Cuando se ejecuta un programa, ¿cómo comprobar qué archivos de script inicia el programa?
¿Cómo ver el proceso actual? Utilice herramientas profesionales; de lo contrario, presione la tecla Ctrl Alt Eliminar al mismo tiempo para abrir el Administrador de tareas y verificar.
¿Qué tipo de programa es un programa desconocido?
Aquí me gustaría enfatizar nuevamente que es muy importante encontrar un visor de procesos que pueda firmar digitalmente los archivos de proceso; de lo contrario, no podrá saber si un proceso es sospechoso o no, y el El nombre del archivo por sí solo no es suficiente.
Si el proceso no es un proceso del sistema o un proceso del programa que estás ejecutando, entonces el proceso es lo que llamamos un proceso sospechoso. (Aquellos procesos que no pueden pasar la verificación de firma digital son procesos que no pertenecen al sistema)
¿Qué haría si encontrara un proceso sospechoso? ¿Matarlo y eliminarlo?
No, no lo mates ~ Hay tres razones para no matarlo:
1. Es difícil predecir cuál será el resultado de matarlo, si es así. interactuar con otros programas o controladores del kernel Interacción del programa, si lo elimina, es probable que sea un suicidio, lo que provocará que el sistema falle.
2. Elimínelo y elimínelo, pero no elimine los elementos de inicio que escribe en el registro. De esta manera, cada vez que encienda la computadora, seguirá intentando cargar el programa. el archivo ha desaparecido, no puedes dejarlo ir. El troyano se ejecuta, pero cada intento de carga lleva tiempo, lo cual es una de las razones por las que el sistema se ralentiza.
3. Finalmente, la detección anterior por sí sola solo puede mostrar que este proceso es un proceso sospechoso, pero no puede confirmar que sea un troyano, por lo que si lo elimina ahora, probablemente sea un homicidio involuntario ~
¿Qué debemos hacer en este momento? La respuesta es ignorarlo, encontrarlo, anotar el nombre del archivo y luego ignorarlo por el momento.
¿Qué pasa si no se encuentra?
Esto significa que su máquina probablemente esté limpia y libre de troyanos.
O bien, el troyano es un troyano que oculta procesos o un troyano sin procesos.
Entonces, ¿cuál es el tipo de ocultación del proceso?
Primero, conozcamos algunos métodos que utilizan los troyanos para ocultar procesos~
Los métodos actualmente populares para que los troyanos oculten procesos son los siguientes:
0. , busque En la subventana de enumeración de la ventana del Administrador de tareas, busque la lista de procesos que figuran en el cuadro de lista y escriba sus nombres en guiones. Esto se puede encontrar con herramientas profesionales generales.
1. Ocultación de nivel intermedio, HOOK Win32API filtra su propio proceso. Siempre que sea una herramienta de gestión de procesos a nivel de controlador, básicamente puedes encontrarla.
2. Ocultación intermedia y avanzada, HOOK SSDT NtQuerySystemInformation, filtra el proceso de montaje y las herramientas a nivel de controlador con función de recuperación SSDT pueden verificar.
3. El segundo ocultamiento avanzado, INLINE HOOK SSDT, filtra su propio proceso, restaura INLINE o enumera directamente la cadena de procesos a verificar.
4. Ocultación cuasi avanzada, elimina el propio proceso de la cadena de procesos activa y puede ser verificado por herramientas basadas en la tecnología de detección de listas vinculadas de programación de subprocesos.
5. Ocultación avanzada, omitiendo la lista vinculada de programación del kernel para ocultar el proceso, las herramientas de detección basadas en la tecnología HOOK-KiReadyThread pueden verificar.
Para procesos ocultos, utilice herramientas de detección con las funciones correspondientes para verificar ~
Por supuesto, no tenemos que rogar por nada para encontrar el proceso troyano oculto. No, cuando no hay ningún proceso o no hay ningún proceso como un caballo de Troya, simplemente continúe con el siguiente paso de la verificación.
Debido a que la inspección de procesos es solo uno de los métodos de inspección, el proceso de no poder ver o eliminar el troyano no nos impide eliminarlo.
Bien, no importa cuál sea el resultado de la verificación del proceso, comenzaremos el siguiente paso de la verificación, ¡la verificación del módulo!
