¿Cómo puedo saber si mi computadora es un bot?
Cómo juzgar si su computadora contiene virus
Ahora hay varios virus en plena floración, lo que hace que la gente entre en pánico. Una vez que encuentre algo anormal en su computadora, asumirá que lo es. un virus. Para causar problemas, buscaba software antivirus por todas partes. Si uno no funcionaba, probaba con otro. En resumen, parecía que no me rendiría hasta encontrar al "culpable". , Usé un software de virus tras otro. Tal vez usé uno tras otro para este propósito, o todavía no lo he hecho. Si ve rastros del "culpable", puede que no sea necesariamente el virus en acción.
Este tipo de ejemplos no son infrecuentes, especialmente para algunos usuarios jóvenes de ordenadores. A continuación, le presentaré cómo juzgar si ha sido infectado por un virus a partir de los siguientes aspectos según mi experiencia antivirus en el uso de computadoras personales y el mantenimiento de redes corporativas. Espero que sea útil para ayudar a identificar "virus reales". "!
La diferencia y la conexión entre virus y fallos de software y hardware
Los fallos informáticos no son causados únicamente por una infección de virus. Diversos fallos de funcionamiento que se producen durante el uso de los ordenadores personales se deben principalmente a él. es causado por fallas de software y hardware en la propia computadora, y la mayoría de ellos en la red son causados por la configuración de permisos. Sólo comprendiendo plenamente las diferencias y conexiones entre ambos podremos hacer juicios correctos y descubrir el virus real a tiempo. A continuación enumero brevemente algunos síntomas comunes de fallas informáticas causados por virus y fallas de software y hardware.
Síntomas Posibilidad de invasión de virus Posibilidad de fallas de software y hardware
Caídas frecuentes: los virus abren muchos archivos u ocupan una gran cantidad de memoria (como mala calidad de la memoria, overclocking del hardware; el rendimiento es deficiente, etc.); la ejecución de software de gran capacidad consume mucha memoria y espacio en disco; el uso de algún software de prueba (con muchos ERRORES) puede provocar fallas frecuentes en el disco duro; debe deberse a que la velocidad de la red es demasiado lenta, el programa que se está ejecutando es demasiado grande o la configuración del hardware de su estación de trabajo es demasiado baja.
El sistema no puede iniciarse: el virus ha modificado la información de inicio del disco duro o ha eliminado algunos archivos de inicio. Por ejemplo, el archivo de inicio del virus de inicio está dañado; el disco duro está dañado o la configuración de los parámetros es incorrecta; los archivos del sistema se eliminan accidentalmente de forma manual, etc.
El archivo no se puede abrir: el virus ha modificado el formato del archivo; el virus ha modificado la ubicación del enlace del archivo. El archivo está dañado; el disco duro está dañado; la ubicación del enlace correspondiente al acceso directo al archivo ha cambiado; el software original para editar el archivo se ha eliminado, si está en una red de área local, generalmente muestra que la ubicación de almacenamiento del archivo; en el servidor ha cambiado y la estación de trabajo no instaló el nuevo contenido del servidor a tiempo (el explorador está abierto durante mucho tiempo).
A menudo se informa de memoria insuficiente: los virus ocupan ilegalmente una gran cantidad de memoria; se abre una gran cantidad de software; se ejecuta software que requiere recursos de memoria; la configuración del sistema es incorrecta; el requisito de memoria básica actual es 128 M) espere.
Indica que el espacio en el disco duro no es suficiente: el virus ha copiado una gran cantidad de archivos de virus (me he encontrado con esto en varios casos. A veces, cuando se instala un sistema WIN98 o WINNT4.0 en un buen disco duro de casi 10G, dirá que no hay espacio Una vez instalado, el software indica que el espacio en el disco duro no es suficiente. La capacidad de cada partición del disco duro es demasiado pequeña; el software de capacidad está instalado; todo el software está instalado en una partición; el disco duro en sí es pequeño; si el administrador del sistema está en una red de área local, el usuario ha establecido un límite de espacio para el "disco privado" del usuario de la estación de trabajo. se ve el tamaño de todo el disco de red, la capacidad del "disco privado" en realidad se ha agotado.
