巧妙從程序中判斷出病毒
當我們確認系統中存在病毒,但是通過“工作管理員”檢視系統中的程序時又找不出異樣的程序,這說明病毒採用了一些隱藏措施。下面是小編收集整理的,希望對大家有幫助~~
總結出來有三法:
1.以假亂真
系統中的正常程序有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你發現過系統中存在這樣的程序:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。對比一下,發現區別了麼?這是病毒經常使用的伎倆,目的就是迷惑使用者的眼睛。通常它們會將系統中正常程序名的o改為0,l改為i,i改為j,然後成為自己的程序名,僅僅一字之差,意義卻完全不同。又或者多一個字母或少一個字母,例如explorer.exe和iexplore.exe本來就容易搞混,再出現個iexplorer.exe就更加混亂了。如果使用者不仔細,一般就忽略了,病毒的程序就逃過了一劫。
2.偷樑換柱
如果使用者比較心細,那麼上面這招就沒用了,病毒會被就地正法。於是乎,病毒也學聰明瞭,懂得了偷樑換柱這一招。如果一個程序的名字為svchost.exe,和正常的系統程序名分毫不差。那麼這個程序是不是就安全了呢?非也,其實它只是利用了“工作管理員”無法檢視程序對應可執行檔案這一缺陷。我們知道svchost.exe程序對應的可執行檔案位於“C:\WINDOWS\system32”目錄下***Windows2000則是C:\WINNT\system32目錄***,如果病毒將自身複製到“C:\WINDOWS\”中,並改名為svchost.exe,執行後,我們在“工作管理員”中看到的也是svchost.exe,和正常的系統程序無異。你能辨別出其中哪一個是病毒的程序嗎?
3.借屍還魂
除了上文中的兩種方法外,病毒還有一招終極大法——借屍還魂。所謂的借屍還魂就是病毒採用了程序插入技術,將病毒執行所需的dll檔案插入正常的系統程序中,表面上看無任何可疑情況,實質上系統程序已經被病毒控制了,除非我們藉助專業的程序檢測工具,否則要想發現隱藏在其中的病毒是很困難的。
怎樣判斷一個程式是否有病毒