Consulte la imagen a continuación:
La imagen a continuación es un diagrama de verificación del proceso (use los resultados de la verificación de la firma digital como principal y el nombre de la ruta del archivo como auxiliar para Juzgue Aunque el proceso del software antivirus Rising no es el proceso del sistema, sino a través del nombre del archivo y la ruta, podemos saber que este es el programa de control principal de Rising. No seas terco y juzgues desde muchos aspectos. -^):
Este es el primer paso de verificación del proceso. /p>
Capítulo 2: Módulos
¿Qué es un módulo? Un módulo es un módulo funcional especial con una u otra función, y su manifestación externa suele ser un archivo de biblioteca de vínculos dinámicos (extensión .dll) o un archivo de complemento (extensión .OCX). Las aplicaciones cargan estos módulos para proporcionar una funcionalidad específica al programa.
Así como nuestros televisores pueden recibir más programas después de agregar una antena parabólica, la antena parabólica en sí es independiente del televisor, pero una vez que el televisor usa una antena parabólica, puede proporcionar programas adicionales para la función de TV. . La antena parabólica es relativa al televisor, del mismo modo que el módulo lo es al programa.
Cada proceso tiene módulos que van desde unos pocos hasta cientos, y cada módulo tiene su propio propósito específico. Por supuesto, si un módulo es un troyano, también tiene su propio propósito troyano.
Cuando la verificación de procesos se hizo más popular y sofisticada, los fabricantes de troyanos comenzaron a crear troyanos sin proceso, es decir, el troyano aparecía como un módulo de modo que no existía en la lista de procesos. No importa cuán avanzadas sean sus técnicas de detección de procesos, no podrá detectar la presencia de un módulo troyano.
En un ordenador puede haber decenas o decenas de procesos, pero hay cientos de módulos. Un aumento en el número aumentará la dificultad de detección.
Los requisitos para las herramientas de detección aún deben poder verificar las firmas digitales; de lo contrario, es realmente agotador seleccionar manualmente troyanos entre cientos de archivos de módulos ~ (verificación del módulo troyano, vea la imagen a continuación)
¿Qué debo hacer si me entero?
La última vez, un amigo encontró este problema y utilizó medios violentos para desinstalarlo y eliminarlo. ¿Debo manejarlo de esta manera?
¡La respuesta sigue siendo no!
No desinstales ni elimines violentamente~~~¿Cuál es el motivo? No mencionemos las razones por ahora. Primero comprendamos el mecanismo de inicio del módulo troyano y luego expliquemos por qué no se puede desinstalar ni eliminar violentamente.
Los troyanos de módulo se dividen en dos tipos: uno es de carga estática y el otro es de inyección dinámica.
La carga estática significa registrar el archivo troyano con un determinado valor clave en el registro, de modo que el sistema cargará automáticamente todos los módulos registrados con el valor clave al iniciar o ejecutar el programa, logrando así el propósito de Caballo de Troya ingresa al programa y lleva a cabo sus actividades ilegales. (Las claves en el registro que se pueden cargar para el registro del sistema se explicarán más adelante en la verificación del elemento de inicio)
Carga dinámica, este tipo de troyano es el llamado troyano de inyección de proceso y su implementación no requiere Solo hay un archivo de módulo, también es necesario que haya un proceso de inyección del inyector en el archivo de módulo. Primero, el inyector se iniciará, luego inyectará el módulo troyano en otros procesos. Una vez completada la inyección, el inyector terminará de ejecutarse, por lo que aún no podrá ver el proceso.
Ahora entiendes por qué no puedes desinstalarlo y eliminarlo violentamente, ¿verdad?
Después de una desinstalación y eliminación violenta, si el módulo se carga estáticamente, aún quedará una entrada en el registro. Cada vez que se inicie la computadora o se ejecuten programas relacionados, el módulo aún se cargará de manera compensatoria. Si hay demasiados módulos, el sistema funcionará más lento.
En el caso de la carga dinámica, lo único que desinstalas y eliminas es el módulo troyano, pero el programa inyectado sigue en tu ordenador. Si el troyano está diseñado correctamente, debería hacer una copia de seguridad de los archivos del módulo, de modo que cuando reinicie su computadora, encontrará que los archivos del módulo que eliminó violentamente están nuevamente en su computadora y nunca podrá eliminarlos limpiamente. .
