电脑病毒介绍
电脑病毒介绍:
“计算机病毒”一词最早是由美国计算机病毒研究专家F--Cohen博士提出的。
“病毒”一词是借用生物学中的病毒。通过分析、研究计算机病毒,人们发现它在很多方面与生物病毒有着相似之处。要做反计算机病毒技术的研究,首先应搞清楚计算机病毒的特点和行为机理,为防范和清除计算机病毒提供充实可靠的依据。
再生机制是生物病毒的一个重要特征。通过传染,病毒从一个生物体扩散到另一个生物体。在适宜的条件下,它得到大量繁殖,并进而使被感染的生物体表现出病症甚至死亡。同样地,计算机病毒也会通过各种 渠道 从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。这就是计算机病毒最重要的特征——传染和破坏。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,就与系统中的程序连接在一起,并不断地去传染(或连接、或覆盖) 其它 未被感染的程序。具有这种特殊功能的程序代码被称为计算机病毒。携带有这种程序代码的计算机程序被称为计算机病毒载体或被感染程序。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。正常的计算机程序是不会将自身的代码强行连接到其它程序之上的。比如DOS的FORMAT程序决不会将其程序代码连接到别的程序中去。在系统生成过程中有些系统的安装程序会修改相关程序的参数配置,如MSWindows系统。有些程序通过自身的设置功能,按用户要求会修改自己的参数设置,如Borland公司的SideKick。还有些程序出于加密防拷贝或某些其它目的,在运行时动态改变自身的程序代码,如Xcom通信程序。在这几种情况下,那些被修改的程序内部的确发生了变化,但这些变化只局限于各自应用系统的内部,不会发生将自身代码连接到毫不相干的程序之上的情形。计算机病毒的再生机制,即它的传染机制却是使病毒代码强行传染到一切未受到传染的程序之上,迅速地在一台计算机内,甚至在一群计算机之间进行传染、扩散。每一台被感染了计算机病毒的计算机,本身既是一个受害者,又是一个新的计算机病毒的传染源。被感染的计算机往往在一定程度上丧失了正常工作的能力,运行速度降低,功能失常,文件和数据丢失,同时计算机病毒通过各种可能的渠道,如软盘、计算机 *** 去传染其它的计算机。当你在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒;而与这台机器相邻的其它几台计算机也许早已被该病毒侵染上了。通过数据共享的途径,计算机病毒会非常迅速地蔓延开,若不加控制,就会在短时间内传播到世界各个角落里去。可见反计算机病毒的问题是一个全球范围的问题。在我国发现的首例计算机病毒就是国外称为意大利病毒的小球病毒。在我国首先发现的Traveller病毒随着国际间的交往,也扩散到国外,其大名出现在国外杀病毒软件的病毒黑名单中。与生物病毒不同,所有的计算机病毒都是人为编写的计算机程序代码,是人为制造出来的而不是天生的。这些着意编写的计算机程序代码,其原始形式可以是C语言,可以是BASIC程序,可以是汇编语言程序,也可以是批命令程序,还可以是机器指令程序。其共同特点就是具有传染性和破坏性。
计算机病毒的另一个特点是只有当它在计算机内得以运行时,才具有传染性和破坏性等活性。也就是说计算机CPU的控制权是关键问题。若计算机在正常程序控制下运行,而不运行带病毒的程序,则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字,查看计算机病毒的代码,打印病毒的代码,甚至拷贝病毒程序,却都不会感染上病毒。反病毒技术人员整天就是在这样的环境下工作。他们的计算机虽也存有各种计算机病毒的代码,但已置这些病毒于控制之下,计算机不会运行病毒程序,整个系统是安全的。相反,计算机病毒一经在计算机上运行,绝大多数病毒首先要做初始化工作,在内存中找一片安身之处,随后将自身与系统软件挂起钩来,然后再执行原来被感染程序。这一系列的操作中,最重要的是病毒与系统软件挂起钩来,只要系统不瘫痪,系统每执行一次操作,病毒就有机会得以运行,去危害那些未曾被感染的程序。病毒程序与正常系统程序,或某种病毒与其它病毒程序,在同一台计算机内争夺系统控制权时往往会造成系统崩溃,导致计算机瘫痪。反病毒技术也就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止其取得系统控制权。反病毒技术的优劣就是体现在这一点上。一个好的抗病毒系统应该不仅能可靠地识别出已知计算机病毒的代码,阻止其运行或旁路掉其对系统的控制权(实现安全带毒运行被感染程序),还应该识别出未知计算机病毒在系统内的行为,阻止其传染和破坏系统的行动。而低性能的抗病毒系统只能完成对抗已知病毒的任务,对未知病毒则束手无策,任其在系统内扩散与破坏。所谓未知病毒是指新出现的,以前未曾分析过的计算机病毒。在1992年初,DIRⅡ病毒对我国广大PC机用户来说就是一种未知病毒。与未曾相识的敌手对阵不是件容易的事。DIRⅡ病毒采用嵌入DOS系统的设备驱动程序链的 *** 攻击IBMPC及其兼容机,是一种与以往病毒工作机制不同的新型计算机病毒。由于其夺取PC机系统控制权的 *** 很特别,在它的攻势下,大批抗病毒系统败下阵来。从这个例子可以看到,对付计算机病毒,目前尚无完满通用的解决方案,反病毒技术需要不断发展,以对抗各种新病毒。
不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。在没有防护 措施 的情况下,计算机病毒程序经运行取得系统控制权后,可以在不到1秒钟的时间里传染几百个程序,而且在屏幕上没有任何异常显示。传染操作完成后,计算机系统仍能运行,被感染的程序仍能执行,好像不曾在计算机内发生过什么。这种现象就是计算机病毒传染的隐蔽性。正是由于这隐蔽性,计算机病毒得以在用户没有察觉的情况下游荡于世界上百万台计算机中。让我们设想,如果计算机病毒每当感染一个新的程序时都在屏幕上显示一条信息“我是病毒程序,我要干坏事了”,那么计算机病毒早就被控制住了。确实有些病毒非常“勇于暴露自己”,时不时在屏幕上显示一些图案或信息,或演奏一段乐曲。往往此时那台计算机内已有许多病毒的拷贝了。许多计算机用户对计算机病毒没有任何概念,更不用说心理上的警惕了。他们见到这些新奇的屏幕显示和音响效果,还以为是来自计算机系统,而没有意识到这些病毒正在损害计算机系统,正在制造灾难。如磁盘杀手(DiskKiller)病毒,当它破坏磁盘数据时,屏幕上显示如下信息:“DiskKillerVersion1.00byOgreSoftware,April1,1989.Don'tturnoffthepowerorremovethediskettewhileprocessing.”这两句话中,之一句的含义是:“磁盘杀手1.00版OgreSoftware公司1989年4月1日出版。”