如何实现进程保护?
一般常用的保护方法有几种: 1,设置进程属性为隐藏。
这种只能骗一般的人; 2,API钩子勾住任务管理器里的TermiteProcess进程; 3,API全局钩子够上面的那个进程,这样就不怕它用任务管理器之外的工具杀你了; 4,勾住SSDT的函数,如果用卡巴,就有点麻烦,因为它也是用这招,就看谁先取得了。
5,写中断门; 6,写内核态驱动…… …… 以上方法,从上往下,一个比一个有效。
如果你到了第四层,杀毒软件也未必能干掉你的进程还有就是使用软件哑巴进程保护器 2.34http://www.onlinedown.net/soft/50035.htm
杀毒软件的杀毒原理
一个杀毒软件无异于一个信息分析的系统,当它发现某些信息被感染后,就会清除其中的病毒。
假设信息是在“源系统”中,必须到达“目标系统”。
这里所称的源系统可以是一个软盘,目标系统可能是计算机的硬盘,或者源系统是存储在ISP的一条消息,而目的系统是客户端计算机上基于Winsock协议的Windows通讯系统。
信息解释系统依据操作系统、应用程序或者是否需要特殊的机制等因素的不同是有区别的,该解释机制必须明确对应杀毒软件所要作用的操作系统或组件。
例如:在Windows 9X系统中,需要采用一个虚拟驱动程序VxD来不断监控磁盘的行为。
通过这种方式,每当硬盘或者软盘中的信息被存取时,杀毒软件就会截取对该磁盘的读写操作,并扫描将要读取或保存的信息。
此种操作在Windows NT/2000/XP中是通过内核模式中的一个驱动来实现的,而在Novell中,磁盘活动的解释是通过一个NLM模块实现的。
对于那些为某些特殊应用而设计(而非为某个操作系统设计)的杀毒软件,其解释机制和上面所介绍的是不同的。
例如,对于支持CVP防火墙的杀毒软件,是由防火墙通过CVP协议来为杀毒软件传递需要扫描的信息;而对于支持Sendmail的杀毒软件, MilterAPI过滤器为信息的解释提供了便利。
某些时候,解释机制既不是由杀毒软件提供(如VxD虚拟驱动),也不是由某种应用提供(如CVP 协议)。
在这种情况下,必须采用介乎于应用和杀毒软件之间的一种特殊的解释机制。
换句话说,通过某种资源来解释信息并将其传送给杀毒软件,这些资源和杀毒软件之间是一种紧密集成的关系,这样有助于杀毒软件清除病毒。
无论采用何种方式,一旦在扫描信息的过程中检测到一种威胁(病毒),将会采取两种措施: 1. 清除干净的信息将会返回给解释机制,然后再由该解释机制返回给原来的系统以便于它能够继续到达其最终目的地。
这意味着如果接收到一封电子邮件,该邮件仍然会被允许到达其目的邮箱;如果是复制一个文件,复制过程将仍然会被允许正常进行直至结束。
2. 会向用户界面发送一个警告,该用户界面可能是多种多样的。
对于工作站端的杀毒软件,将会在屏幕上显示一条信息,但是对于针对服务器的杀毒模块,警告将会以电子邮件、内部网络消息、病毒报告中的一条记录或者传递给杀毒软件管理工具的某种消息的形式发送。
杀毒程序能够提供高级的防护、阻止任何带给用户的特别“惊奇”。
这就象往某个盒子中投入XXX元钱以获得心灵上的平安那么简单。
扫描引擎 无论需要扫描的信息是如何获得的,对于杀毒软件而言最重要的特征就是:病毒扫描引擎。
该引擎扫描它所截取的数据以查看其中是否包含病毒,如果有病毒就会将其清除。
信息的扫描通常通过两种方式进行:一种是将扫描信息与病毒数据库(即所谓的“病毒特征库”)进行对照,如果信息与其中的任何一个病毒特征符合,杀毒软件就会判断此文件被病毒感染。
但是对于某些新的病毒或危险信息,在病毒数据库中并没有它们的特征,此时通过一种称为“启发式扫描”的方法有可能将其检测出来。
该方法是通过分析信息的行为并将其与一个危险行为样式库进行对照以判别信息的危险性。
例如,如果某个文件试图格式化检测到的硬盘,杀毒软件就会警告该用户。
尽管该文件也许是用户刚刚安装在系统中的一个新的格式化程序而不是病毒,但是该行为是危险的。
一旦杀毒软件通过声音向用户发出警告,接下来就由用户来判断是否要采取这种危险的操作了。
以上两种方法各有优缺点。
如果仅采用病毒特征库系统,那么至少每天更新一次病毒库就显得尤为重要。
您必须时刻牢记每天全球至少会有超过15种新的病毒出现,如果杀毒软件两三天都不更新病毒库就变得很危险了。