Leer cuando no se accede a dispositivos como disquetes Señal de escritura: infección por virus; se ha eliminado el disquete y los archivos que se han abierto en el disquete aún se están abriendo.
Aparece una gran cantidad de archivos de origen desconocido: archivos copiados por virus, pueden ser archivos temporales generados durante la instalación; de algún software; también puede ser la información de configuración y los registros de operación de algún software.
Pantalla negra de inicio: infección de virus (el que más recuerdo es el 4.26 en 1998. Pagué varios miles de yuanes por CIH. Ese día, cuando inicié la pantalla de Windows por primera vez, se bloqueó . La segunda vez, no habrá nada cuando vuelva a encender la computadora); falla del monitor; falla de la placa base; daño de la CPU, etc.
Pérdida de datos: archivos eliminados por virus; daño del sector de la unidad debido a la recuperación del archivo. Sobrescriba el archivo original si es un archivo en Internet, otro usuario puede eliminarlo accidentalmente.
El teclado o el mouse están bloqueados sin ningún motivo: los virus están causando problemas y se debe prestar especial atención a los "caballos de Troya"; el teclado o el mouse están dañados; la interfaz del teclado o del mouse en la placa base; dañado; se ejecuta un determinado programa de bloqueo de teclado o mouse, y el programa que se está ejecutando El programa es demasiado grande, el sistema está muy ocupado durante mucho tiempo y las teclas del teclado o del mouse no funcionan.
El sistema funciona lentamente: el virus ocupa la memoria y los recursos de la CPU y ejecuta una gran cantidad de operaciones ilegales en segundo plano; la configuración del hardware es baja; hay demasiados programas abiertos o demasiado grandes; es incorrecto; si la red está funcionando La mayoría de las veces es porque la configuración de su máquina es demasiado baja. También puede ser que la red esté ocupada en este momento y haya muchos usuarios abriendo un programa al mismo tiempo. es que el espacio en su disco duro no es suficiente para ejecutar temporalmente el programa para intercambiar datos.
2 ¡Cómo saber si tu ordenador ha sido infectado por un virus! (Opinión personal)
El sistema realiza operaciones automáticamente: el virus realiza operaciones ilegales en segundo plano; el usuario configura la ejecución automática de programas relevantes en el registro o grupo de inicio; algunos programas requieren el reinicio automático del sistema; después de la instalación o actualización.
A través del análisis y la comparación anteriores, sabemos que la mayoría de las fallas en realidad pueden ser causadas por seres humanos o fallas de software o hardware. Cuando encontremos anomalías, no nos apresuremos a sacar conclusiones cuando el antivirus no puede resolverlas. problema, las características de la falla deben analizarse cuidadosamente para eliminar el software, el hardware y las posibilidades humanas.
Clasificación de los virus y sus respectivas características
Para identificar verdaderamente los virus y eliminarlos de manera oportuna, también necesitamos tener una comprensión más detallada de los virus, y cuanto más detallado sea el mejor.bien!
Debido a que los virus son escritos individualmente por muchos individuos u organizaciones dispersos, no existe un estándar para medir o clasificar los virus, por lo que los virus se pueden clasificar de manera aproximada desde múltiples perspectivas.
En términos de objetivos de infección, los virus se pueden dividir en las siguientes categorías:
a. Virus de arranque
El objetivo de este tipo de ataque de virus es el sector de arranque, para que el sistema pueda obtener derechos de ejecución prioritarios al iniciar, logrando así el propósito de controlar todo el sistema. Este tipo de virus infecta el sector de arranque, por lo que el daño causado es relativamente grande. , el sistema no puede iniciarse normalmente, pero es más fácil detectar y eliminar dichos virus. La mayoría del software antivirus puede detectar y eliminar dichos virus, como KV300, serie KILL, etc.
