|
|
第一:進程是什麼
進程為應用程序的運行實例,是應用程序的一次動態執行。看似高深,我們可以簡單地理解為:它是操作系統當前運行的執行程序。在系統當前運行的執行程序里包括:系統管理計算機個體和完成各種操作所必需的程序;用戶開啟、執行的額外程序,當然也包括用戶不知道,而自動運行的非法程序(它們就有可能是病毒程序)。
危害較大的可執行病毒同樣以「進程」形式出現在系統內部(一些病毒可能並不被進程列表顯示,如「宏病毒」),那麼及時查看並準確殺掉非法進程對於手工殺毒有起著關鍵性的作用。
第二:什麼是木馬
木馬病毒源自古希臘特洛伊戰爭中著名的「木馬計」而得名,顧名思義就是一種偽裝潛伏的網路病毒,等待時機成熟就出來害人。
傳染方式:通過電子郵件附件發出,捆綁在其他的程序中。
病毒特性:會修改註冊表、駐留內存、在系統中安裝後門程序、開機載入附帶的木馬。
木馬病毒的破壞性:木馬病毒的發作要在用戶的機器里運行客戶端程序,一旦發作,就可設置後門,定時地發送該用戶的隱私到木馬程序指定的地址,一般同時內置可進入該用戶電腦的埠,並可任意控制此計算機,進行文件刪除、拷貝、改密碼等非法操作。
防範措施:用戶提高警惕,不下載和運行來歷不明的程序,對於不明來歷的郵件附件也不要隨意打開。
第三:什麼是計算機病毒
計算機病毒是一個程序,一段可執行碼。就像生物病毒一樣,計算機病毒有獨特的複製能力。計算機病毒可以很快地蔓延,又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被複制或從一個用戶傳送到另一個用戶時,它們就隨同文件一起蔓延開來。
除複製能力外,某些計算機病毒還有其它一些共同特性:一個被污染的程序能夠傳送病毒載體。當你看到病毒載體似乎僅僅表現在文字和圖象上時,它們可能也已毀壞了文件、再格式化了你的硬碟驅動或引發了其它類型的災害。若是病毒並不寄生於一個污染程序,它仍然能通過佔據存貯空間給你帶來麻煩,並降低你的計算機的全部性能。可以從不同角度給出計算機病毒的定義。一種定義是通過磁碟、磁帶和網路等作為媒介傳播擴散,能「傳染」 其他程序的程序。另一種是能夠實現自身複製且藉助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為製造的程序,它通過不同的途徑潛伏或寄生在存儲媒體(如磁碟、內存)或程序里。當某種條件或時機成熟時,它會自生複製並傳播,使計算機的資源受到不同程序的破壞等等。這些說法在某種意義上借用了生物學病毒的概念,計算機病毒同生物病毒所相似之處是能夠侵入計算機系統和網路,危害正常工作的「病原體」。它能夠對計算機系統進行各種破壞,同時能夠自我複製, 具有傳染性。
所以, 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(或程序)里, 當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。
第四:什麼是蠕蟲病毒
蠕蟲病毒是計算機病毒的一種。它的傳染機理是利用網路進行複製和傳播,傳染途徑是通過網路和電子郵件。
蠕蟲病毒利用了微軟視窗操作系統的漏洞,計算機感染這一病毒后,會不斷自動撥號上網,並利用文件中的地址信息或者網路共享進行傳播,最終破壞用戶的大部分重要數據。
蠕蟲病毒的一般防治方法是:使用具有實時監控功能的殺毒軟體,並且注意不要輕易打開不熟悉的郵件附件。
第五:什麼是廣告軟體Adware
廣告軟體(Adware)是指 未經用戶允許,下載並安裝或與其他軟體捆綁通過彈出式廣告或以其他形式進行商業廣告宣傳的程序。安裝廣告軟體之後,往往造成系統運行緩慢或系統異常。