Si el diseño de este troyano no es razonable o es más cruel, entonces sólo Dios y el creador del troyano saben lo que sucederá~~ -_-!
En otras palabras, no se puede eliminar violentamente, entonces, ¿qué debo hacer? Como en el proceso, copie la ruta y el nombre del archivo del módulo y luego comience el siguiente paso de verificación, ignorándolo por ahora. Los troyanos de inyección de subprocesos solo inyectan un fragmento de código en el proceso y no existen archivos. Aunque puede ver cada subproceso de cada proceso, no es imposible saber qué subproceso es el troyano, pero se puede encontrar casi todo. Ellos son expertos con un nivel muy alto, y definitivamente no soy yo. Mire la segunda imagen a continuación, que es la lista de hilos de EXPLORER.exe.
(Por cierto, esta imagen es una captura de pantalla de ProcessExplorer, que es una herramienta de gestión de procesos muy famosa y excelente. Puedes descargarla aquí:
¿Y qué? Cómo ¿Cómo lidiar con este tipo de troyano de inyección de subprocesos?
Afortunadamente, el troyano de inyección de subprocesos también necesita un programa de inyección para cooperar. Descubrimos que es difícil encontrar el subproceso, pero es mucho más fácil encontrar su programa de inyección.
Ahora, no importa si encuentra el módulo o hilo sospechoso, tenemos que comenzar el siguiente paso, que es la inspección del elemento de inicio.
Capítulo 3: ¡Proyecto de inicio automático!
¿Qué es un elemento de inicio automático? Un elemento de inicio automático es un programa después de que se registra en algún lugar del sistema, el sistema ejecutará automáticamente el programa cada vez que se encienda la computadora. registrados por el programa se llaman elementos de inicio automático.
El troyano no estará dispuesto a ejecutarlo solo una vez si quiere instalarse en su computadora, debe ejecutarse cada vez que lo encienda. para lograr el propósito de autoprotección y trabajo normal de los troyanos.
p>
Generalmente, los troyanos tendrán uno o más elementos de inicio automático, lo que se ha convertido en un paso necesario para encontrar troyanos (.
Encontrar los elementos de inicio automático de los troyanos es muy crítico e importante, relativamente. Los requisitos para las herramientas también son muy altos.
¿Cuántos lugares del sistema pueden ejecutar programas automáticamente? Sólo puedo decir que hay muchas, así que estoy buscando una herramienta que pueda verificar todos estos lugares. Estoy buscando un par de estas herramientas que, cuando las combine, deberían ser suficientes para verificar todos estos lugares. Ninguna herramienta puede afirmar que puede proporcionar una lista completa de todas las ubicaciones de inicio en el sistema. Por lo tanto, verifique los elementos de inicio. El primer requisito para un programa es ser completo. ¿Suficiente?
También debe estar firmado digitalmente. No solo le asignas un nombre a un archivo del sistema.
También debes poder detectar elementos de inicio ocultos. comprender las técnicas utilizadas por los troyanos para ocultar elementos de inicio:
0. Los troyanos no ocultan, solo buscan escondites, y esto depende de la herramienta utilizada para enumerar los elementos disponibles.
1. El troyano está oculto en el nivel de la aplicación y ENGANCHA la función de enumeración del registro correspondiente en Win32API. Un troyano de este tipo es muy fácil de detectar y cualquier programa de detección a nivel de controlador puede hacer el trabajo. >
2. El troyano está oculto en la capa del núcleo y engancha el SSDT. La mayoría de las personas no pueden detectar dicho troyano, por lo que debe buscar un programa de detección que pueda restaurar el SSDT. El troyano está oculto en la capa del núcleo y es muy descarado. Las funciones de servicio relevantes de INLINE-HOOK no funcionarán con dicho troyano. Debe buscar un programa que pueda restaurar INLINE-HOOK. p>4. Oculte el troyano en la parte inferior y encuentre las funciones subyacentes de INLINE-HOOK, como las funciones de la serie Cm*, a través de códigos de características. Es difícil encontrar un troyano de este tipo utilizando programas de detección como el método de escaneo de archivos HIVE subyacente. herramientas especializadas para restaurar el INLINE-HOOK subyacente.