b. Virus de tipo archivo
Los primeros virus de este tipo generalmente infectan archivos ejecutables con extensiones como exe, com, etc. Entonces se activará el programa antivirus. Recientemente, algunos virus han infectado archivos con extensiones como dll, ovl, sys, etc. Debido a que estos archivos suelen ser archivos de configuración y enlaces de un determinado programa, el virus se carga automáticamente cuando se ejecuta un determinado programa. La forma en que se cargan es insertando párrafos completos de código de virus o insertándolos de forma dispersa en bytes en blanco de estos archivos. Por ejemplo, el virus CIH se divide en 9 segmentos y los incrusta en el archivo ejecutable con estructura PE. Los caracteres del archivo suelen ser El número de nudos no aumenta. Este es su lado oculto.
c.Virus de red
Este tipo de virus es producto del rápido desarrollo de Internet en los últimos años. Los objetos infectados ya no se limitan a un solo modelo y a un solo. archivo ejecutable. Más bien, es más completo y más oculto. Hoy en día, algunos virus de red pueden infectar casi todos los archivos de OFFICE, como WORD, EXCEL, correos electrónicos, etc.
Sus métodos de ataque también han cambiado, desde eliminar y modificar archivos hasta ahora cifrarlos y robar información útil de los usuarios (como programas de piratas informáticos). La forma de propagación también ha experimentado un salto cualitativo. Ya no se limita a los discos. más encubiertos en Internet, como el correo electrónico, la publicidad electrónica, etc.
d.Virus compuestos
Se clasifican como "virus complejos" porque tienen algunas características tanto de virus de "tipo de arranque" como de "tipo de archivo". Pueden infectar el sector de arranque. archivos del disco o ciertos archivos ejecutables Si dichos virus no se eliminan por completo, los virus restantes pueden recuperarse y causar daños a los archivos del sector de arranque y a los archivos ejecutables, por lo que es extremadamente difícil detectar y eliminar dichos virus. El software antivirus utilizado debe tener la función de detectar y eliminar ambos tipos de virus.
Los anteriores se dividen según los objetos infectados por el virus. Si los dividimos según el grado de daño del virus, podemos dividir los virus en las siguientes categorías:
>a. Virus benignos
p>La razón por la que estos virus se llaman virus benignos es porque su propósito de invadir no es destruir su sistema, sino simplemente divertirse. La mayoría de ellos son entusiastas de los virus jóvenes. quieren probar sus propios programas de virus desarrollados. No quieren dañar su sistema, simplemente emiten un determinado sonido o muestran algunas indicaciones, y no causan ningún otro daño excepto ocupar una cierta cantidad de espacio en el disco duro y tiempo de procesamiento de la CPU. Lo mismo ocurre con algunos programas de virus troyanos, que sólo quieren robar cierta información de comunicación en su computadora, como contraseñas, direcciones IP, etc., en caso de que sean necesarias.
b. Virus malignos
Clasificamos virus que solo causan interferencias en el sistema de software, roban información y modifican la información del sistema sin causar consecuencias graves como daños al hardware y pérdida de datos". Virus malignos ", después de que dichos virus invadan el sistema, no habrá otras pérdidas excepto que no se puede usar normalmente. Una vez que el sistema se daña, generalmente solo necesita reinstalar una determinada parte de los archivos del sistema para recuperarse. Por supuesto, Estos virus deben eliminarse. Reinstale el sistema.
c. Virus extremadamente dañinos
Este tipo de virus es más dañino que los virus tipo B mencionados anteriormente. Generalmente, si usted está infectado con este tipo de virus, su sistema lo hará. colapsa por completo, no puede iniciarse normalmente y es posible que no se obtengan los datos útiles que ha guardado en el disco duro. En un nivel más ligero, solo puede eliminar archivos y aplicaciones del sistema.