第二句的含义是:“在处理过程中请不要关机或取出磁盘。”接着屏幕上显示出“PROCESSING”意思是“正在处理”这时DiskKiller病毒锁定键盘,对磁盘上的数据做加密变换处理。计算机的处理速度是很快的,当你在屏幕上见到上述显示信息时,已经有很多数据被病毒破坏掉了。计算机病毒的第二个隐蔽性在于,被病毒感染的计算机在多数情况下仍能维持其部分功能,不会由于一感染上病毒,整台计算机就 不能启动 了,或者某个程序一旦被病毒所感染,就被损坏得不能运行了。如果出现这种情况,病毒也就不能流传于世了。计算机病毒设计的精巧之处也在这里。正常程序被计算机病毒感染后,其原有功能基本上不受影响,病毒代码附于其上而得以存活,得以不断地得到运行的机会,去传染出更多的复制体,与正常程序争夺系统的控制权和磁盘空间,不断地破坏系统,导致整个系统的瘫痪。病毒的代码设计得非常精巧而又短小。典型的是Tiny家族。这个家族的病毒都很短小,最小的病毒代码长度只有133字节。一般PC机对DOS文件的存取速度可达每秒100KB以上,所以病毒将这短短的几百字节感染到正常程序之中所花的时间只是转瞬之间,非常不易被察觉。
与隐蔽性相关联的是计算机病毒的潜伏性。潜伏性的之一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。计算机病毒使用的触发条件主要有以下三种。(1)利用计算机内的实时时钟提供的时间作为触发器这种触发条件被许多病毒所采用,触发的时间有的精确到百分之几秒,有的则只区分年份。表11列出了一些病毒触发的时间,可以供防范计算机病毒时参考。(2)利用病毒体内自带的计数器作为触发器计算机病毒利用计数器记录某种事件发生的次数,一旦计数器达到某一设定的值,就执行破坏操作。这些事件可以是计算机开机的次数,可以是病毒程序被运行的次数,还可以是从开机起被运行过的总的程序个数等。(3)利用计算机内执行的某些特定操作作为触发器特定操作可以是用户按下某种特定的键组合,可以是执行格式化命令,也可以是读写磁盘的某些扇区等。表11计算机病毒触发时间一览表被计算机病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一条件,而是使用由多个条件组合起来的触发条件。大多数病毒的组合触发条件是基于时间的,再辅以读、写盘操作,按键操作以及其它条件。如在我国广为流传的小球病毒,每当系统时钟为整点或半点时,系统又正在进行读盘操作,而该盘是未被感染的,等等,一旦这些条件得到满足时,小球病毒的屏幕显示部分便被激活,一个小球弹跳在屏幕上。若 显示器 是CGA类型的,又正在使用汉字系统,则整个屏幕显示会不停地上下翻滚,使操作根本无法进行。小球病毒的触发条件在各种触发条件中是很典型的,既有时间的条件,又有功能操作的条件,而且条件之间还存在着逻辑“与”和逻辑“或”的关系。利用这种触发条件,计算机病毒不是随时随地表现自己,而是在适当的时机——条件满足时才向你 *** ,轻则只是在屏幕上显示些信息,重则要销毁数据,弄垮整个系统。计算机病毒的破坏作用是多种多样的。有一种分类 *** 是将病毒分为恶性病毒和良性病毒。恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的,如米开朗琪罗病毒。当米氏病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的,这是其本性之一。因此这类恶性病毒是很危险的,应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否,或至少发出警报提醒用户注意。良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台计算机传染到另一台,并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然,认为这只是恶作剧,没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后,会导致整个系统运行效率降低,系统可用内存总数减少,使某些应用程序不能运行。它还与 操作系统 和应用程序争抢CPU的控制权,时时导致整个系统死锁,给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象,一个文件不停地反复被几种病毒所感染。例如原来只有10KB的文件变成约90KB,就是被几种病毒反复感染了数十次。这不仅消耗掉大量宝贵的磁盘存储空间,而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。?计算机病毒的实现 *** 是千差万别的,加上许多病毒采用加密处理技术,使得被感染的程序恢复原形的工作,即杀毒工作很困难。目前还没有通用的、能可靠自动清病毒的 *** 。很多研究人员在这方面作了很多努力,一些国外商品软件也具有免疫功能(Immunize),但都存在缺陷,不尽如人意。某些病毒对系统的感染所造成的损失是不可挽回的,要修复被感染的文件是不可能的。当被新病毒感染后,要清除这些病毒,不仅需要耗费大量时间和精力去仔细地分析病毒代码,而且还需要对病毒和计算机系统有全面的了解。因此抗计算机病毒工作最重要的就是防御病毒,不让病毒侵入系统。一旦遭到破坏,做修复工作就很麻烦了,甚至是不可能的。
在对抗计算机病毒的斗争中,很重要的一项工作就是计算机病毒的分类与命名。计算机病毒的分类可以有多种 *** :按病毒对计算机系统的破坏性划分,有良性病毒和恶性病毒,已如上述。按病毒攻击的机型划分,有苹果机病毒,IBMPC机病毒,小型机病毒等。按危害对象划分,有损害计算机的病毒和损害 *** 通信的病毒。对于侵害IBMPC机的PC机病毒,也就是本书要着重讨论、要重点对抗的病毒,可以有更科学的分类。进行这种分类的目的,就是要了解病毒的工作机理,针对其特点,采取更加有效的 *** ,防御和清除计算机病毒。对PC机病毒,比较公认的、科学的划分是将PC机病毒分为引导区型病毒、文件型病毒和混合型病毒(即又侵染引导区又感染文件的病毒)。这种划分 *** 对于检测、清除和预防病毒工作是有指导意义的,它不仅指明了不同种类病毒各自在PC机内的寄生部位,而且也指明了病毒的攻击对象。因此,可以通过采取相应的措施保护易受病毒攻击的部位,如分区表所在的主引导扇区、DOS引导扇区以及可执行文件等,并进而找到综合、有效的反计算机病毒措施。?与国际上的情况一样,国内常见的PC机病毒中,引导区型比文件型病毒种类少,而混合型的最少。这三种类型的病毒都是既有良性的又有恶性的。常见的文件型病毒有Jerusalem、1575、扬基病毒、648、V2000、1701落叶病毒等。常见的引导区型病毒有 *** 、小球、米氏病毒、6.4病毒和香港病毒等。混合型病毒常见的有新世纪病毒、Flip等。一种计算机病毒往往有多个名字。人们在讨论病毒防范时经常要弄清他们正在讨论的是不是同一种病毒。如1701病毒的别名有落叶病毒、落泪病毒、1704病毒、雨点病毒、感冒病毒等。国外又称雨点病毒为Flu病毒和JOJO病毒。香港病毒又称为封锁病毒、不打印病毒、Blockade病毒和端口病毒等。所以由此产生的统计数字有时也带有偏差。目前国际上也尚无统一的规范用以协调和指导这方面的命名工作。美国的抗病毒产品开发商集团AVPD正在各个成员单位间进行计算机病毒的收集、识别、命名以及抗病毒产品开发等协调工作。在没有见到对某种病毒的确切描述以及对它公认的命名时,人们会根据该病毒的工作机理、表现形式、内含的ASCII字符串、病毒程序的代码长度、发作日期或时间、该病毒的发现地、被病毒攻击的机型、病毒中表现模块发出的音响或显示的图形以及该病毒发现者当时能体会到的各种特征来为它命名。前面所列举的1701、香港病毒就都属于这种情况。为某种新出现的计算机病毒命名,目的就是要使人们能快速、准确地辨识出该病毒,以便防范和诊治。因此该命名应能更好地体现出该病毒的特征,使之不容易与其它现存的计算机病毒混淆。
