为我们电脑上存在漏洞,这个漏洞就包括微软自己的系统漏洞,我们的第三方软件漏洞,还有当时的设计初衷时为了方便管理员来管理而设计的功能。就目前来说。病毒进入我们电脑的主要途径就是网页挂马,就是说
我们去访问某一被黑客挂马的网站,然后就被自动种植了病毒。本来微软在IE6.0安全性方面都改进不少的,这个我们能中病毒就是因为我们没有及时的打相关补丁。比如,IE的漏洞,还有我们经常使用的,比如暴风影音等。这些被利用的,都是我们很多人都用的,软件。所以,防范网页挂马,主要是我们要做到及时升级,我们计算机上的软件,包括系统软件和第三方。对于普通用户,怎么可能不使用,如果你天天对着操作系统有事情做。对于第三方软件漏洞,我采用的方法是,使用国内不是很常用的软件,但是又能达到我们需求的。因为很多软件暴出漏洞,其实我们根本就不知道,我们绕道过去,应该是很好的方法了。
在说说,第二种传播方式,就是通过局域网,和U盘的方式传播。局域网传播,主要是通过我们设置失误,和漏洞等方式传播,比如去年很凶的MS08067漏洞。我们的设置漏洞,比如,空口令,弱口令,共享权限设置不当等。对于漏洞,我们采用的还是打补丁,设置漏洞,那只能是要我们以后多加小心了。对于这个我再给大家推荐个方法,就是把我们不用的服务全部关闭,这样就算有漏洞,但是我们没有提供漏洞对应的服务,当然,病毒也是无计可释的。比如.如果我们不需要提供共享服务,那就干脆把共享关了吧,效果立杆见影。
第三种传播方式。比如我们下载某软件,结果下载下来,并不是我们想要的,或者是被病毒作者改造过,故意上传的,前两天,网上不是还有,下载带马赛克的葫芦娃的笑话么。比如,我们下载电影,我们不可能下载到EXE等格式的文件吧。病毒是可以变种的,特征码是在病毒出现后才有的,也就是说,杀毒软件要是使用特征码技术,那就必须是病毒已经发作,杀毒软件才可以识别。而且病毒必须要被杀毒软件截获到。所以我们要经常去总结一些经验,去自己判断是否病毒。现在这种病毒比较多的地方就是p2p,方式下载的东西,比如电驴,迅雷等。那种网站上网页挂马现象比较普遍。电驴是个分享平台,如果你下载官方公布的资源一般是不会有问题的。迅雷,比如病毒作者把病毒捆绑在正常软件,到迅雷上发布,然后我们通过gougou去搜索了,效果,大家可以想象。带启发式和主动防御型的,因为启发式和主动防御都是可以防御未知病毒的。这个就比我们传统的特征码效果好多了,NOD32确实是带有深度启发的,启发,就不是传统意义上的特征码了。你如果修改过病毒特征码,大概你就会知道.NOD32的特征码并不是那么好改的,自我防护是对杀毒软件自身的保护,恶意网站。关于启发,NOD32曾经发布过一分白皮书,就是专门讲这个原理的。就比如,病毒和正常软件的区别,运行流程上,但是病毒就不需要,等一系列的特征,因为BT精灵,可能被杀毒软件添加白名单了。因为他是正常软件。这个道理。就和QQ的弹出窗口一样,你们有谁见过有杀毒软件阻止QQ的弹出窗口了,主要你要去看下他们的资料。所以,BT精灵,不是病毒,杀毒软件也不会管,这种第三方有他们自己的办法,因为他们不需要遵守什么规定,虽然很山寨,但是效果还是有的。U盘,WIN7以后就不会再出现问题了,微软自动屏蔽了我给大家介绍个相当有效果的办法,使用组策略,关闭自动播放,还有,一个不要运行指定程序里,填加autorun.inf。U盘现在杀毒软件都盯的比较死,如果你U盘发现这个东西,那你要先看下你是不是中标了。
问:我有个问题. 有的病毒调用了系统的服务,这时候杀毒软件发现并kill掉. 那杀软式如何保证系统服
务正常工作还删掉了病毒的?
答:这种就是典型的替换服务的病毒了,杀毒软件目前还没那么智能,如果你发现.服务不正常,文件并病毒删除的,请用相同版本文件替换下就OK了。
问:有的病毒可以嵌入到服务里面 服务正常用 但要调用病毒代码,这个时候杀软怎么办?
答:如果是服务注册表被修改,那就再别的电脑上把相关注册表导出,然后到自己电脑上导入来修复,一般杀毒软件对这些服务监视都是相当严格的。
问:杀毒的时候会自动修复被损坏的注册表么?
答:一般不会,如果使用专杀工具,会帮你修复。
问:使用备份的注册表重新导入很多时候都会出问题, 比如软件不能用或者有错误什么的这怎么办?
答:因为注册表,还有系统文件的信息量实在太大了,杀毒软件不可能把所有的信息都有备份啊,针对个别服务,如果你整个注册表全部进行操作,那肯定要出问题的,如果导出不可以,那就最好还是手动修改比较好。自己对比不一样的地方,不要等中毒了再想办法。一个服务的注册表不会很多的,病毒都是替换某服务的。这个问题就很复杂了。这个大概就是我们以前杀毒软件的核心功能了。如果我能在这里给大家讲清楚,可能性不大了。
问:老师 就简单说说就行了.. 比如什么功能调用什么?
答:这个你可以参考下那些强制删除的软件。
问:我不懂病毒方面的东西 零起点.. 强制删除,,可以再不结束进程的情况下kill掉么?
答:可以,比如病毒代码并注入到某进程。
问:停止进程再删除文件 是windows的保护措施还是什么?
答:杀毒软件会把注入的代码先卸载了,然后再删除,正在运行的程序,是不能被删除和修改的?
问:那终归还是先kill掉进程 然后再删文件喽?
答:如果是病毒进程。那肯定要先KILL掉了,系统进程被注入的,可以卸载等操作。
搜索更多相关主题的帖子:
文字 系统 讲座