启发式扫描的缺点是会向你误报一些本不是病毒的信息,如果你每天遇到很多此类的误报,很快就会对这种警告感到厌烦。
没有安装杀毒软件如何自己动手杀毒
1.找到病毒 进程法:有的病毒在热启动(CTRL+ALT+DEL)就可以看出来,它们总是想隐藏自己成为系统里面的特殊文件,仔细看就可以看出猫腻了。
什么把l(字母)写成1(数字)啦,把O(字母)变成了0的啊,更好笑的是连大小写都出来了,其实只要认真看问题就简单。
如果你对进程不是很了解的话,建议把它名字记下来去百度找找,应该可以找到答案。
特别要注意的是你在用热启动的时候,最好不要开任何文件和软件,这样比较好辨认。
启动法:现在的病毒和木马都会自己随系统而启动,那么我们就可以根据这个把它找到。
开始——运行——输入msconfig在启动选项就可以看到启动的项目和命令还有位置,把你觉得十分可疑的前面的沟去掉就可以了。
记下那些可疑的启动项命令的地址,将来杀的时候能够用到。
这样可就看到病毒了,也可以在运行里面输入regedit(注册表),HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion的RunOnce,还有RunServices和Run,还有另外一个HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion的RunOnce,以及RunServices和Run的可疑的启动文件都删就好。
文件法:这个比较难麻烦,一步步来就好。
我们先打开“我的电脑”工具栏里面的“工具选项”——“查看”——“隐藏受保护的操作系统文件(推荐)”的勾去掉,选择显示所有文件和文件夹,去以下的文件夹看看有没有可疑的文件。
(系统盘用X:/表示) X:/ X:/WINOWS X:/WINDOWS/SYSTEM32 X:/WINDOWS/SYSTEM X:/Program Files/Internet Explorer X:/windows/Temporary Internet Files/Temporary Internet Files X:/temp 还有X:/winows/temp X:/Documents and Settings/Administrator/Templates x:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files X:/Documents and Settings/Administrator/Local Settings/Temp 还有各个分区的这些文件夹里面都是病毒常常光顾的地方。
有的文件很多,象SYSTEM32就有几百个,怎么找呢?建议使用右键排列图标——修改时间,这样就快很多了。
系统编辑器法:运行——sysedit看有没有可疑的文件,可是这个最好不要乱修改(比较危险),不确定的话还是去搜索下比较好。
2.杀毒 前面说了几种的找毒的方法,根据上面的话,我们就可以知道病毒的名称和地址。
那么还不开工,杀毒最好是在断网和在安全模式的时候,为什么呢?据说是在DOS下杀毒的时候最好,可是对于杀毒新手的话,我还是认为先从安全模式下杀比较好,有GUI(图形系统)比那黑白DOS强多了。
开机——按F8进入安全模式,使用文件法的前几步使隐藏文件显示,进去我的电脑按F3搜索界面,接着是搜索删文件。
记得,在更多搜索选项要全选。
删掉了之后还要记得在各个盘的回收站里面的东西全删去,每个盘的回收站都是叫Recycled的。
可是有的病毒是很狡猾的啊,那么我们就要用到工具。
介绍几个我常用来辅助杀毒的工具:一个是Tcpview,查看端口是否存在问题,如果有木马可是一看就能发现的。
还有就是IceSword和windows优化大师的WinProcess,我个人比较喜欢的是WinProcess,因为它查看进程的时候可以在网上搜索到跟进程相似的东西,省去自己上网输入进程名字的步骤,方法是进程描述中的更多相关信息。
这个要先对进程比较了解,这样就可以知道哪个是冒充的进程了,找到你个进程后,结束,如果结束不了,可以先找到他的pid值,然后用这个命令就可以强行的结束ntsd -c q -p pid 再看看进程的路径,然后到系统中去搜索,最关键的是要去注册表中把它的自启动项删除了。