为什么CPU使用率总是100%
相信你的一定遇到过电脑动弹不得的时候,或许是只能眼看鼠标滑动而不能进行任何操作的时候,很多人都会经常遇到这样的问题:CPU占用率100%改如何解决,本文将从多个角度给你全方面的解析,希望阅读完本文希望在今后你遇到问题的时候能够带给你一些帮助。CPU经常性占用率100%1、驱动没有经过认证,造成CPU资源占用100%。大量的测试版的驱动在网上泛滥,造成了难以发现的故障原因。2、杀毒软件CPU使用率占用100%现在的杀毒软件一般都加入了,对网页、邮件、个人隐私的即时监空功能,这样无疑会加大系统的负担。比如:在玩游戏的时候,会非常缓慢。关闭该杀毒软件是解决得最直接办法。3、病毒、木马造成。出现CPU占用率100% 的故障经常是因为病毒木马造成的,比如震荡波病毒。应该首先更新病毒库,对电脑进行全机扫描。接着,在使用反间谍软件Ad—Aware,检查是否存在间谍软件。论坛上有不少朋友都遇到过svchost.exe占用CPU100%,这个往往是中毒的表现。间谍广告杀手Ad-awaresvchost.exe Windows中的系统服务是以动态链接库(DLL)的形式实现的,其中一些会把可执行程序指向svchost.exe,由它调用相应服务的动态链接库并加上相应参数来启动服务。正是因为它的特殊性和重要性,使它更容易成为了一些病毒木马的宿主。大量的蠕虫病毒在系统内部迅速复制,造成CPU占用资源率据高不下。解决办法:使用最新的杀毒软件在DOS模式下进行杀毒。经常性更新升级杀毒软件和防火墙,加强防毒意识,掌握正确的防杀毒知识。 4、开始->运行->msconfig->启动,关闭不必要的启动项,重启。 5、 *** 连接导致CPU使用率占用100%查看 *** 连接。主要是网卡。当你的Windows2000/xp作为服务器时,收到来自端口445上的连接请求后,系统将分配内存和少量CPU资源来为这些连接提供服务,当负荷过重,就会出现上述情况。要解决这个问题可以通过修改注册表来解决,打开注册表,找到HKEY—LOCAL—MACHNESYSTEMCurrentControlSetServiceslanmanserver,在右面新建一个名为";maxworkitems";的DWORD值.然后双击该值,如果你的电脑有512以上内存,就设置为";1024";,如果小于512,就设置为256.6、查看“svchost”进程。 Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows 2000中Svchost.exe进程的数目为2个,而在Windows XP中Svchost.exe进程的数目就上升到了4个及4个以上。 Svchost.exe的键值是在“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost”,每个键值表示一个独立的Svchost.exe组。 微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的 *** 。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。 如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:WindowsSystem32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。 还有一种确认Svchost.exe是否中毒的 *** 是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。 上面简单的介绍了Svchost.exe进程的相关情况。总而言之,Svchost.exe是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。 7、把网卡、显卡、声卡卸载,然后重新安装一下驱动。 8、重装系统、常用软件、当然也要装驱动。用几天看一下,若不会出现这种问题,再装上其他软件,但是更好是一个软件装完,先用几天。现会出现问题再接着装!特征:服务器正常CPU消耗应该在75%以下,而且CPU消耗应该是上下起伏的,出现这种问题的服务器,CPU会突然一直处100%的水平,而且不会下降。查看任务管理器,可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间,dllhost进程管理员在这种情况下,只好重新启动IIS服务,奇怪的是,重新启动IIS服务后一切正常,但可能过了一段时间后,问题又再次出现了。直接原因:有一个或多个ACCESS数据库在多次读写过程中损坏,微软的MDAC系统在写入这个损坏的ACCESS文件时,ASP线程处于BLOCK状态,结果其它线程只能等待,IIS被死锁了,全部的CPU时间都消耗在DLLHOST中。解决办法:安装“一流信息监控拦截系统”,使用其中的“首席文件检查官IIS健康检查官”软件,启用”查找死锁模块”,设置:--wblock=yes监控的目录,请指定您的主机的文件所在目录:--wblockdir=d: est监控生成的曰志的文件保存位置在安装目录的log目录中,文件名为:logblock.htm停止IIS,再启动“首席文件检查官IIS健康检查官”,再启动IIS,“首席文件检查官IIS健康检查官”会在logblock.htm中记录下最后写入的ACCESS文件的。过了一段时间后,当问题出来时,例如CPU会再次一直处100%的水平,可以停止IIS,检查logblock.htm所记录的最后的十个文件,注意,最有问题的往往是计数器类的ACCESS文件,例如:”**COUNT.MDB”,”**COUNT.ASP”,可以先把最后十个文件或有所怀疑的文件删除到回收站中,再启动IIS,看看问题是否再次出现。我们相信,经过仔细的查找后,您肯定可以找到这个让您操心了一段时间的文件的。