防治廣告軟體,應注意以下方面:
1、不要輕易安裝共享軟體或「免費軟體」,這些軟體里往往含有廣告程序、間諜軟體等不良軟體,可能帶來安全風險。
2、有些廣告軟體通過惡意網站安裝,所以,不要瀏覽不良網站。
3、採用安全性比較好的網路瀏覽器,並注意彌補系統漏洞。
第六:什麼是間諜軟體Spyware
間諜軟體(Spyware)是能夠在使用者不知情的情況下,在用戶電腦上安裝後門程序的軟體。 用戶的隱私數據和重要信息會被那些後門程序捕獲, 甚至這些 「後門程序」 還能使黑客遠程操縱用戶的電腦。
防治間諜軟體,應注意以下方面:
1、不要輕易安裝共享軟體或「免費軟體」,這些軟體里往往含有廣告程序、間諜軟體等不良軟體,可能帶來安全風險。
2、有些間諜軟體通過惡意網站安裝,所以,不要瀏覽不良網站。
3、採用安全性比較好的網路瀏覽器,並注意彌補系統漏洞。
第七:Dll文件是什麼
DLL是Dynamic Link Library的縮寫,意為動態鏈接庫。在Windows中,許多應用程序並不是一個完整的可執行文件,它們被分割成一些相對獨立的動態鏈接庫,即DLL文件,放置於系統中。當我們執行某一個程序時,相應的DLL文件就會被調用。一個應用程序可有多個DLL文件,一個DLL文件也可能被幾個應用程序所共用,這樣的DLL文件被稱為共享DLL文件。DLL文件一般被存放在C:\WindowsSystem目錄下。
1、如何了解某應用程序使用哪些DLL文件
右鍵單擊該應用程序並選擇快捷菜單中的「快速查看」命令,在隨後出現的「快速查看」窗口的「引入表」一欄中你將看到其使用DLL文件的情況。
2、如何知道DLL文件被幾個程序使用
運行Regedit,進入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-
ersionSharedDlls子鍵查看,其右邊窗口中就顯示了所有DLL文件及其相關數據,其中數據右邊小括弧內的數字就說明了被幾個程序使用,(2)表示被兩個程序使用,(0)則表示無程序使用,可以將其刪除
。
3、如何解決DLL文件丟失的情況
有時在卸載文件時會提醒你刪除某個DLL文件可能會影響其他應用程序的運行。所以當你卸載軟體時,就有可能誤刪共享的DLL文件。一旦出現了丟失DLL文件的情況,如果你能確定其名稱,可以在Sysbckup(系統備份文件夾)中找到該DLL文件,將其複製到System文件夾中。如果這樣不行,在電腦啟動時又總是出現「***dll文件丟失……」的提示框,你可以在「開始/運行」中運行Msconfig,進入系統配置實用程序對話框以後,單擊選擇「System.ini」標籤,找出提示丟失的DLL文件,使其不被選中,這樣開機時就不會出現錯誤提示了。
rundll的功能是以命令列的方式呼叫Windows的動態鏈結庫。
Rundll32.exe與Rundll.exe的區別就在於前者是呼叫32位的鏈結庫,後者是用於16位的鏈結庫。
rundll32.exe是專門用來調用dll文件的程序。
如果用的是Win98,rundll32.exe一般存在於Windows目錄下;
如果用的WinXP,rundll32.exe一般存在於Windows\System32目錄下。
若是在其它目錄,就可能是一個木馬程序,它會偽裝成rundll32.exe。
第八:什麼是系統進程
進程是指在系統中正在運行的一個應用程序;線程是系統分配處理器時間資源的基本單元,或者說進程之內獨立執行的一個單元。對於操 作系統而言,其調度單元是線程。一個進程至少包括一個線程,通常將該線程稱為主線程。一個進程從主線程的執行開始進而創建一個或多個附加線程,就是所謂基於多線程的多任務。
