病毒基础.docx

1、病毒基础第一：进程是什么 进程为应用程序的运行实例，是应用程序的一次动态执行。看似高深，我们可以简单地理解为：它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括：系统管理计算机个体和完成各种操作所必需的程序；用户开启、执行的额外程序，当然也包括用户不知道，而自动运行的非法程序（它们就有可能是病毒程序）。 危害较大的可执行病毒同样以“进程”形式出现在系统内部（一些病毒可能并不被进程列表显示，如“宏病毒”），那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。 第二：什么是木马 木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机

2、成熟就出来害人。 传染方式:通过电子邮件附件发出，捆绑在其他的程序中. 病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。 木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。 防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开. 第三：什么是计算机病毒 计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓

3、延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。 除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、

4、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制, 具有传染性. 所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合. 第四：什么是蠕虫病毒 蠕虫病毒是计算机病毒的一种。它的传

5、染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。 蠕虫病毒的一般防治方法是：使用具有实时监控功能的杀毒软件，并且注意不要轻易打开不熟悉的邮件附件. 第五：什么是广告软件Adware广告软件（Adware）是指 未经用户允许，下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后，往往造成系统运行缓慢或系统异常。防治广告软件，应注意以下方面

6、 : 1、不要轻易安装共享软件或免费软件，这些软件里往往含有广告程序、间谍软件等不良软件，可能带来安全风险。 2、有些广告软件通过恶意网站安装，所以，不要浏览不良网站. 3、采用安全性比较好的网络浏览器，并注意弥补系统漏洞. 第六：什么是间谍软件Spyware 间谍软件（Spyware）是能够在使用者不知情的情况下，在用户电脑上安装后门程序的软件。 用户的隐私数据和重要信息会被那些后门程序捕获， 甚至这些 “后门程序” 还能使黑客远程操纵用户的电脑。 防治间谍软件，应注意以下方面 ： 1、不要轻易安装共享软件或“免费软件”，这些软件里往往含有广告程序、间谍软件等不良软件，可能带来安全风险。 2

7、、有些间谍软件通过恶意网站安装，所以，不要浏览不良网站。 3、采用安全性比较好的网络浏览器，并注意弥补系统漏洞. 第七：Dll文件是什么DLL是Dynamic Link Library的缩写，意为动态链接库。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件，放置于系统中。当我们执行某一个程序时，相应的DLL文件就会被调用。一个应用程序可有多个DLL文件，一个DLL文件也可能被几个应用程序所共用，这样的DLL文件被称为共享DLL文件。DLL文件一般被存放在C:WindowsSystem目录下。 1、如何了解某应用程序使用哪些DLL文件

8、 右键单击该应用程序并选择快捷菜单中的“快速查看”命令，在随后出现的“快速查看”窗口的“引入表”一栏中你将看到其使用DLL文件的情况。 2、如何知道DLL文件被几个程序使用 运行Regedit，进入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-ersionSharedDlls子键查看，其右边窗口中就显示了所有DLL文件及其相关数据，其中数据右边小括号内的数字就说明了被几个程序使用，（2）表示被两个程序使用，（0）则表示无程序使用，可以将其删除。 3、如何解决DLL文件丢失的情况有时在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序

9、的运行。所以当你卸载软件时，就有可能误删共享的DLL文件。一旦出现了丢失DLL文件的情况，如果你能确定其名称，可以在Sysbckup（系统备份文件夹）中找到该DLL文件，将其复制到System文件夹中。如果这样不行，在电脑启动时又总是出现“*dll文件丢失”的提示框，你可以在“开始/运行”中运行Msconfig，进入系统配置实用程序对话框以后，单击选择“System.ini”标签，找出提示丢失的DLL文件，使其不被选中，这样开机时就不会出现错误提示了。 rundll的功能是以命令列的方式呼叫Windows的动态链结库。 Rundll32.exe与Rundll.exe的区别就在于前者是呼叫32位

10、的链结库，后者是用于16位的链结库。rundll32.exe是专门用来调用dll文件的程序。 如果用的是Win98，rundll32.exe一般存在于Windows目录下； 如果用的WinXP，rundll32.exe一般存在于WindowsSystem32目录下. 若是在其它目录，就可能是一个木马程序，它会伪装成rundll32.exe。 第八：什么是系统进程进程是指在系统中正在运行的一个应用程序；线程是系统分配处理器时间资源的基本单元，或者说进程之内独立执行的一个单元。对于操 作系统而言，其调度单元是线程。一个进程至少包括一个线程，通常将该线程称为主线程。一个进程从主线程的执行开始进而创建