找到这个文件后,可以删除它,或下载下来,用ACCESS2000修复它,问题就解决了。要通过进程列表查看系统是否染毒,必须打开当前的执行程序进程列表,Microsoft的每种系统都有相应的打开 *** ,但能够显示的能力却因(系统)不同,有所差异:Windows任务管理器下的进程列表1.Windows 98 /Me系统打开系统进程的方式很简单,快捷键“Ctrl+Alt+Delete”,这个窗口大家应该比较熟悉,使用Windows系统的用户都知道用这个 *** 来关闭程序,不过它同样用于显示系统进程,只是Windows98系统较初级,对进程的显示局限于名称,且里面所显示的还有打开的文件及目录名,查看时易混淆。WindowsMe的进程打开方式和Windows 98相同。Windows 9X系统打开的进程列表混乱且不完全,显然不便于查看系统的具体进程状况,所以建议使用一些工具程序来为Windows 9x系统显示进程,如“Windows优化大师”,在“优化大师”的“系统安全优化”项内打开“进程管理”,在图2所示的“Windows 进程管理”窗口内,可以详细查看当前计算机所运行的所有进程,及具体程序所在的位置,这样更方便完成后面要介绍的如何利用进程进行查毒、杀毒。2.Windows 2000/ XP/2003系统Windows 2000、Windows XP、Windows 2003打开进程窗口的方式与Windows 9x系统相同,只是三键后打开的是“Windows 任务管理器”窗口,需要选择里面的“进程”项。Windows 2000系统只显示具体进程的全名,占用的内存量;Windows XP、Windows 2003系统相比Windows 2000会显示该进程归属于那个用户下,如操作系统所必须的基础程序,会在后面的“用户名”内显示为“SYSTEM”,由用户另外开启的程序则用户名为当前的系统登录用户名。进程发现病毒在介绍具体的查毒和杀毒前,笔者先回答开篇提出的两个问题。为什幺杀毒软件并不能全面的查找和杀掉病毒?首先,病毒防火墙是通过对程序进行反汇编,然后与自己的病毒库进行对比来查找病毒,如果病毒较新,而杀毒软件又未能及时升级便不能识别病毒。 电脑蠕虫病毒袭击多台电脑。其次,杀毒软件在发现病毒后,如果是独立的可执行病毒程序,会选择直接删除的处理方式,而病毒如果被当作进程执行了,杀毒软件就无能为力了,因为它没有功能和权限先停止掉系统的这些进程,被当作进程执行的程序是不能被删除的(这也是大家在删除一个程序时,提示该程序正在被使用不能删除的原因)。所以在使用杀毒软件杀毒时,才会有杀毒完成后,又出现病毒提示的原因。 由前面的知识介绍可知,Windows 9X和Windows2000系统只能显示进程的名称,这对判断该进程是否是病毒还不够,如果要准确的断定病毒,更好使用前面介绍的“Windows优化大师”来查看进程程序的源路径。如果是“C:Windowssystem”下的一些未知的“EXE”那便极有病毒的可能性了。Windows XP和Windows 2003系统,进程后会有“用户名”的显示,病毒是不可能获得“SYSTEM”权限的,所以应注意“用户名”是当前登录用户的进程,一旦发现是病毒,可以立即“杀掉”。这里介绍两个技巧:1.发现可疑进程后,利用Windows的查找功能,查找该进程所在的具体路径,通过路径可以知道该进程是否合法,譬如由路径“C:Program Files3721assistse.exe”知道该程序是3721的进程,是合法的。2.在对进程是否病毒拿不定主意时,可以复制该进程的全名,如:“xxx.exe”到googl.com或baidu.com这样的全球搜查引擎上进行搜查,如果是病毒会有相关的介绍网页。确定了该进程是病毒,首先应该杀掉该进程,对于Windows 9x系统,选中该进程后,点击下面的“结束任务”按钮,Windows2000、Windows XP、Windows 2003系统则在进程上单击右键在弹出菜单上选择“结束任务”。“杀掉”进程后找到该进程的路径删除掉即可,完成后更好在进行一次杀毒,这样就万无一失了。在win.ini文件中,在[Windows]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什幺都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE。这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Batteryv1.0木马”,它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer 键值改为Explorer=“C:Windowsexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,更好的办法就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马该病毒也称为“Code Red II(红色代码2)”病毒,与早先在西方英文系统下流行“红色代码”病毒有点相反,在国际上被称为VirtualRoot(虚拟目录)病毒。该蠕虫病毒利用Microsoft已知的溢出漏洞,通过80端口来传播到其它的Web页服务器上。受感染的机器可由黑客们通过Http Get的请求运行scripts/root.exe来获得对受感染机器的完全控制权。当感染一台服务器成功了以后,如果受感染的机器是中文的系统后,该程序会休眠2天,别的机器休眠1天。当休眠的时间到了以后,该蠕虫程序会使得机器重新启动。该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年,如果是,受感染的服务器也会重新启动。当Windows NT系统启动时,NT系统会自动搜索C盘根目录下的文件explorer.exe,受该 *** 蠕虫程序感染的服务器上的文件explorer.exe也就是该 *** 蠕虫程序本身。该文件的大小是8192字节,VirtualRoot *** 蠕虫程序就是通过该程序来执行的。同时,VirtualRoot *** 蠕虫程序还将cmd.exe的文件从Windows NT的system目录拷贝到别的目录,给黑客的入侵敞开了大门。它还会修改系统的注册表项目,通过该注册表项目的修改,该蠕虫程序可以建立虚拟的目录C或者D,病毒名由此而来。值得一提的是,该 *** 蠕虫程序除了文件explorer.exe外,其余的操作不是基于文件的,而是直接在内存中来进行感染、传播的,这就给捕捉带来了较大难度。程序的文件名,再在整个注册表中搜索即可。我们先看看微软是怎样描述svchost.exe的。在微软知识库314056中对svchost.exe有如下描述:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。