d.virus catastrófico
Por su nombre podemos saber el alcance del daño que nos traerá. Este tipo de virus suele destruir el sector de arranque del disco. , modifique la tabla de asignación de archivos y la tabla de particiones del disco duro, lo que provocará que el sistema no pueda iniciarse en absoluto y, a veces, incluso formatee o bloquee su disco duro, lo que le impedirá utilizarlo. Si está infectado con un virus de este tipo, será difícil recuperar su sistema y será difícil obtener los datos retenidos en el disco duro. El daño causado será muy grande, entonces, ¿cuándo debemos prepararnos para lo peor? ¿Evolución? La planificación, especialmente para los usuarios empresariales, debe estar completamente preparada para las copias de seguridad ante desastres. Afortunadamente, la mayoría de las grandes empresas ahora se han dado cuenta de la importancia de las copias de seguridad y gastan enormes sumas de dinero en copias de seguridad diarias del sistema y de los datos, aunque todos saben que quizás sean pocas. Es imposible afrontar consecuencias tan catastróficas en 2018, pero es mejor relajarse "por si acaso". Nestlé, donde trabajo, es así y se toma muy en serio este tema. Por ejemplo, el virus CIH que estalló el 26 de abril de 1998 se puede clasificar en esta categoría porque no solo causa daños al software, sino que también daña directamente el hardware, como los discos duros y el BIOS de la placa base.
3 ¡Cómo saber si tu ordenador ha sido infectado con un virus! (Opinión personal)
Se puede dividir en los siguientes tipos según su método de intrusión:
a. Código fuente que incrusta el tipo de ataque
Por su nombre podemos Podemos saber que este tipo de virus invade principalmente programas fuente en lenguajes de alto nivel. El virus inserta el código de virus antes de compilar el programa fuente y finalmente se compila en un archivo ejecutable junto con el programa fuente recién generado. El archivo es un archivo que contiene virus.
Por supuesto, hay muy pocos archivos de este tipo, porque estos desarrolladores de virus no pueden obtener fácilmente los programas fuente precompilados de esas empresas de desarrollo de software. Además, este método de intrusión es difícil y requiere un nivel de programación muy profesional.
b. Tipo de ataque de reemplazo de código
Este tipo de virus utiliza principalmente su propio código de virus para reemplazar todo o parte del módulo de un programa de intrusión. Este tipo de virus también es raro. Principalmente ataca a un programa específico y es muy específico, pero es difícil de detectar y eliminar.
c.Tipo de modificación del sistema
Este tipo de virus utiliza principalmente su propio programa para sobrescribir o modificar ciertos archivos en el sistema para llamar o reemplazar algunas funciones del sistema operativo, infectando directamente. el sistema es más dañino y también es el tipo de virus más común, principalmente virus de archivos.
d. Tipo de archivo adjunto de shell
Este tipo de virus generalmente adjunta su virus al principio o al final del programa normal, lo que equivale a agregar un shell al programa. Se ejecuta el programa, primero se ejecuta el código del virus y luego se carga el programa normal en la memoria. La mayoría de los virus de tipo archivo entran actualmente en esta categoría.
Ahora que tenemos algunos conocimientos básicos sobre virus, podemos comprobar si su computadora contiene virus. Para saber esto, podemos juzgar de acuerdo con los siguientes métodos.
1. Método de escaneo del software antivirus
Esta es probablemente la primera opción para la mayoría de nuestros amigos, y probablemente también sea la única opción hoy en día, cada vez hay más. Hay más tipos de virus y están ocultos. Los métodos son cada vez más sofisticados, lo que genera nuevas dificultades para la detección de virus y también presenta desafíos para los desarrolladores de software antivirus. Sin embargo, a medida que la tecnología de los lenguajes de desarrollo de programas informáticos mejora y las redes informáticas se vuelven cada vez más populares, el desarrollo y la propagación de virus se han vuelto cada vez más fáciles, por lo que cada vez hay más empresas de desarrollo de software antivirus. Pero en la actualidad, el software antivirus más famoso sigue siendo algunos sistemas, como Kingsoft Antivirus, KV300, KILL, PC-cillin, VRV, Rising, Norton, etc. En cuanto al uso de este software antivirus, no es necesario describirlo aquí. ¡Creo que todos tienen este nivel!