Estos cuatro métodos de ocultación ya han sido utilizados por software malicioso o troyanos~, así que no se arriesgue y piense que los troyanos no utilizarán esta tecnología avanzada, por lo que es mejor usar algunos más al verificar Elementos de inicio. Verifique cada herramienta juntas, no importa cuán poderosa sea la función, generalmente no es lo suficientemente completa. Oye, tal vez los maestros sean vagos ~
Está bien, comencemos a verificar ~ Primero GANCHO, GANCHO EN LÍNEA. , y luego el primero Para ENGANCHAR, primero para ENGANCHAR, primero para ENGANCHAR, primero para ENGANCHAR, primero para ENGANCHAR, primero para ENGANCHAR, primero para ENGANCHAR, primero para ENGANCHAR.
Sí, está bien, haz una copia de seguridad del registro y elimina los elementos de inicio. ¿No puedes eliminarlo? ¿Olvidaste restaurar HOOK? Una vez restaurada, abra el editor de registro y vea si tiene permiso para eliminar la clave. Haga clic derecho en la clave que desea eliminar, seleccione permisos y luego seleccione "Control total" para eliminarla. por diversión. Es un engaño.
Después de borrarlo, ¿todavía lo tienes? Tiene dos opciones. Una es finalizar el proceso y desinstalar el módulo para que pierda la capacidad de reescribirse. El segundo es habilitar la función "Bloqueo del sistema" para bloquear temporalmente el sistema y no permitir que ningún programa escriba en el registro. Llegados a este punto, eliminarlo no será un problema.
Después de la eliminación, reinicie su computadora.
¿No anotaste los procesos y módulos sospechosos? Verifique nuevamente para ver si todavía están allí. Felicitaciones, el troyano ha sido eliminado.
¿Sigues ahí?
Oh, no tengas miedo. Si todavía está allí, demuestra que no has eliminado completamente sus elementos de inicio. Las posibles razones son:
1. el mecanismo de activación del gatillo.
2. También cuenta con otros mecanismos de protección, como programas ocultos o controladores;
A continuación continuamos analizando el troyano de inicio activado~~~
Capítulo Capítulo 4: Troyanos activados
Mencioné anteriormente los métodos generales para eliminar troyanos. Mediante los métodos de eliminación anteriores, la mayoría de los troyanos se pueden eliminar. (Olvidé escribirlo la última vez. Si el troyano no se puede iniciar después de reiniciar, el siguiente paso es, por supuesto, eliminar todos los archivos troyanos escritos)
A continuación, permítanme hablar sobre cómo activar el troyano. ¿Está activando el troyano? Activar un troyano significa que cuando realiza una determinada operación, el mecanismo de inicio del troyano se activará para iniciar el troyano. Si nunca realiza esta operación, el troyano nunca se iniciará. Generalmente, los troyanos se inician y ejecutan automáticamente. Sin embargo, las herramientas de verificación de seguridad y el software antivirus verifican principalmente los elementos de inicio activos del troyano. Por ejemplo, la verificación del elemento de inicio automático verifica la ejecución automática y activa durante el inicio. Sólo hay unos pocos comunes que pueden desencadenar comprobaciones de elementos de inicio de troyanos, pero hay muchos lugares que pueden desencadenar operaciones de elementos de inicio de troyanos. Esta es la razón por la que este tipo de troyano es difícil de eliminar.
El rendimiento es que después de la eliminación, el sistema estaba normal en ese momento y la máquina también estaba muy limpia cuando se revisó nuevamente. Sin embargo, poco después, el troyano resurgió y reapareció.
¡Ahora empezamos a cazar a estos tipos difíciles!
Cabe señalar que para que quede claro y fácil de entender, se analizan aquí por separado durante la inspección real y, por supuesto, se pueden realizar juntos. Este es un archivo de configuración. Mire el nombre. ¿Se traduce como "ejecución automática"? Sí, se utiliza para la reproducción automática de CD-ROM durante el uso normal. , el sistema ejecutará automáticamente el programa especificado en Autorun.inf.
Más tarde algunas personas lo usaron para discos duros, y cuando colocaron los archivos en el directorio raíz de la partición del disco duro, hicieron clic derecho en la unidad de disco y descubrieron que la acción predeterminada era "Reproducción automática". en lugar de abrir. En este punto, si hace doble clic en la unidad de disco, ya no se abrirá ni explorará la carpeta, sino que ejecutará directamente el programa especificado (también debe cambiar en algún lugar del registro, porque no tiene nada que ver con nosotros, por lo que No hablaré de antivirus, para no darles una oportunidad a los malos).