其实svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个,而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个svchost.exe不用那幺担心。svchost.exe到底是做什么用的呢?首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那svchost.exe在这中间是担任怎样一个角色呢?svchost.exe的工作就是作为这些服务的宿主,即由svchost.exe来启动这些服务。svchost.exe只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。svchost.exe是病毒这种说法是如何产生的呢?因为svchost.exe可以作为服务的宿主来启动服务,所以病毒、木马的编写者也挖空心思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。如何才能辨别哪些是正常的svchost.exe进程,而哪些是病毒进程呢?svchost.exe的键值是在“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost”,每个键值表示一个独立的svchost.exe组。微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的 *** 。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist/svc。系统列出如图2所示的服务列表。图2中红框包围起来的区域就是svchost.exe启动的服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:WindowsSystem32”目录下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话,那很可能就是中毒了。还有一种确认svchost.exe是否中毒的 *** 是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。上面简单的介绍了svchost.exe进程的相关情况。总而言之,svchost.exe是一个系统的核心进程,并不是病毒进程。但由于svchost.exe进程的特殊性,所以病毒也会千方百计的入侵svchost.exe。通过察看svchost.exe进程的执行路径可以确认是否中毒。Services.exe造成CPU使用率占用100%症状在基于 Windows 2000 的计算机上,Services.exe中的 CPU 使用率可能间歇性地达到100 %,并且计算机可能停止响应(挂起)。出现此问题时,连接到该计算机(如果它是文件服务器或域控制器)的用户会被断开连接。您可能还需要重新启动计算机。如果 Esent.dll 错误地处理将文件刷新到磁盘的方式,则会出现此症状。解决方案Microsoft 提供了受支持的修补程序,但该程序只是为了解决本文所介绍的问题。只有计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其它一些测试。因此,如果这个问题没有对您造成严重的影响,Microsoft 建议您等待包含此修补程序的下一个 Windows 2000Service Pack。要立即解决此问题,请与“Microsoft 产品支持服务”联系,以获取此修补程序。有关“Microsoft 产品支持服务” *** 号码和支持费用信息的完整列表,请访问 Microsoft Web 站点:注意 :特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题,可免收通常情况下收取的 *** 支持服务费用。对于特定更新程序无法解决的其它支持问题和事项,将正常收取支持费用。下表列出了此修补程序的全球版本的文件属性(或更新的属性)。这些文件的曰期和时间按协调通用时间 (UTC) 列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“曰期和时间”工具中的时区 选项卡。状态Microsoft 已经确认这是在本文开头列出的Microsoft 产品中存在的问题。此问题最初是在 Microsoft Windows 2000Service Pack 4 中更正的。explorer.exe进程造成CPU使用率占用100%在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Batteryv1.0木马”,它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer 键值改为Explorer=“C:Windowsexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,更好的办法就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索即可。超线程导致CPU使用率占用100% 这类故障的共同原因就是都使用了具有超线程功能的P4 CPU。我查找了一些资料都没有明确的原因解释。据一些网友总结超线程似乎和天网防火墙有冲突,可以通过卸载天网并安装其它防火墙解决,也可以通过在BIOS中关闭超线程功能解决。AVI视频文件造成CPU使用率占用100%在Windows XP中,单击一个较大的AVI视频文件后,可能会出现系统假死现象,并且造成exploere.exe进程的使用率100%,这是因为系统要先扫描该文件,并检查文件所有部分,建立索引。如果文件较大就会需要较长时间并造成CPU占用率100%。解决 *** :右键单击保存视频文件的文件夹,选择”属性—常规—高级“,去掉”为了快速搜索,允许索引服务编制该文件夹的索引“前面复选框的对钩即可。处理较大的Word文件时CPU使用率过高上述问题一般还会造成电脑假死,这些都是因为WORD的拼写和语法检查造成的,只要打开WORD的“工具—选项”,进入“拼写和语法”选项卡,将其中的“键入时检查拼写”和“键入时检查语法”两项前面的复选框中的钩去掉即可。正常软件造成CPU使用率占用100%首先,如果是从开机后就发生上述情况直到关机。那幺就有可能是由某个随系统同时登陆的软件造成的。可以通过运行输入“msconfig”打开“系统实用配置工具”,进入“启动”选项卡。接着,依次取消可疑选项前面的对钩,然后重新启动电脑。反复测试直到找到造成故障的软件。或者可以通过一些优化软件如“优化大师”达到上述目的。另:如果键盘内按键卡住也可能造成开机就出现上述问题。
更多最新硬件资讯请访问:中关村在线-首页
更多的最新CPU产品信息请访问:中关村在线-CPU专区
更多硬件技术支持请访问:中关村在线-硬件论坛希望以上信息对你的问题有所帮助。
怎样才能知道自己的电脑被远程控制了?