2. Método de observación
Este método solo se puede observar con precisión después de comprender algunos de los síntomas de los ataques de virus y los lugares donde suelen vivir. Por ejemplo, cuando el disco duro falla con frecuencia durante el arranque, el tiempo de arranque del sistema es largo, la velocidad de ejecución es muy lenta, no se puede acceder al disco duro, aparecen sonidos o mensajes especiales, etc. Cuando aparecen las fallas mencionadas anteriormente en el El primer punto importante, lo primero que debemos considerar es el virus. Puede causar problemas, pero no se puede llegar hasta el final. ¿No mencioné anteriormente que esos síntomas también pueden ocurrir si falla el software o el hardware? Para los virus causados por virus, podemos observarlos desde los siguientes aspectos:
a. Observación de la memoria
Este método se usa generalmente para virus que se encuentran en DOS. Utilice el archivo "mem/c. Comando /p" para verificar la memoria ocupada por cada programa y descubrir la memoria ocupada por virus (generalmente no ocupada sola, sino adjunta a otros programas). Algunos virus ocupan la memoria de manera relativamente oculta. No puede encontrarla con "mem /c/p", pero puede ver que faltan apenas 1k o unos pocos K de la memoria básica total de 640K.
b. Método de observación del registro
Este método generalmente es adecuado para los llamados programas piratas que han aparecido recientemente, como los programas troyanos. Estos virus generalmente se inician y cargan modificando el registro. registro. La configuración para lograr el inicio o la carga automática generalmente se implementa en los siguientes lugares:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion
Espera, para obtener más detalles, consulta mi otro artículo: "Tong" Mirando Trojans Through and Through", se realizará un análisis más detallado de los lugares que pueden aparecer en el registro.
c. Método de observación del archivo de configuración del sistema
Este método generalmente es adecuado para programas piratas. Este tipo de virus generalmente está oculto en system.ini y wini.ini (Win9x/WinME). y grupo de inicio, hay un elemento "shell=" en el archivo system.ini y hay elementos "load=" y "run=" en el archivo wini.ini. Estos virus generalmente se cargan solos en estos elementos. , tenga en cuenta que a veces se modifica un programa original. Podemos ejecutar el programa msconfig.exe en Win9x/WinME para verlos uno por uno. Para obtener más información, también puede consultar mi artículo "Ver el caballo de Troya en todo".
d. Método de observación de cadenas características
Este método está dirigido principalmente a algunos virus más especiales. Cuando estos virus invaden, escribirán los códigos característicos correspondientes. Por supuesto, no podemos descubrir fácilmente si una cadena como "CIH" está escrita en el archivo intruso. Podemos encontrarlo editando el archivo principal del sistema (como Explorer.exe) usando un editor de código hexadecimal. Es mejor hacer una copia de seguridad de antemano, después de todo, es el archivo principal del sistema.
e.Método de observación del espacio en el disco duro
Algunos virus no destruirán los archivos del sistema, solo generarán un archivo oculto. Este archivo generalmente tiene muy poco contenido, pero ocupa un área grande. El espacio en el disco duro es muy grande, a veces tan grande que su disco duro no puede ejecutar programas normales, pero no puede verlo cuando lo verifica. En este momento, debemos abrir el administrador de recursos y configurar las propiedades. del contenido que se está viendo para poder ver todas las propiedades del archivo (no es necesario que le diga cómo hacer esto, ¿verdad?), creo que este gigante será revelado para entonces, porque los virus generalmente lo configuran para que tenga. atributos ocultos. Simplemente elimínelo cuando llegue el momento. He visto varios ejemplos de esto en el proceso de mantenimiento de redes informáticas y reparación de computadoras personales. Es obvio que solo se instalan unos pocos programas de uso común, pero ¿por qué se muestran varios gigabytes de espacio en el disco duro? en la unidad C? No, el virus generalmente se puede revelar rápidamente mediante los métodos anteriores.