11、一个或多个附加线程，就是所谓基于多线程的多任务。 那进程与线程的区别到底是什么？进程是执行程序的实例。例如，当你运行记事本程序（Nodepad）时，你就创建了一个用来容纳组成Notepad.exe的代码及其所需调用动态链接库的进程。每个进程均运行在其专用且受保护的地址空间内。因此，如果你同时运行记事本的两个拷贝，该程序正在使用的数据在各自实例中是彼此独立的。在记事本的一个拷贝中将无法看到该程序的第二个实例打开的数据。以沙箱为例进行阐述。一个进程就好比一个沙箱。线程就如同沙箱中的孩子们。孩子们在沙箱子中跑来跑去，并且可能将沙子攘到别的孩子眼中，他们会互相踢打或撕咬。但是，这些沙箱略有不同之处就在

12、于每个沙箱完全由墙壁和顶棚封闭起来，无论箱中的孩子如何狠命地攘沙，他们也不会影响到其它沙箱中的其他孩子。因此，每个进程就象一个被保护起来的沙箱。未经许可，无人可以进出。实际上线程运行而进程不运行。两个进程彼此获得专用数据或内存的唯一途径就是通过协议来共享内存块。这是一种协作策略。下面让我们分析一下任务管理器里的进程选项卡。 这里的进程是指一系列进程，这些进程是由它们所运行的可执行程序实例来识别的，这就是进程选项卡中的第一列给出了映射名称的原因。请注意，这里并没有进程名称列。进程并不拥有独立于其所归属实例的映射名称。换言之，如果你运行5个记事本拷贝，你将会看到5个称为Notepad.exe的进程

13、。它们是如何彼此区别的呢？其中一种方式是通过它们的进程ID，因为每个进程都拥有其独一无二的编码。该进程ID由Windows NT或Windows 2000生成，并可以循环使用。因此，进程ID将不会越编越大，它们能够得到循环利用。第三列是被进程中的线程所占用的CPU时间百分比。它不是CPU的编号，而是被进程占用的CPU时间百分比。此时我的系统基本上是空闲的。尽管系统看上去每一秒左右都只使用一小部分CPU时间，但该系统空闲进程仍旧耗用了大约99%的CPU时间。 第四列，CPU时间，是CPU被进程中的线程累计占用的小时、分钟及秒数。请注意，我对进程中的线程使用占用一词。这并不一定意味着那就是进程已耗

14、用的CPU时间总和，因为，如我们一会儿将看到的，NT计时的方式是，当特定的时钟间隔激发时，无论谁恰巧处于当前的线程中，它都将计算到CPU周期之内。通常情况下，在大多数NT系统中，时钟以10毫秒的间隔运行。每10毫秒NT的心脏就跳动一下。有一些驱动程序代码片段运行并显示谁是当前的线程。让我们将CPU时间的最后10毫秒记在它的帐上。因此，如果一个线程开始运行，并在持续运行8毫秒后完成，接着，第二个线程开始运行并持续了2毫秒，这时，时钟激发，请猜一猜这整整10毫秒的时钟周期到底记在了哪个线程的帐上？答案是第二个线程。因此，NT中存在一些固有的不准确性，而NT恰是以这种方式进行计时，实际情况也如是，大

15、多数32位操作系统中都存在一个基于间隔的计时机制。请记住这一点，因为，有时当你观察线程所耗用的CPU总和时，会出现尽管该线程或许看上去已运行过数十万次，但其CPU时间占用量却可能是零或非常短暂的现象，那么，上述解释便是原因所在。上述也就是我们在任务管理器的进程选项卡中所能看到的基本信息列。 第九：什么是应用程序 应用程序指的是程序开发人员要开发的一个数据库应用管理系统，它可以是一个单位的财务管理系统、人事管理系统等。（各种有关功能的窗口的集合构成一个完整的应用系统，分发给各个终端用户的就是一个应用程序. 第十：如何察看正在运行的进程 察看正在运行的进程的方法有很多，最简单就是使用Windows

16、自带的进程管理器察看正在运行的进程：同时按下“Ctl Alt Del”打开Windows进程管理器。点击进程的标签，即可察看系统中进行的进程列表。或者用鼠标右键点系统状态栏“系统管理器”进入系统进程管理器 第十一：如何强制结束一个运行中的进程 1. 打开“终端服务管理器（任务管理器）”。 2. 在“进程”选项卡上的“用户”列下，右键单击要结束的进程，然后单击“结束进程”. 注意： （1）. 必须具有完全控制权限才能结束进程。 （2）. 要打开“终端服务管理器”，请依次单击“开始”和“控制面板”，双击“管理工具”，然后双击“终端服务管理器”。 （3）. 请注意：在没有警告的情况下结束进程会导致用