现在一般被远程操控的可能性很小,被远程操控时,鼠标或者电脑反应变慢,当前用户可能被踢掉。
具体查看 *** :
1、打开任务管理器快捷键:ctrl+alt+del
2、点击用户选单:里边列出了此刻电脑里边所有的用户。
3、如果看到不只是你所登录的,可以确定是有远程登录了。
4、如果是开了 *** 远程的话,查看一下是那个好友控制了你的电脑。
5、如果是恶意控制的话,就用防毒软件测试,再不行的直接关机。
扩展资料
如果不想开启远程服务可以关闭了电脑的这项功能:
1、点击我的电脑右键属性。
2、点击远程设置。
3、允许远程协助连接这台计算机的选项,不要打勾。
远程技术支持
远距离的技术支持必须依赖技术人员和用户之间的 *** 交流来进行,这种交流既耗时又容易出错。远程控制技术,技术人员就可以远程控制用户的电脑,就像直接操作本地电脑一样,只需要用户的简单帮助就可以得到该机器存在的问题的之一手材料,很快就可以找到问题的所在,并加以解决。
远程交流
利用远程技术,商业公司可以实现和用户的远程交流,采用交互式的教学模式,通过实际操作来培训用户,使用户从技术支持专业人员那里学习示例知识变得十分容易。
而教师和学生之间也可以利用这种远程控制技术实现教学问题的交流,学生可以不用见到老师,就得到老师手把手的辅导和讲授。学生还可以直接在电脑中进行习题的演算和求解,在此过程中,教师能够轻松看到学生的解题思路和步骤,并加以实时的指导。
PLC 和PLD分别表示什么?他们之间有什么关系??
1、"PLD"-可编程逻辑器件:
它是做为一种通用集成电路生产的,逻辑功能按照用户对器件编程来设计。
目前使用的PLD产品主要有:
①现场可编程逻辑阵列FPLA。
②可编程阵列逻辑PAL。
③通用阵列逻辑GAL。
④可擦除的可编程逻辑器件EPLD。
⑤现场可编程门阵列FPGA.其中EPLD和FPGA的集成度比较高。有时又把这两种器件称为高密度PLD。
2、"PLC"-可编程逻辑控制器:
是一种专门为在工业环境下应用而设计的数字运算操作的电子装置。
它采用可以编制程序的存储器,用来在其内部存储执行逻辑运算、顺序运算、计时、计数和算术运算等操作的指令,并能通过数字式或模拟式的输入和输出,控制各种类型的机械或生产过程。
PLC及其有关的外围设备都应该按易于与工业控制系统形成一个整体,易于扩展其功能的原则而设计。
3、PLC 和PLD的关系:PLC可编程控制器也是计算机家族中的一员,它是为工业控制应用而设计制造的 。
扩展资料:
1、PLC 工作原理:
当可编程逻辑控制器投入运行后,其工作过程一般分为三个阶段,即输入采样、用户程序执行和输出刷新三个阶段。完成上述三个阶段称作一个扫描周期。在整个运行期间,可编程逻辑控制器的CPU以一定的扫描速度重复执行上述三个阶段。
①输入采样:
在输入采样阶段,可编程逻辑控制器以扫描方式依次地读入所有输入状态和数据,并将它们存入I/O映象区中的相应的单元内。输入采样结束后,转入用户程序执行和输出刷新阶段。在这两个阶段中,即使输入状态和数据发生变化,I/O映象区中的相应单元的状态和数据也不会改变。
因此,如果输入是脉冲信号,则该脉冲信号的宽度必须大于一个扫描周期,才能保证在任何情况下,该输入均能被读入。
②用户程序执行:
在用户程序执行阶段,可编程逻辑控制器总是按由上而下的顺序依次地扫描用户程序(梯形图)。
在扫描每一条梯形图时,又总是先扫描梯形图左边的由各触点构成的控制线路,并按先左后右、先上后下的顺序对由触点构成的控制线路进行逻辑运算,然后根据逻辑运算的结果,刷新该逻辑线圈在系统RAM存储区中对应位的状态。
或者刷新该输出线圈在I/O映象区中对应位的状态;或者确定是否要执行该梯形图所规定的特殊功能指令。
③输出刷新:
当扫描用户程序结束后,可编程逻辑控制器就进入输出刷新阶段。在此期间,CPU按照I/O映象区内对应的状态和数据刷新所有的输出锁存电路,再经输出电路驱动相应的外设。这时,才是可编程逻辑控制器的真正输出。
2、PLD分类:
①按集成度划分:
(1)低集成度芯片。早起出现的PROM、PAL、可重复编程的GAL都属于这类,可重构使用的逻辑门数大约在500门以下,称为简单PLD。
(2)高集成度芯片。如现在大量使用的CPLD、FPGA器件,称为复杂PLD。
②按结构划分:
(1)乘积项结构器件。其基本结构为“与-或”阵列的器件,大部分简单PLD和CPLD都属于这个范畴。
(2)查找表结构器件。由简单的查找表组成可编程门,再构成阵列形式。大多数FPGA是属于此类器件。
③按编程工艺划分:
(1)熔丝型器件。早期的PROM器件就是采用熔丝结构的,编程过程是根据设计的熔丝图文件来烧断对应的熔丝,达到编程和逻辑构建的目的。
(2)反熔丝型器件。是对熔丝技术的改进,在编程处通过击穿漏层使得两点之间获得导通,这与熔丝烧断获得开路正好相反。
