楼主: 天月来了
收起左侧

[原创文章] 天琊超级进程监视器防护系统教程(39楼后面有相关内容)6.11日更新程序

  [复制链接]
天月来了
 楼主| 发表于 2009-4-27 11:34:13 | 显示全部楼层
没事聊我自己了解的一点病毒知识。

    一般系统内中毒目前大致有这样的四个主要途径。

    1、浏览网页中毒。
    2、局域网内其他中毒电脑影响
    3、使用移动存储设备
    4、自己下载了自以为没问题的游戏、安装文件、一些小程序等运行后中毒。

    这四个途径中,浏览网页中毒已经是最主要的途径了,一般它的中毒流程就是所浏览的网页包含恶意代码,浏览器执行后台下载病毒文件,并运行。

    而局域网内其他中毒电脑的影响,主要是通过共享和arp欺骗的方式感染你的电脑。其中感染型(就是修改正常文件的方式的感染)的病毒利用共享感染你的文件是很烦的。另外病毒通过arp手段影响你的系统,也是很恼火的事。

    在使用移动存储设备中毒的情况中,有这样的一些情况:

    1、利用系统自动播放,利用移动存储设备根目录下的autorun.inf文件来让系统中打开移动存储设备的时候启动病毒的方式。
    2、比较特殊点的,恶意隐藏移动存储设备内的文件夹,并创建同名文件的“文件夹病毒”引诱用户运行病毒的方式。
    3、大量用户喜欢直接用移动存储设备转移一些可执行程序,然后拿到自己的电脑上直接运行,而这个过程中,极易在其他电脑上被感染型病毒感染,这样也会导致自己的电脑中毒。
    4、还是那样上面的第四个,直接用移动存储设备去别的电脑下载了自以为没问题的游戏、安装文件、一些小程序等运行后中毒。

    那么在一开始我们说的四个途径中的最后一个自己下载了自以为没问题的游戏、安装文件、一些小程序等运行后中毒。这目前不是最主要的,但是这个是网页首页被恶意修改的主要途径。呵呵!!!
*****************************************************************
    下面我们聊一聊大致的防护方式。不是能绝对的防止中毒,至少能使你的系统安全性提高很多。

    首先关于浏览网页中毒,这个的防护,我们需要首先自己养成良好的上网习惯,不要因为好奇心理去点击不明网页。当然了,我们不排除原本无毒的正常的网站被制毒的人挂马,因此我们还需要依赖安全软件来防护自己的系统,目前瑞星的恶意网页的拦截,已经开始大规模的支持在线升级更新,已经可以较好的阻止利用浏览器漏洞恶意后台执行病毒下载和运行的行为了。同时金山的网盾目前在不断的测试升级中效果也不错,其他的类似功能的软件,各家都有,我就不多说了。在使用电脑的过程中,相关软件跳出的安全提示,一定需要你自己正确干预的,如果你选择了错误的操作,可能病毒还是会运行起来,一般建议网页类的安全提示全部选择拒绝为好,阻止一切不正常的网页行为。同时它们都需要使用者发现不正常的网页导致你系统中毒,而安全软件没能拦截的情况下,尽量上报各家论坛,这样安全软件才能更快速的更新软件。我个人建议学学使用沙盘类软件配合瑞星等杀毒软件来浏览网页,安全性会提高很多。

    接下来是局域网内其他中毒电脑影响,这很麻烦,因为最终的解决,需要去干掉那已经中毒的电脑,否则很难彻底解决问题的。针对利用共享来感染正常文件的方式,唯有自己的系统内的所有帐户设置极其强壮的密码,包括内置的管理员帐户等。都要设置复杂密码。怕忘记,就自己找东西记录下嘛。不要懒。同时不要设置全放开的共享文件夹,因为你为了自己方便设置了这样的文件夹,极易被感染型病毒感染共享文件夹内的文件,你以后一打开文件极易中毒。至于利用arp欺骗方式恶搞的情况,目前只有开启瑞星防火墙里的arp欺骗防御,或者利用金山的免费的arp防火墙阻止病毒影响。然后催促网管处理已中毒的其他电脑,没别的好办法了。

    再下来是使用移动存储设备导致的中毒,这个根据它的情况,一般只建议对应的:
    1、使用安全软件阻止移动存储设备根目录下的autorun.inf文件的读取,以及取消Windows系统的自动播放功能。
    2、阻止不明程序运行,并设置系统显示隐藏文件,显示系统文件,显示文件扩展名,然后平时注意观察移动存储设备内的文件和文件夹的异常。
    3、和4、的情况需要自己在使用任何不明程序之前,习惯这里上传检测一下:http://www.virscan.org/如果绝大多数报毒,还是放弃使用为好,如果文件量过大等原因无法判断的,还是建议即时使用官网的原始文件为好,不要去随意使用其他电脑内的程序文件什么的。
*****************************************************************
    从中毒的全部情况来看,他们有一特点,就是病毒必须得运行起来,其运行方式有下面几种主要方式:

    1、病毒自身运行,创建新进程。
    2、利用系统的部分程序加载自身,一般初期执行的时候,也需要命令行启动对应需要的系统程序,也存在创建新进程的行为。
    3、一些安装程序或游戏程序内包含病毒,这个就比较复杂了,还是需要自己不去玩不了解的东西。没别的好办法。除非你自己会动手,利用HIPS类软件或瑞星主动防御去监控所用的程序的行为是否有异常,不过这更复杂,没多少人会折腾。
    4、被强感染型病毒感染后的程序的运行,这极其危险,也是最难处理的,因为如果病毒的感染,你使用当前的杀毒软件升级后能杀还好,如果是不能检测到的,那么你一旦运行后,系统必然中毒。此情况,还是需要用户自己谨慎了,也没别的好办法,还是那话,不去玩不了解的东西。

    但是我们从这整个过程中还是可以知道,绝大多数的情况下,病毒是需要运行起来的,那么我们阻止病毒一开始的第一次运行是重中之重的事了。如果我们不能阻止病毒一开始的第一次运行,那后面也没什么好讲的了,单纯依赖各种安全软件去阻止病毒运行后的后期防护,那不现实的。只有阻止第一次的运行才是根本。因此我推荐了这简易进程监视器给大家体验所谓的HIPS软件的初级进程监控以及规则制定的过程。

    我不在这里多谈中毒后的后期补救了,什么防火墙阻止不明程序访问网络呀,什么监控文件创建啦等等。在中毒后,这些已经不是绝对的有用或者能解决你系统内已经中的毒了。那样痛苦的折腾,还不如重装新系统或恢复系统备份呢。呵呵!!!

    阻止不明程序的运行,可以大大减少系统中毒的概率,这已经是改变不了的安全防护过程了。不要企图单纯依赖杀毒软件去帮你没任何提示的情况下去高效的防护系统,那也是不现实的。

    我们个人用户在配合安全软件进行人工干预来维护系统安全,已经是将来的主要方式了。想什么都不提示,全部智能化的由安全软件自身判断,那绝对会被每次出现的新病毒所恶搞。

    例如:之从我们中国人越来越多的人习惯将磁盘分多区,越来越习惯将软件安装在非系统分区后,我们中国的强感染型病毒,都偏向于仅感染非系统盘的文件。而国外的感染型病毒更多的会选择感染除Windows目录外的所有磁盘、所有文件夹内的文件。呵呵!!

    再例如:我们的所有安全软件都默认放过微软签名的程序运行以及执行任意命令行来加载文件运行,因此现在的主流的病毒,尤其是利用系统自动播放的病毒,都开始利用桌面进程去调用系统部分程序去加载病毒运行了,我上面的举例可以看到典型的病毒初期加载过程和行为。

    例如:我提到的今年2009年最热闹的那个conficker病毒,它在利用U盘等移动存储设备传播的过程中,也是依赖桌面进程调用rundll32.exe加载回收站内的jwgkvsq.vmx文件运行的。它的命令行会很容易的被我推荐的简易进程监视器监视到。(此病毒行为竟然能迫使发达国家部分重要安全部门禁止工作人员使用移动存储设备了,汗死!)

    现在想一想,应该大致知道为什么这两年病毒开始流行利用微软程序加载自身运行,而去放弃过去的那种直接运行病毒自身的*.exe程序的原因了吧??

    所以我们的习惯或我们的安全软件的安全手段的变化,也迫使病毒不断更新自己的感染正常电脑的行为或方式。

    但是我还是要强调的是,目前主流病毒,绝大部分你能见到的病毒,第一次的运行,都需要创建进程或利用系统来执行命令行的。(除非是运行被病毒强感染的可执行文件。)这大致都可以利用进程监视器观察监视到。将来的安全软件必然要考虑增加很强的进程行为监控,所以还是尽早来学点进程监控的东西吧。

评分

参与人数 2人气 +2 收起 理由
小小梦 + 1 不客气吸收了
backway + 1 可以评分了^_^

查看全部评分

天月来了
 楼主| 发表于 2009-4-27 11:34:46 | 显示全部楼层
我晕

前面的各贴要是能删除多好
tawny2008
发表于 2009-4-27 12:34:18 | 显示全部楼层
原帖由 天月来了 于 2009-4-27 11:34 发表
我晕
前面的各贴要是能删除多好


哈哈,这就是不自沙的后果,以后要记住了^_^
tawny2008
发表于 2009-4-27 12:36:46 | 显示全部楼层
哦,原来有占沙发啊,你的情况太特殊了
天月来了
 楼主| 发表于 2009-4-27 17:49:33 | 显示全部楼层

回复 44楼 tawny2008 的帖子

你找人帮我整理整理这贴吧

要不没人看到后面的
evilrabbit
发表于 2009-4-27 17:53:33 | 显示全部楼层

回复 45楼 天月来了 的帖子

你可真懒。
天月来了
 楼主| 发表于 2009-4-27 18:00:29 | 显示全部楼层

回复 46楼 wolfwalk888 的帖子

我知道你要我将内容挤在沙发贴里

evilrabbit
发表于 2009-4-27 18:03:39 | 显示全部楼层

回复 47楼 天月来了 的帖子

是水木MM抢的沙发啊   你可以把帖子的链接复制到主题贴里,哈哈  这样就好了
a22124497
发表于 2009-4-28 16:22:45 | 显示全部楼层
学习了
天月来了
 楼主| 发表于 2009-5-2 20:13:05 | 显示全部楼层
关注后期杀毒工具的,远比关注这类早期防护的多。



唉...............

什么时候各位能注重防,而不是后期的杀哟
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 15:02 , Processed in 0.106850 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表