Si utiliza la eliminación violenta para detectar y eliminar virus troyanos, si el archivo Autorun.inf sigue ahí después de eliminar el programa, habrá secuelas, como no poder hacer doble clic para abrir el archivo. disco.
(Por cierto, Panda Shaoshao usa este activador combinado con el elemento de inicio automático)
Dado que al hacer doble clic en el disco se iniciará el troyano, al verificar, haga clic derecho y seleccione "Abrir". O véalo en el Explorador, búsquelo y haga clic en él. "Compruébelo y elimine el archivo después de encontrarlo.
Por lo general, este tipo de archivo aparecerá como un archivo oculto y algunos más maliciosos "agregarán monitoreo y reescritura en el registro" para proteger. los archivos ocultos, una vez que cambie el sistema a "Mostrar todos los archivos", inmediatamente volverá a ser "Archivos ocultos". Cómo deshacerme de esta protección de reescritura del registro, ya lo escribí en la publicación anterior. entre en detalles aquí.
Otro disparador es modificar la asociación de archivos. ¿Qué es la asociación de archivos? La asociación de archivos se refiere a la correspondencia entre un tipo específico de archivo y un programa específico. Hay innumerables formatos de archivos en nuestro sistema, tales como: archivos de imágenes (extensiones .bmp .jpg .gif, etc.), archivos de música (mp3 mp4, etc.)... Al hacer doble clic en la imagen, el sistema llamará El programa de visualización abre y muestra la imagen en lugar de llamar al reproductor para que reproduzca la imagen. ¿Por qué el sistema sabe que debe llamar al programa de visualización en lugar de llamar al reproductor? El archivo está asociado con el visor? Asociación de programas, en consecuencia, los archivos de música están asociados con los reproductores y la mayoría de los tipos de archivos están asociados con programas específicos. De esta manera, el sistema sabe qué programa debe llamarse para abrirlo. >
Lo inteligente es que ya sabes cómo los troyanos usan asociaciones de archivos para activarlas, ¿verdad? Sí, los troyanos astutos cambian la asociación de archivos asociados con un tipo específico de archivo, por lo que una vez que abres este tipo de archivo, activará el inicio del troyano. Cuando se inicie el troyano, llamará al programa asociado normal, por lo que el archivo seguirá abriéndose normalmente y no sabrá que su operación realmente ha iniciado el troyano. ¿Se cambiarán las asociaciones de archivos? Ejem, no lo sé, solo Dios y el autor del troyano lo saben.
¿Cuántas asociaciones de archivos hay en el sistema para que cambie si abres el registro? editor, verifique la primera. Hay miles de subclaves debajo del elemento.
¿Cómo verificar?
Generalmente, los troyanos cambiarán las asociaciones de algunos archivos que usa con frecuencia, como. archivos de texto, archivos de programa, páginas web, etc. Hay muchos programas o archivos de exportación de registro en Internet que pueden restaurar estas asociaciones de archivos de uso común
Pero esta verificación obviamente no es suficiente. El autor del troyano, ya sabes, estas asociaciones de archivos comunes se verificarán y restaurarán. En realidad, no porque tengas muchas opciones: elige modificar la asociación de archivos .rar. archivo comprimido y se proporciona en Internet. Existen muchos programas de descarga en este formato de archivo, por lo que la probabilidad de que los internautas comunes abran archivos comprimidos es muy alta, y los programas asociados con dichos archivos son casi ineficaces, porque el resultado directo de la recuperación es que el archivo. Los archivos comprimidos no se pueden abrir porque el autor del programa de recuperación no es un dios, no sabe qué software de compresión está utilizando ni dónde está instalado su software de compresión. no lo restaurará por usted.
De esta manera, siempre que abra el archivo comprimido, el troyano se activará. Si el archivo asociado con el troyano es un programa oculto, entonces el programa oculto no tiene las características de un virus. , por lo que no se descubrirá el análisis completo del archivo, usted descubrió y eliminó el programa publicado, pero la fuente sigue ahí. De ahora en adelante, los troyanos serán su pesadilla persistente ~ (Acerca de los programas ocultos)
¿Cómo comprobar las asociaciones de archivos? Hay dos métodos: uno es monitorear qué asociación de archivo se ha modificado y luego volver a cambiarla. El segundo es utilizar software profesional para escanear todas las asociaciones de archivos.