(3)EPROM型。称为紫外线擦除电可编程逻辑器件,是用较高的编程电压进行编程,当需要再次编程时,用紫外线进行擦除。
(4)EEPROM型。即电可擦写编程软件,现有部分CPLD及GAL器件采用此类结构。它是对EPROM的工艺改进,不需要紫外线擦除,而是直接用电擦除。
(5)SRAM型。即SRAM查找表结构的器件,大部分FPGA器件都采用此种编程工艺,如Xilinx和Altera的FPGA器件。
这种方式在编程速度、编程要求上要优于前四种器件,不过SRAM型器件的编程信息存放在RAM中,在断电后就丢失了,再次上电需要再次编程(配置),因而需要专用的器件来完成这类配置操作。
(6)Flash型。Actel公司为了解决上述反熔丝器件的不足之处,推出了采用Flash工艺的FPGA,可以实现多次可编写,同时做到掉电后不需要重新配置,现在Xilinx和Altera的多个系列CPLD也采用Flash型。
参考资料:百度百科-可编程逻辑控制器
百度百科-PLD
特洛伊木马攻防介绍
木马程序用“瞒天过海”或“披着羊皮的狼”之类的词来形容这类程序一点也不为过,直截了当的说法是木马有两个程序,一个是服务器程序,一个是控制器程序,当你的电脑运行了服务器程序后下面由我给你做出详细的特洛伊密码攻防介绍!希望对你有帮助!
特洛伊木马攻防介绍:
特洛伊木马是什么:
一个木马要工作,那麽其服务器程序必须在目标上运行,没有人会主动要求去运行它,但是会有这麽一天,有人对你抱以和善的微笑说,"我这有一个好游戏""我有漂亮的MM屏保和你分享一下"等等,当你打开这些所谓的程序时,一个宿主程序已经悄悄潜入你的机子,之一步就这样完成了,这完全是我们疏于防范造成的.
然后,木马一般会在以下三个地方安营扎寨:注册表、win.ini、system.ini,因为电脑启动的时候,需要装载这三个文件,大部分木马是使用这三种方式启动的.也有捆绑方式启动的,木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上,可以捆绑到启动程序上,也可以捆绑到一般程序的常用程序上.如果捆绑到一般的程序上,启动是不确定的,这要看目标电脑主人了,如果他不运行,木马就不会进入内存.捆绑方式是一种手动的安装方式,一般捆绑的是非自动方式启动的木马.非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马由很强的隐蔽性.
木马的服务器程序文件一般位置是在c:\windows和c:\windows\system中,为什么要在这两个目录下,因为windows的一些系统文件在这两个位置,如果你误删了文件,你的电脑可能崩溃,你不得不重新安装系统.
木马的文件名更是一种学问,木马的文件名尽量和windows的系统文件接近,这样你就会弄糊涂了,比如木马SubSeven 1.7版本的服务器文件名是c:\windows\KERNEL16.DL,而windows由一个系统文件是c:\windows\KERNEL32.DLL,他们之差一点点,但是删错了的话,结果可大不相同的哦,删除KERNEL32.DLL会让你死翘翘的哦.再比如,木马phAse 1.0版本,生成的木马是C:\WINDOWS\System\Msgsrv32.exe,愣是和windows的系统文件C:\WINDOWS\System\Msgsrv32.exe一模一样,只是图标有点两样,你可不要删错了哦.上面两个是假扮系统文件的类型,我们再来看看无中生有的类型,木马SubSeven 1.5版本服务器文件名是c:\windows\window.exe,看清楚了哦,少一个s的哦,如果不告诉你这是木马,你有胆子删吗?
但是木马有一个致命的缺点,相对固定的端口,黑客要进入你的电脑,必须要有通往你电脑的途径,也就是说,木马必须打开某个端口,大家叫这个端口为“后门”,木马也叫“后门工具”.这个不得不打开的后门是很难隐蔽的,只能采取混淆的办法,很多木马的端口是固定的,让人一眼就能看出是什么样的木马造成的.所以,端 口号 可以改变,这是一种混淆的办法.我们知道7306是木马netspy的,木马SUB7可以改变端口号,SUB7默认的端口是1243,但是如果把1243端口改成了7306呢,呵呵,一定会把目标电脑的主人弄混淆了.有些人会问,要是这个端口会自动改变那该多好呀,每次上网端口号自动改变,呵呵,真聪明,可惜聪明过头了.比如,真有这样的木马装在我的电脑上,每次上网的端口均会改变,你是黑客,你打算怎么进入我的电脑呢?你知道这个木马现在开放的端口号是多少吗?想扫描我的电脑?端口一共有6万多个,你什么时候扫描完毕?半个小时,呵呵,我早发现了,早把你炸死了.即使我是菜鸟一个,你这样高速度扫描我的电脑,也会导致我的电脑通讯阻塞,谁会在网速非常慢的情况下在 *** 上待半个小时?所以,这基本上是不太可能的事情.
