计算机安全 - 恶意软件

在上一章中，我们讨论了帮助我们保护系统的防病毒软件，但在本章中，我们将讨论恶意软件，如何手动检测它们，它们的形式是什么，它们的文件扩展名是什么，受感染计算机的迹象等。它们很重要，因为现在企业和个人计算机的感染率太高了。

它们是自我复制程序，通过将自身附加到其他可执行代码来复制自己的代码。它们在没有计算机用户许可或知情的情况下运行。病毒或恶意软件就像在现实生活中一样，在计算机中它们会污染其他健康文件。

但是，我们应该记住，病毒只有在计算机用户的帮助下才能感染外部机器。这些可以通过单击来自未知人员的电子邮件附带的文件、插入未扫描的 USB、出于这个原因打开不安全的 URL 来实现。作为系统管理员，我们必须删除这些计算机中用户的管理员权限。我们将恶意软件分为三类 −

• 木马和 Rootkit
• 病毒
• 蠕虫

病毒的特征

以下是感染我们计算机的任何病毒的几个特征。

• 它们驻留在计算机的内存中，并在附加的程序开始运行时自行激活。

  例如 −它们通常将自身附加到 Windows 操作系统中的 explorer.exe 上，因为该进程一直在运行，因此当该进程开始消耗过多计算机容量时，您应该小心谨慎。

• 它们在感染阶段后会自我修改，例如源代码、扩展、新文件等，因此防病毒软件更难检测到它们。

• 它们总是试图通过以下方式将自身隐藏在操作系统中 −

  • 将自身加密为神秘符号，并在复制或执行时解密。

    例如 −为了更好地理解，您可以在下图中看到这一点，因为我在我的电脑中找到了此文件。

找到此文件后，我用文本编辑器打开它，但我认为文本无法理解，如以下屏幕截图所示。

找到这个后，我在 base64 解码器上尝试了它，发现它是一个病毒文件。

此病毒可能会对您的计算机造成以下影响 −

• 它可能会从您的计算机中删除重要数据，以为其文件腾出空间进程。

• 它可以通过重定向磁盘数据来避免检测。

• 它可以通过触发自身事件来执行任务。例如，当受感染的计算机弹出表格等自动显示在屏幕上时，就会发生这种情况。

• 它们在 Windows 和 Mac OS 中很常见，因为这些操作系统没有多个文件权限，而且分布更广。

恶意软件的工作过程以及如何清除它

恶意软件利用某些事件将自己附加到程序上并传输到其他程序，它们需要这些事件发生，因为它们不能−

• 自行启动
• 使用不可执行文件进行自我传输
• 感染其他网络或计算机

从以上结论中，我们应该知道，当一些不寻常的进程或服务自行运行时，我们应该进一步调查它们与可能的病毒的关系。调查过程如下−

要调查这些过程，请从使用以下工具开始 −

• fport.exe
• pslist.exe
• handle.exe
• netstat.exe

Listdll.exe 显示所有正在使用的 dll 文件，而 netstat.exe 及其变量显示正在使用其各自端口运行的所有进程。

您可以看到以下示例，了解我如何映射卡巴斯基防病毒软件的进程，我将其与命令 netstat-ano 一起使用以查看进程编号，并使用任务管理器查看哪个进程属于此编号。

然后，我们应该查找任何 修改、替换或删除的文件，还应该检查 共享库。它们通常会感染扩展名为 .EXE、.DRV、.SYS、.COM、.BIN 的可执行程序文件。恶意软件会更改真实文件的扩展名，例如：File.TXT 更改为 File.TXT.VBS。

如果您是网络服务器的系统管理员，那么您应该注意另一种称为 webshel​​l 的恶意软件。它通常采用 .php 扩展名，但文件名很奇怪，并且采用加密形式。如果检测到它们，则应将其删除。

完成后，我们应该更新防病毒程序并再次重新扫描计算机。

检测病毒感染导致的计算机错误

在本节中，我们将讨论如何检测病毒导致的计算机或操作系统故障，因为有时人们和系统管理员会混淆症状。

以下事件很可能不是由恶意软件引起的 −

• 系统在 bios 阶段启动时出错，例如 bios 的电池单元显示、计时器错误显示。
• 硬件错误，如哔哔声、RAM 烧坏、HDD 等。
• 如果文档无法正常启动（如文件损坏），但其他文件可以正常打开。
• 键盘或鼠标不响应您的命令，您必须检查插件。
• 显示器频繁打开和关闭，例如闪烁或振动，这是硬件故障。

另一方面，如果您的系统出现以下迹象，则应检查是否存在恶意软件。

• 您的计算机显示弹出窗口或错误表。

• 经常冻结。

• 程序或进程启动时速度变慢。

• 第三方抱怨他们在社交媒体或电子邮件中收到您的邀请。

• 文件扩展名发生变化或文件未经您的同意添加到您的系统中。

• 即使您的互联网速度非常好，Internet Explorer 也会经常冻结。

• 从计算机机箱上的 LED 灯可以看出，您的硬盘大部分时间都在被访问。

• 操作系统文件已损坏或丢失。

• 如果您的计算机消耗了太多带宽或网络资源，则表明存在计算机蠕虫。

• 硬盘空间始终被占用，即使您没有采取任何操作，例如安装新程序。

• 与原始版本相比，文件和程序大小发生变化。

避免病毒的一些实用建议 −

• 不要打开来自陌生人或知名人士的任何包含可疑文本的电子邮件附件。
• 不要接受社交媒体上陌生人的邀请。
• 不要打开陌生人或知名人士发送的任何奇怪形式的 URL。

病毒信息

如果您发现了病毒，但想进一步调查其功能。我建议您查看这些病毒数据库，它们通常由防病毒供应商提供。

• 卡巴斯基病毒数据库 − (http://www.kaspersky.com/viruswatchlite?hour_offset=-1)

• F-Secure − (https://www.f-secure.com/en/web/labs_global/threat-descriptions)

• 赛门铁克 – 病毒百科全书 − (https://www.symantec.com/security_response/landing/azlisting.jsp)