上面都介绍了。
不过手动杀毒也的有相应的工具辅助,如360安全卫士,冰纫,卡卡等。
怎么关闭杀毒软件开机自动运行
不同的杀毒软件,关闭方法不相同。
以腾讯电脑管家为例,关闭开机自运行的方法如下:1,点开腾讯电脑管家;2,点击右上角“设置”,选择“设置中心”;3,取消勾选“开机时自动运行电脑管家”,确定保存即可。
木马病毒的工作原理,中毒后一般进程表现
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。
虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。
相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。
在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。
下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。
一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。
当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。
正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。
当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。
然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell='木马'文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。
重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。
至此,我们就大功告成了。
小知识: “木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。
在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪 解决办法:现在下载个360安全卫士,为什么推荐它呢?由于它跟卡吧斯基联手,下一个安全卫士能免费试用三个月卡吧斯基,这样你的问题就能解决。
下载安全卫士后它再把卡吧斯基装上,这在安全卫士杀马程序就能操作的,无须到网站上下,方便简洁。
下完后它会提示你把现有的杀毒软件谢载掉,把它谢完重启后再装卡吧斯基,最后装完升级,重启进入安全模式。
这样差不多能百分百把木马干掉,我还没试过这方法不爽的。
你试试吧
怎么关闭360杀毒软件呢
关闭360杀毒软件有两个方法:第一,从任务栏直接退出,右键单击360杀毒的图标,点击“退出”,然后360会弹出一个确认对话框,这时点击“继续退出”就可以了。
如图:第二,同时按下键盘“Ctrl+alt+delete“键,打开任务管理器,在任务管理的进程中结束360所运行的进程即可!如图:
江民杀毒软件的程序名是什么?
江民杀毒软件的程序名不同版本是不同的,如在WinXP下kv2009的程序名是kvxp.kxp(江民自己注册的),在kv2010和kv2011的主程序名是kvxp.exe。
如果你这种原因可能是用江民保护系统恢复的话,就不要使用一键恢复之类的软件(如:Ghost)否则就会出现这样的难以预料的结果。
建议:先卸载一键恢复,然后再将杀毒软件重新安装一遍。
安完后在“服务”输入通行证即可。
(如果没有通行证,就输入序列号,然后再注册通行证。
)
如何将McAfee卸载干净?Mcafee杀毒软件的卸载方法有哪些?
可以使用控制面板里的卸载程序来卸载McAfee杀毒软件,卸载完成后使用腾讯电脑管家的垃圾清理功能即可将McAfee卸载干净好的卸载方法操作如下:1.点击开始-控制面板-卸载程序-找到McAfee点击卸载2.根据提示完成卸载3.打开腾讯电脑管家-垃圾清理-垃圾扫描-立即清理,即可清除卸载McAfee后遗留的注册表等垃圾,从而将其卸载干净。
转载请注明出处51数据库 » 杀毒软件的保护进程方法