17、户会话中的数据丢失。 （4）. 可能需要结束进程，因为应用程序没有响应. （5）. 也可以使用 tskill 命令结束进程。 强制结束进程的命令行Windows操作系统中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出，所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限，从而能杀掉大部分的进程。ntsd会新开一个调试窗口，本来在纯命令行下无法控制，但如果只是简单的命令，比如退出(q)，用-c

18、参数从命令行传递就行了。Ntsd按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。有关详细信息，请参阅 NTSD 中所附的帮助文件。用法:开个cmd.exe窗口，输入: ntsd -c q -p PID把最后那个PID，改成你要终止的进程的ID。如果你不知道进程的ID，任务管理器-进程选项卡-查看-选择列-勾上PID(进程标识符)，然后就能看见了. XP下还有两个好用的工具tasklist和tskill。tasklist能列出所有的进程，和相应的信息。tskill能查杀进程，语法很简单：tskill 程序名！ 结束进程的一些巧用小窍门： 误删VCD文件的另类恢复现在很多人会把一些不错的

19、VCD直接拷入硬盘保存。但你是否误删过这些百看不厌的经典之作呢？那么怎样才能在不用恢复软件的情况下手动恢复它们呢? 笔者找到了一个另类的恢复方法，并且效果还不错。首先要知道误删的VCD文件的文件名和原文件存储路径。一般情况下VCD的主要视频文件是VCD根目录下的Mpegav文件夹，文件名一般为Avseq0？.dat或Music0？.dat,其中“?”代表数字(19)。有的VCD序幕和正式内容是一个文件，即Avseq01.dat或Music01.dat；也有的VCD序幕和正式内容分别为两个文件，即序幕为Avseq01.dat或Music01.dat，而正式内容为Avseq02.dat或Music

20、02.dat。 首先，找一个和误删文件同名的文件(暂且称为A)，接着将A复制到原误删文件的同一文件夹中。在出现“正在复制.”窗口时，按下Ctrl+Alt+Del结束“正在复制.”任务，如果“正在复制.”窗口不消失，就再次按下Ctrl+Alt+Del结束“正在复制.”任务。就这么简单，到原误删文件存储的地方看一下，是不是又失而复得了?用多媒体播放软件打开，只是开头几秒种是文件A的内容，后面的照看不误。(保存拷了一部分的文件. 如果你经常会把MP3、CD、VCD、MPEG、RM等音、视频文件(或其他类型的文件)从光盘中复制到硬盘，那么可能会遇到复制到只剩下一点点时，Windows提示“复制文件出错

21、”，这时只要按回车键或点击“确定”按钮，那么辛辛苦苦复制的文件就会丢失. 其实只要马上激活“任务管理器”，把“出错的对话框”和“正在复制”的任务都关闭掉。那么文件就会以原文件大小保存下来了，当然这还是有缺点的，当此类文件播放到断点的地方时就会停止 巧玩游戏 本人用的是Windows XP家庭版，运行一些支持Windows 2000但不支持Windows XP的游戏时，鼠标、键盘失去反应。某日发现一解法：打开“任务管理器”，结束EXPLORER.EXE进程，点“新任务”，找到游戏运行文件，运行即可。另外，结束SVCHOST.exe(为当前用户名的)进程可以去掉Windows XP风格. 第十二：

22、一些常见的进程 进程名 描述 smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。 svchost.exe Windows 2000/XP 的文件保护系统 SPOOLSV.EXE 将文件加载到内存中以便迟后打印。 explorer.exe 资源管理器 internat.exe 托盘区的拼音图标 mstask.exe 允许程序在指定时间运行. regsvc.exe

23、允许远程注册表操作。(系统服务)remoteregister tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。 llssrv.exe 证书记录服务 ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。 RsSub.exe 控制用来远程储存数据的媒体。 locator.exe 管理 RPC 名称服务数据库。 clipsrv.exe 支持剪贴簿查看器，以便可以从远程剪贴簿查阅剪贴页 msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统或其他事务保护资源管理器。 grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将

24、重复文件指向一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。 以上这些进程都是对计算机运行起至关重要的，千万不要随意“杀掉”，否则可能直接影响系统的正常运行. 第十三：什么是网络钓鱼 什么是网络钓鱼? 网络钓鱼 （Phishing）攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息. 如何防备网络钓鱼？不要在网上留下可以证明

