病毒的发现:众里寻它千百度
当我们了解了蠕虫病毒后,就会有一个很自然的问题,就是到底如何发现这些隐藏的蠕虫呢?有人说:“用杀毒软件呗!”是的,这的确是一个即方便又快捷的办法,但是有一点就是,如果出现新的蠕虫时应该怎么办,由于杀毒软件本身是要先抓住病毒,然后进行分析,然后升级,之后才能对已知的病毒进行查杀。如果不幸的是,你中了世界上最新的蠕虫病毒,其它的杀毒软件都还未抓到该病毒的样本,这种样本上报的工作就落在了你的头上,你该怎么办?
其实,不管是任何事,只要发生了就会留下痕迹,蠕虫病毒也不例外,既然蠕虫病毒自己也是一种程序,既然蠕虫病毒会藏在你的系统中,既然蠕虫会监视你的系统,那么发现蠕虫就不会是一件不可能的事,我们大致可以从以下几个方面循序渐进地发现新的蠕虫病毒。
首先可以利用一些自动防护工具,如个人防火墙软件。个人防火墙软件有一个特点,就是它本身不用进行升级就能进行很好的网络防护,如今的个人防火墙软件都提供了应用程序保护的功能,比如瑞星个人防火墙2004版,应用程序保护的原理说起来很简单,就是防火墙先将网络访问给监控起来,一旦发现有应用程序访问网络就向用户报警,由用户决定是否放行。当用户安装了防火墙后,如果发现有不明的程序访问网络,而且该程序还处在系统目录下,则很有可能就是中了蠕虫病毒了。
其次,检查注册表。注册表是WINDOWS系列操作系统中最重要的一个数据库文件,它记录着系统的所有关键数据,而一些软件要想让系统记住它的话,也往往会在注册表中建立相应的注册内容,被称为注册表项,蠕虫病毒也不例外,所有的蠕虫病毒都有随系统启动而启动的动作,因此它们会修改注册表中叫做自启动项的注册表项,该项的具体位置是:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,只要用户在“开始\运行”菜单中键入“regedit”即可打开注册表,然后根据上述提示找到自启动项,该项里存放的都是一些日常启动的程序,也就是存在于系统右下角那个托盘中的程序,比如杀毒软件的实时监控程序、防火墙程序等。不多,很容易记忆,如果用户有经常看注册表自启动项的习惯,如果发现有来自系统目录下的一些不明程序在自启项中写有自己的项,那么该项就极有可能是病毒所为,用户可以根据该注册表项提供的路径找到这个可疑文件,如果该文件没有什么图标,而且大小在十几K到几十K之间,则基本就可断定是蠕虫病毒了。
再次,查看内存中的可疑进程。所有的程序只要进入内存,都是以进程的形式存在的,在9X以上操作系统中,用户只要使用系统自带的“任务管理器”就可以查看内存中的所有进程,用户可以用CTRL+SHIFT+ESC三键直接调出任务管理器或右键单击开始电脑下方的程序栏,在右键菜单中进行选择,当任务管理器调出后,选择“进程”那一页,就可以看到系统内的所有进程了,比如说,我们使用的WORD软件,在内存中的进程是WINWORD.EXE、瑞星个人防火墙的进程是Rfw.exe,如此等等,如果用户经常查看内存的话,就会对一些常用进程了如指掌,这时如果有蠕虫进入内存的话,就会很容易被你发现,比如说这次的震荡波病毒在内存中建立的进程是avserve.exe。 上一页 [1] [2] [3] [4] [5] 下一页
设为首页
加入收藏
联系我们
减小字体
增大字体