¿Cómo obtener asociaciones de archivos correctas mediante monitorización?
En primer lugar, busque un programa de herramienta de monitoreo de subprocesos, active "Monitoreo de subprocesos" y luego abra continuamente los archivos de uso común y verifique si el programa se está ejecutando cuando abre el archivo, por ejemplo: Al abrir un archivo .rar, la supervisión del proceso debería mostrar ".WinRAR.exe comenzó a ejecutarse mediante Explorer.exe", esto es normal. Si muestra que Explorer.exe está ejecutando otro programa y WinRAR.exe fue iniciado por otro programa, significa que ha sido cambiado. Por supuesto, también puede abrir el registro para ver cada asociación de archivos y si es normal.
El segundo método es utilizar software profesional para escanear y filtrar los archivos del sistema, y luego los archivos restantes que no sean del sistema serán muy pocos. Obtendrá el resultado después de un poco de juicio. Simple y no hay muchos. Dicho esto, mira la imagen a continuación para entenderlo.
¿Qué debo hacer si me entero?
No lo borre a ciegas. Después de borrarlo, busque una máquina normal para exportar una normal, o dígale a su amigo que elimine la asociación de archivos, deje que su amigo exporte una normal desde su máquina y luego simplemente impórtalo en tu propia máquina por un tiempo.
Si se trata de una asociación de archivos que no pertenece al sistema, como por ejemplo: un archivo comprimido .rar, elimínelo directamente y luego busque y abra .rar. Se le pedirá que elija un programa para abrir este tipo. del archivo. En este caso, seleccione WinRar.exe y luego marque Abrir siempre programas de este tipo para abrir archivos de este tipo.
O usar otros métodos... Jeje, de hecho, mientras encuentres el troyano, el resto será fácil~~
Además, cabe señalar que hay Hay algunos desencadenantes para operaciones de archivos que no son muy obvias, por ejemplo, al abrir un sitio web, es posible que deba explicar la implementación del lenguaje de secuencias de comandos. ¿Qué está utilizando para explicar la implementación? El sistema también encontrará los programas correspondientes en el registro, como VBS, JScript y otras claves, básicamente en la clave primaria HKEY_CLASSES_ROOT.
Los programas antivirus (como Kaba, Kingsoft, etc.) utilizarán su propia DLL para registrarse bajo estas claves para ejecutar lenguajes de script y verificar primero si tienen características de virus, pero los troyanos también utilizará estos valores de claves, ejecute el troyano inmediatamente después de abrir el sitio web.
Bien, sigamos hablando de programas ocultos (controladores) ~ porque a menudo funcionan con estos mecanismos de inicio activados, y la razón por la que siempre funcionan juntos es porque el mecanismo de inicio activado puede evitar Verificar elementos y procesos de inicio. y módulos, y programas ocultos para evitar el escaneo de archivos por parte del software antivirus. Cómo trabajan estrechamente juntos para evadir nuestra inspección, hablemos de ello la próxima vez ~~~ ^-^
Capítulo 5 Programa Sombra (Conductor)
¿Qué es el programa Sombra? Todo el mundo sabe acerca de las sombras~~ Por supuesto, si hay una sombra, también debe haber un cuerpo. La sombra sólo existe para la existencia del cuerpo y no hace nada más. ¿Qué pasa con los programas paralelos? También existe para la existencia de programas de caballos de Troya y no realiza ningún trabajo con caballos de Troya.
¿Por qué los troyanos necesitan programas ocultos o controladores ocultos? Sólo hay un propósito: "proteger el programa troyano principal para que no se elimine".
¿Cómo protege el programa oculto al programa troyano principal? Antes de comprender esto, primero debemos comprender cómo el software antivirus elimina los virus.
Al comprender cómo el software antivirus detecta y elimina los virus, nos resulta más fácil comprender cómo las sombras evaden el software antivirus.
La mayoría del software antivirus se basa en firmas de virus para detectar y eliminar virus, por lo que viene con una base de datos de virus. Cuando normalmente actualizamos la base de datos de virus, la mayoría de ellos en realidad actualizan la base de datos de virus. Las tiendas son firmas de virus, al igual que los archivos de virus (altura, peso, circunferencia, rasgos faciales, etc...). ^-^ Casi similar), si el programa coincide con las características del virus en la base de datos de virus, se considerará un virus y se eliminará.
