- 計算機安全教程
- 計算機安全 - 首頁
- 計算機安全 - 概述
- 計算機安全 - 要素
- 計算機安全 - 術語
- 計算機安全 - 層級
- 計算機安全 - 作業系統安全
- 計算機安全 - 防病毒軟體
- 計算機安全 - 惡意軟體
- 計算機安全 - 加密
- 計算機安全 - 資料備份
- 災難恢復
- 計算機安全 - 網路
- 計算機安全 - 策略
- 計算機安全 - 檢查清單
- 法律合規性
- 計算機安全有用資源
- 計算機安全 - 快速指南
- 計算機安全 - 資源
- 計算機安全 - 討論
計算機安全 - 惡意軟體
在上一章中,我們討論了防病毒軟體,它幫助我們保護系統。但在本章中,我們將討論惡意軟體,如何手動檢測它們,它們的形態,副檔名,感染計算機的跡象等。它們很重要,因為現在企業和個人電腦的感染率太高了。
它們是自我複製程式,透過將自身附加到其他可執行程式碼來複制自己的程式碼。它們在未經計算機使用者許可或不知情的情況下執行。就像現實生活中的病毒或惡意軟體一樣,在計算機中,它們會汙染其他健康檔案。
但是,我們應該記住,病毒只能在計算機使用者的協助下感染外部機器。這可以透過點選來自陌生人的電子郵件附件,插入未掃描的 USB 裝置,開啟不安全的 URL 等方式發生。作為系統管理員,我們必須刪除這些計算機上使用者的管理員許可權。我們將惡意軟體分為三種類型:
- 木馬和Rootkit
- 病毒
- 蠕蟲
病毒的特徵
以下是感染我們計算機的任何病毒的一些特徵。
它們駐留在計算機的記憶體中,並在附加的程式開始執行時啟用自身。
例如 - 它們通常附加到 Windows 作業系統中的explorer.exe,因為它是一個始終執行的程序,因此當此程序開始消耗太多計算機資源時,您應該謹慎。
在感染階段後,它們會修改自身,例如原始碼、副檔名、新檔案等,因此防病毒軟體更難檢測到它們。
它們始終試圖透過以下方式隱藏在作業系統中:
將自身加密為神秘符號,並在複製或執行時解密自身。
例如 - 您可以在以下影像中檢視以更好地理解,因為在我的計算機上我發現了此檔案。
找到此檔案後,我用文字編輯器開啟它,正如預期的那樣,文字不可理解,如下面的螢幕截圖所示。
發現這一點後,我嘗試使用 base64 解碼器對其進行解碼,發現它是一個病毒檔案。
此病毒可能對您的計算機造成以下影響:
它可能會刪除計算機中的重要資料以獲取其程序的空間。
它可能會透過重定向磁碟資料來避免檢測。
它可以透過觸發自身事件來執行任務。例如,當感染的計算機上彈出表格等自動顯示在螢幕上時,就會發生這種情況。
它們在 Windows 和 Mac OS 中很常見,因為這些作業系統沒有多個檔案許可權並且分佈更廣。
惡意軟體的工作流程以及如何清理它
惡意軟體會將自身附加到程式,並透過利用某些事件傳播到其他程式,它們需要這些事件發生,因為它們無法:
- 自行啟動
- 使用不可執行檔案傳播自身
- 感染其他網路或計算機
從以上結論中,我們應該知道,當某些不尋常的程序或服務自行執行時,我們應該進一步調查它們與可能存在的病毒的關係。調查過程如下:
要調查這些程序,請從使用以下工具開始:
- fport.exe
- pslist.exe
- handle.exe
- netstat.exe
Listdll.exe 顯示所有正在使用的dll 檔案,而netstat.exe及其變數顯示所有正在執行的程序及其各自的埠。
您可以檢視以下示例,瞭解我如何對映我使用的 Kaspersky 防病毒軟體的程序,以及如何使用netstat -ano命令檢視程序號,以及使用任務管理器檢視此編號屬於哪個程序。
然後,我們應該查詢任何修改、替換或刪除的檔案,並且還應檢查共享庫。它們通常會感染副檔名為.EXE、.DRV、.SYS、.COM、.BIN的可執行程式檔案。惡意軟體會更改真實檔案的副檔名,例如:File.TXT 更改為 File.TXT.VBS。
如果您是 Web 伺服器的系統管理員,則應該注意另一種稱為Webshell的惡意軟體。它通常以 .php 副檔名存在,但具有奇怪的檔名並以加密形式存在。如果檢測到它們,您應該刪除它們。
完成此操作後,我們應該更新防病毒程式並再次掃描計算機。
從病毒感染中檢測計算機錯誤
在本節中,我們將討論如何從病毒中檢測計算機或作業系統的故障,因為有時人們和系統管理員會混淆這些症狀。
以下事件很可能不是由惡意軟體引起的:
- 系統在 BIOS 階段啟動時出錯,例如 BIOS 電池單元顯示、計時器錯誤顯示。
- 硬體錯誤,例如蜂鳴聲、RAM 燒燬、HDD 等。
- 如果文件無法正常啟動,例如損壞的檔案,但其他檔案可以正常開啟。
- 鍵盤或滑鼠無法響應您的命令,您需要檢查外掛。
- 顯示器頻繁開關,例如閃爍或振動,這是硬體故障。
另一方面,如果您的系統出現以下跡象,則應檢查是否存在惡意軟體。
您的計算機顯示彈出視窗或錯誤表格。
經常凍結。
在程式或程序啟動時速度變慢。
第三方抱怨他們透過您在社交媒體或透過電子郵件收到邀請。
副檔名更改出現或未經您同意將檔案新增到您的系統中。
即使您的網際網路速度非常快,Internet Explorer 也經常凍結。
您的硬碟大部分時間都在訪問,您可以從計算機機箱上的 LED 指示燈看到。
作業系統檔案已損壞或丟失。
如果您的計算機消耗了過多的頻寬或網路資源,則這是計算機蠕蟲的情況。
硬碟空間始終被佔用,即使您沒有執行任何操作,例如安裝新程式。
與原始版本相比,檔案和程式大小發生了變化。
一些避免病毒的實用建議 -
- 不要開啟來自陌生人或來自包含可疑文字的熟人的任何電子郵件附件。
- 不要接受社交媒體上來自陌生人的邀請。
- 不要開啟來自陌生人或以任何奇怪形式出現的熟人的 URL。
病毒資訊
如果您發現病毒但想進一步調查其功能。我建議您檢視這些病毒資料庫,這些資料庫通常由防病毒軟體供應商提供。
卡巴斯基病毒資料庫 - (http://www.kaspersky.com/viruswatchlite?hour_offset=-1)
F-Secure - (https://www.f-secure.com/en/web/labs_global/threat-descriptions)
賽門鐵克 - 病毒百科全書 - (https://www.symantec.com/security_response/landing/azlisting.jsp)