|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-06-26, 06:02 AM | #1 |
榮譽會員
|
軟體 - 如何識別非法工作行程與手工殺毒
如何識別非法工作行程與手工殺毒
簡單地說,工作行程是程式在電腦上的一次執行活動。當你執行一個程式,你就啟動了一個工作行程。工作行程又分為系統工作行程和用戶工作行程。系統工作行程主要用於完成操作系統的功能,而QQ、Foxmail等應用程式的工作行程就是用戶工作行程。 工作行程的重要性體現在可以通過觀察它,來判斷系統中到底執行了哪些程式,以及判斷系統中是否入駐了非法程式。正確地分析工作行程能夠幫助我們在殺毒軟件不起作用時,手動除掉病毒或木馬。 瞭望工作行程 如何知道系統中目前有哪些工作行程?在Windows98/Me/2000/XP/2003中,按下「Ctrl+Alt+Delete」組合鍵就可以直接檢視工作行程,或打開「Windows 任務管理器」的「工作行程」選項來檢視工作行程。通常來說,系統常見的工作行程有winlogon.exe,services.exe,explorer.exe,svchost.exe等。要熟悉工作行程,首先就要熟悉最常見的系統工作行程,這樣當發現其它奇怪的工作行程名(如HELLO,GETPASSWORD,WINDOWSSERVICE等等)時就方便判斷了。 一般殺滅工作行程法 1.有的工作行程在工作行程選項中無法刪除,這時可以打開註冊表編輯器(在「開始→執行」中鍵入regedit),找到「HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun」下面的鍵,將可疑的選項刪除。 2.另外,還可以通過系統的「管理工具」裡面的「服務」檢視目前的全部工作行程。這裡重點要看服務中啟動選項為「自動」的那部分工作行程,檢查它們的名字、路徑以及登入賬戶、服務內容的「恢復「裡面有沒有重啟電腦的選項(有些機器不斷內容的重新啟動的秘密就在這裡)。一旦發現可疑的名字需要馬上禁止此工作行程的執行。 而要徹底刪除這些程式工作行程可以用下面的辦法: 打開註冊表編輯器,展開分支「HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices」,在右側視窗內中顯示的就是本機安裝的服務項,如果要刪除某項服務,只要刪除註冊表中相關鍵值即可。 3.除了上面兩種方法,我們還可以先檢視這個工作行程文件所在的路徑和名稱。重啟系統,按F8鍵進入安全模式,然後在安全模式下刪除這個程式。 這裡,筆者編寫了容易被大家認出來的非法工作行程服務(系統工作行程)舉例說明:HELLO-WORLD SERVICE 1。我們可以輕鬆地在工作行程列表和「服務」中找到它。根據上面的方法,我們可以把這個工作行程殺掉或禁用。 不少病毒和木馬是以用戶工作行程的形式出現的,所以大部分人認為「病毒是不可能獲得『SYSTEM』權限的」。其實,這是個錯誤的想法,很多病毒或木馬也能獲得SYSTEM權限,並偽裝成系統工作行程出現在你面前。所以這類病毒就相當容易迷惑人,遇到這種情況,只有不斷提高並關注系統安全方面的知識,才能準確判斷該工作行程是否安全。 |
__________________ |
|
送花文章: 3,
|