¿Cómo se generan las firmas virales? Los analistas de virus analizan los virus extraídos, por lo que se registran los virus detectados con este método de matanza, que son los que quedaron antes de cometer el crimen. Cuando salgan serán ratas cruzando la calle, y todos gritarán pidiendo palizas. .
Este tipo de asesinato es una característica rígida según sus características, siempre que cumpla con los requisitos, está bien ~~ Aunque también hay asesinatos accidentales, son relativamente raros después de todo. No hay muchos que sean exactamente iguales. Que su precisión de detección y su tasa de homicidio sean altos depende en gran medida del nivel de extracción del analista de virus. Jaja, vimos que una empresa conocida informó que un marco de controlador era un troyano ROOTKIT. Obviamente, hay serios problemas con su código de característica.
También existe el llamado tipo antidesinstalación activo. Al comparar los códigos característicos, también se analizan las características de comportamiento de los virus y los caballos de Troya, si el comportamiento de un programa coincide más con un determinado comportamiento. Más de un cierto número de veces, se considera un programa, por supuesto, la tasa de falsos positivos también ha aumentado mucho. Este tipo de asesinato se puede realizar sin antecedentes, al igual que si nunca antes has cometido un delito y no tienes antecedentes penales, pero persigues a las personas con un cuchillo y las cortas, por supuesto te atraparán, porque tu comportamiento se ajusta a las normas. las características de comportamiento del virus.
Actualmente, los virus son cada vez más populares. No es difícil obtener el código fuente del virus. Algunos niños pueden copiar una sección para propagar el virus, pero no tienen la capacidad de cambiarlo. las características del código, para que puedan evitar el escaneo y eliminación del software antivirus.
Como resultado, algunas personas comenzaron a buscar desesperadamente nuevos caparazones y agregar diferentes caparazones al virus. Sin embargo, la tecnología de empaquetado del software antivirus es cada vez mejor y también es difícil. busque software que no sea antivirus.
Así que a algunas personas se les ocurrieron otras formas de evitar el software antivirus.
El programa sombra es uno de ellos~~
El programa principal de un virus o troyano, debido a que tiene que funcionar, algunas funciones son difíciles de eliminar. El programa oculto no tiene por qué funcionar con un troyano, por lo que es esencialmente un programa normal que no utiliza ninguna tecnología de virus y no tiene ninguna característica de virus, por lo que no será detectado por el software antivirus.
Este es el propósito de los troyanos de virus que utilizan programas ocultos, porque los programas ocultos no tienen características de virus y pueden evadir el análisis exhaustivo de archivos por parte del software antivirus.
Entonces, ¿cómo protege el programa principal? En términos generales, coloca el programa principal del virus en su propio programa como recurso, luego comprime y cifra los puntos seguros del programa principal y luego lo coloca en su propio programa en forma de recursos. (Los recursos son algunos datos ~~ Por ejemplo, las imágenes utilizadas en un determinado programa son recursos de imágenes). El software antivirus generalmente solo verifica el código y no verifica los recursos de datos. De hecho, no puede verificar nada ~ existe en el. La forma de datos puros se puede cambiar de N maneras.
De esta manera, el programa sombra resuelve el problema de la supervivencia del caballo de Troya en la computadora almacenando recursos, dejando una chispa para el caballo de Troya en la computadora.
Después de eliminar el virus troyano, una vez que el programa oculto descubre que el programa principal troyano ha desaparecido, lanzará un nuevo programa principal troyano a partir de sus propios recursos. Deje que el virus del caballo de Troya se regenere, haciéndole incapaz de matarlo, hasta que esté tan cansado y débil que se dé por vencido.
¿Cómo descubre el programa oculto que el programa troyano principal ha sido eliminado?
Hay dos métodos. Uno es agregarse a una ubicación de inicio y se iniciará automáticamente cada vez que encienda la computadora después del inicio, si descubre que el programa principal del troyano no está. Ya no esté allí, libere una copia del troyano. Después de que se inicie, salga usted mismo. Si existe, el programa oculto saldrá directamente.