木马有很强的隐蔽性,在WINDOWS中,如果某个程序出现异常,用正常的手段不能退出的时候,采取的办法时按“Ctrl+Alt+Del"键,跳出一个窗口,找到需要终止的程序,然后关闭它.早期的木马会在按“Ctrl+Alt+Del"显露出来,现在大多数木马已经看不到了.所以只能采用内存工具来看内存中时候存在木马.
木马还具有很强潜伏的能力,表面上的木马被发现并删除以后,后备的木马在一定的条件下会跳出来.这种条件主要是目标电脑主人的操作造成的.我们先来看一个典型的例子:木马Glacier(冰河1.2正式版)现在已经升级到3.0版, 这个木马有两个服务器程序,C:\WINDOWS\SYSTEM\Kernel32.exe挂在注册表的启动组中,当电脑启动的时候,会装入内存,这是表面上的木马.另一个是C:\WINDOWS\SYSTEM\Sysexplr.exe,也在注册表中,它修改了文本文件的关联,当你点击文本文件的时候,它就启动了,它会检查Kernel32.exe是不是存在,如果存在的话,什么事情也不做.当表面上的木马Kernel32.exe被发现并删除以后,目标电脑的主人可能会觉得自己已经删除木马了,应该是安全的了.如果目标电脑的主人在以后的日子中点击了文本文件,那么这个文件文件照样运行,而Sysexplr.exe被启动了.Sysexplr.exe会发现表面上的木马Kernel32.exe已经被删除,就会再生成一个Kernel32.exe,于是,目标电脑以后每次启动电脑木马又被装上了.
说了这麽多,是不是感到很恐怖,很上火,别着急,清凉解暑药马上就到.
特洛伊密码攻防办法:
特洛伊密码攻防办法 1.必须提高防范意识,不要打开陌生人信中的附件,哪怕他说的天花乱坠,熟人的也要确认一下来信的原地址是否合法.
特洛伊密码攻防办法 2.多读readme.txt.许多人出于研究目的下载了一些特洛伊木马程序的软件包,在没有弄清软件包中几个程序的具体功能前,就匆匆地执行其中的程序,这样往往就错误地执行了服务器端程序而使用户的计算机成为了特洛伊木马的牺牲品.软件包中经常附带的readme.txt文件会有程序的详细功能介绍和使用说明,尽管它一般是英文的,但还是有必要先阅读一下,如果实在读不懂,那更好不要执行任何程序,丢弃软件包当然是最 保险 的了.有必要养成在使用任何程序前先读readme.txt的好习惯.
值得一提的是,有许多程序说明做成可执行的readme.exe形式,readme.exe往往捆绑有病毒或特洛伊木马程序,或者干脆就是由病毒程序、特洛伊木马的服务器端程序改名而得到的,目的就是让用户误以为是程序 说明文 件去执行它,可谓用心险恶.所以从互联网上得来的readme.exe更好不要执行它.
特洛伊密码攻防办法 3.使用杀毒软件.现在国内的杀毒软件都推出了清除某些特洛伊木马的功能,如KV300、KILL98、瑞星等等,可以不定期地在脱机的情况下进行检查和清除.另外,有的杀毒软件还提供 *** 实时监控功能,这一功能可以在黑客从远端执行用户机器上的文件时,提供报警或让执行失败,使黑客向用户机器上载可执行文件后无法正确执行,从而避免了进一步的损失,但是要记住,它不是万能的.
特洛伊密码攻防办法 4.立即挂断.尽管造成上网速度突然变慢的原因有很多,但有理由怀疑这是由特洛伊木马造成的,当入侵者使用特洛伊的客户端程序访问你的机器时,会与你的正常访问抢占宽带,特别是当入侵者从远端下载用户硬盘上的文件时,正常访问会变得奇慢无比.这时,你可以双击任务栏右下角的连接图标,仔细观察一下“已发送字节”项,如果数字变化成1~3kbps(每秒1~3千字节),几乎可以确认有人在下载你的硬盘文件,除非你正在使用ftp功能.对TCP/IP端口熟悉的用户,可以在“MS-DOS方式”下键入“netstat-a"来观察与你机器相连的当前所有通信进程,当有具体的IP正使用不常见的端口(一般大于1024)与你通信时,这一端口很可能就是特洛伊木马的通信端口.当发现上述可疑迹象后,你所能做的就是:立即挂断,然后对硬盘有无特洛伊木马进行认真的检查.
特洛伊密码攻防办法 5.观察目录.普通用户应当经常观察位于c:\、c:\windows、c:\windows\system这三个目录下的文件.用“记事本”逐一打开c:\下的非执行类文件(除exe、bat、com以外的文件),查看是否发现特洛伊木马、击键程序的记录文件,在c:\Windows或c:\Windows\system下如果有光有文件名没有图标的可执行程序,你应该把它们删除,然后再用杀毒软件进行认真的清理.
特洛伊密码攻防办法 6.在删除木马之前,最最重要的一项工作是备份,需要备份注册表,防止系统崩溃,备份你认为是木马的文件,如果不是木马就可以恢复,如果是木马你就可以对木马进行分析.不同的不马有不同的清除 *** ,由于涉及面太大,这里就不详述了.
0条大神的评论