25、自己身份的任何资料，包括手机号码、身份证号、银行卡号码等。 不要把自己的隐私资料通过网络传输，包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ 、MSN 、Email 等软件传播，这些途径往往可能被黑客利用来进行诈骗. 不要相信网上流传的消息，除非得到权威途径的证明。如网络论坛、新闻组、 QQ 等往往有人发布谣言，伺机窃取用户的身份资料等。 不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。如果涉及到金钱交易、商业合同、工作安排等重大事项，不要仅仅通过网络完成，有心计的骗子们可能通过这

26、些途径了解用户的资料，伺机进行诈骗。 不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等，除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息，而骗子们往往喜欢这样进行诈骗。 第十四：什么是浏览器劫持 浏览器劫持是一种恶意程序，通过DLL插件、BHO 、Winsock LSP 等形式 对用户的浏览器进行篡改，使用户浏览器出现 访问正常网站时被转向到恶意网页、IE浏览器主页 / 搜索页等被修改为劫持软件指定的网站地址等异常。 浏览器劫持如何防止，被劫持之后应采取什么措施 ？浏览器劫持分为多种不同的方式，从最简单的修改IE默认搜索页到最复杂的通过病毒修改系统

27、设置并设置病毒守护进程，劫持浏览器，都有人采用。针对这些情况，用户应该采取如下措施： 不要轻易浏览不良网站. 不要轻易安装共享软件、盗版软件. 建议使用安全性能比较高的浏览器，并可以针对自己的需要对浏览器的安全设置进行相应调整。 如果给浏览器安装插件，尽量从浏览器提供商的官方网站下载。 第十五：什么是恶意共享软件 恶意共享软件（malicious shareware）是指采用不正当的捆绑或不透明的方式强制安装在用户的计算机上，并且利用一些病毒常用的技术手段造成软件很难被卸载，或采用一些非法手段强制用户购买的免费、共享软件。 安装共享软件时，应注意以下方面： 注意仔细阅读软件提供的“安装协议”，

28、不要随便点“next”进行安装。 不要安装从不良渠道获得的盗版软件，这些软件往往由于破解不完全，安装之后带来安全风险。 使用具有破坏性功能的软件，如硬盘整理、分区软件等，一定要仔细了解它的功能之后再使用，避免因误操作产生不可挽回的损失。 第十六：如何更好地预防计算机病毒入侵 有病治病，无病预防这是人们对健康生活的最基本也是最重要的要求，预防比治疗更为重要。对计算机来说，同样也是如此，了解病毒，针对病毒养成一个良好的计算机应用管理习惯，对保障您的计算机不受计算机病毒侵扰是尤为重要的。为了减少病毒的侵扰，建议大家平时能做到“三打三防”。 “三打” 就是安装新的计算机系统时，要注意打系统补丁，震荡波

29、一类的恶性蠕虫病毒一般都是通过系统漏洞传播的，打好补丁就可以防止此类病毒感染；用户上网的时候要打开杀毒软件实时监控，以免病毒通过网络进入自己的电脑；玩网络游戏时要打开个人防火墙，防火墙可以隔绝病毒跟外界的联系，防止木马病毒盗窃资料。 “三防” 就是防邮件病毒，用户收到邮件时首先要进行病毒扫描，不要随意打开电子邮件里携带的附件；防木马病毒，木马病毒一般是通过恶意网站散播，用户从网上下载任何文件后，一定要先进行病毒扫描再运行；防恶意“好友”，现在很多木马病毒可以通过 MSN、 QQ等即时通信软件或电子邮件传播，一旦你的在线好友感染病毒，那么所有好友将会遭到病毒的入侵。 第十七：如何干净地清除病毒

30、1 、在安全模式或纯DOS模式下清除病毒 . 当计算机感染病毒的时候，绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒，这里说的正常模式准确的说法应该是实模式（Real Mode），这里通俗点说了。其包括正常模式的 Windows 和正常模式的 Windows 下的 MS-DOS 方式 或 命令提示符 。 但有些病毒由于使用了更加隐匿和狡猾的手段往往会对杀毒软件进行攻击甚至是删除系统中的杀毒软件的做法，针对这样的病毒绝大多数的杀毒软件都被设计为在安全模式可安装、使用、执行杀毒处理。 在安全模式（Safe Mode）或者纯DOS下进行清除清除时，对于现在大多数流行的病毒，如蠕虫病毒、木马程序和网页代码病毒等，都可以在安全模较鲁沟浊宄 模 槐匾 褚郧澳茄 匦胍 萌砼唐舳 倍荆坏 杂谝恍 记 竞透腥究芍葱形募 牟静判枰 诖?DOS下杀毒（建议用干净软盘启动杀毒）。而且，当计算机原来就感染了病毒，那就更需要在安装反病毒软件后（升级到最新的病毒