El segundo es utilizar el mecanismo de activación en espera para esperar a que usted active el programa oculto. El programa oculto comprueba si el troyano existe. Si no existe, lo libera, lo inicia y luego sale. por sí mismo. Si existe, saldrá directamente.
Debido a que el tiempo de ejecución del programa oculto es de solo unos segundos ~~~ Por lo tanto, la verificación de su proceso es de poca utilidad, porque generalmente no se ejecutará ~
Para tratar con los programas ocultos, solo se pueden iniciar a través de elementos de inicio. Los programas ocultos también se han dado cuenta de esto, por lo que muchos programas ocultos utilizan un mecanismo de activación, por lo que cuando verificamos, también debemos prestar atención para verificar si hay un troyano activador.
Jaja, la conclusión ya está disponible, amigos, no se apresuren con los ojos rojos a matarlos cuando vean un proceso sospechoso ~~ Matar procesos, eliminar archivos y desinstalar módulos son solo soluciones temporales, no la causa raíz ~~ ¿Qué está pasando? Tienes que encontrar la "causa raíz" desde la raíz ~~ De lo contrario, los virus y troyanos no se eliminarán por completo ~~ Más importante aún, el sistema matará cada vez más y matará más. y más, y matar más y más. Lo más importante es que el sistema se apaga cada vez más lento~~Al final, tengo que reinstalar el sistema para resolver el problema~~
¿Es rápido restaurar usando GHOST? ¿No sabías que Panda elimina los archivos de copia de seguridad de GHOST? Panda puede eliminarlo, al igual que otros. No les resulta difícil eliminar un archivo.
¿Es seguro reinstalar el sistema?
¿Por qué no puedes saber si es seguro reinstalar tu sistema buscando en Internet y viendo cuán riesgosos son los sistemas operativos disponibles para descargar?
Este es otro tema~~~Troyano de modificación y reemplazo de archivos~~~Un tipo de troyano muy deprimente~~~Hablemos de ello la próxima vez~~~
Sudor~~ ~ Pensar en ello es un gran dolor de cabeza ~~
Imagen de referencia: el controlador de sombra de CNNIC El círculo azul es el controlador de sombra y el rojo es el controlador de sombra. El nombre del controlador de sombra es aleatorio. Cambia cada vez que se enciende.
Utilice esta imagen para responder las preguntas restantes que le hizo un amigo la última vez sobre la limpieza de CNNIC:
En la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root, también hay una servicio de controlador coincidente Algunas claves, si usa otras herramientas de limpieza, recuerde borrarlas también. Si está utilizando otras herramientas de eliminación, recuerde eliminarlas también. Si está utilizando 5.0.0.7, no necesita borrar esta clave; se borrará automáticamente cuando limpie el controlador. (Nota: 5.0.0.6 no tiene la función correspondiente. Es posible que la función de detectar automáticamente el controlador oculto ya no esté ~~ Elimínela manualmente o busque otras herramientas para usarla. Realmente no puedo esperar a la versión de prueba de 5.0. 0.7~)
Límpielo cuando limpie~~De lo contrario~~~Oye~~Esto es de lo que habla el encendido de recuperación muerta~
CNIC también tiene una función de notificación de apagado~ ~ No lo olvides
CNIC también tiene una función de notificación de apagado, no lo olvides; de lo contrario, incluso si se limpia, se volverá a escribir directamente cuando se apague.
¿Qué?
Actualmente hay dos formas de afrontarlo:
Una es la forma estúpida. ¿El sistema no le notifica cuando se apaga? No quiero que el sistema me notifique, simplemente presione RESET y arranque la máquina en frío, ¡OK~~ -_-!
El segundo es restaurar el GANCHO y el GANCHO EN LÍNEA de FSD, luego eliminar todos los archivos de programa relacionados, archivos de controlador y archivos DLL, luego reiniciar y eliminar los elementos de inicio, y todo estará bien (nota, bloquear el El sistema no parece ser de ningún beneficio para CNNIC
Además, amigos que están acostumbrados a usar AutoRuns.exe, tengan en cuenta que el AutoRuns.exe que uso es el elemento de inicio de la versión 22. no marcado. Controlador CNNIC ~ Si CNNIC está marcado, debe modificarlo antes de usarlo ~
Además, hay muchos productos en IDC Group Buying Online, con precios bajos y buena reputación
<. p>Compras online de IDC Group Hay muchos productos con precios económicos y buena reputación.