那進程與線程的區別到底是什麼?進程是執行程序的實例。例如,當你運行記事本程序(Nodepad)時,你就創建了一個用來容納組成Notepad.exe的代碼及其所需調用動態鏈接庫的進程。每個進程均運行在其專用且受保護的地址空間內。因此,如果你同時運行記事本的兩個拷貝,該程序正在使用的數據在各自實例中是彼此獨立的。在記事本的一個拷貝中將無法看到該程序的第二個實例打開的數據。
以沙箱為例進行闡述。一個進程就好比一個沙箱。線程就如同沙箱中的孩子們。孩子們在沙箱子中跑來跑去,並且可能將沙子攘到別的孩子眼中,他們會互相踢打或撕咬。但是,這些沙箱略有不同之處就在於每個沙箱完全由牆壁和頂棚封閉起來,無論箱中的孩子如何狠命地攘沙,他們也不會影響到其它沙箱中的其他孩子。因此,每個進程就象一個被保護起來的沙箱。未經許可,無人可以進出。
實際上線程運行而進程不運行。兩個進程彼此獲得專用數據或內存的唯一途徑就是通過協議來共享內存塊。這是一種協作策略。下面讓我們分析一下任務管理器里的進程選項卡。
這裡的進程是指一系列進程,這些進程是由它們所運行的可執行程序實例來識別的,這就是進程選項卡中的第一列給出了映射名稱的原因。請注意,這裡並沒有進程名稱列。進程並不擁有獨立於其所歸屬實例的映射名稱。換言之,如果你運行5個記事本拷貝,你將會看到5個稱為Notepad.exe的進程。它們是如何彼此區別的呢?其中一種方式是通過它們的進程ID,因為每個進程都擁有其獨一無二的編碼。該進程ID由Windows NT或Windows 2000生成,並可以循環使用。因此,進程ID將不會越編越大,它們能夠得到循環利用。
第三列是被進程中的線程所佔用的CPU時間百分比。它不是CPU的編號,而是被進程佔用的CPU時間百分比。此時我的系統基本上是空閑的。儘管系統看上去每一秒左右都只使用一小部分CPU時間,但該系統空閑進程仍舊耗用了大約99%的CPU時間。
第四列,CPU時間,是CPU被進程中的線程累計佔用的小時、分鐘及秒數。請注意,我對進程中的線程使用佔用一詞。這並不一定意味著那就是進程已耗用的CPU時間總和,因為,如我們一會兒將看到的,NT計時的方式是,當特定的時鐘間隔激發時,無論誰恰巧處於當前的線程中,它都將計算到CPU周期之內。
通常情況下,在大多數NT系統中,時鐘以10毫秒的間隔運行。每10毫秒NT的心臟就跳動一下。有一些驅動程序代碼片段運行並顯示誰是當前的線程。讓我們將CPU時間的最後10毫秒記在它的帳上。因此,如果一個線程開始運行,並在持續運行8毫秒后完成,接著,第二個線程開始運行並持續了2毫秒,這時,時鐘激發,請猜一猜這整整10毫秒的時鐘周期到底記在了哪個線程的帳上?答案是第二個線程。因此,NT中存在一些固有的不準確性,而NT恰是以這種方式進行計時,實際情況也如是,大多數32位操作系統中都存在一個基於間隔的計時機制。請記住這一點,因為,有時當你觀察線程所耗用的CPU總和時,會出現儘管該線程或許看上去已運行過數十萬次,但其CPU時間佔用量卻可能是零或非常短暫的現象,那麼,上述解釋便是原因所在。上述也就是我們在任務管理器的進程選項卡中所能看到的基本信息列。
第九:什麼是應用程序
應用程序指的是程序開發人員要開發的一個資料庫應用管理系統,它可以是一個單位的財務管理系統、人事管理系統等。(各種有關功能的窗口的集合構成一個完整的應用系統,分發給各個終端用戶的就是一個應用程序。
第十:如何察看正在運行的進程
察看正在運行的進程的方法有很多,最簡單就是使用Windows自帶的進程管理器察看正在運行的進程:同時按下「Ctl Alt Del」打開Windows進程管理器。點擊進程的標籤,即可察看系統中進行的進程列表。或者用滑鼠右鍵點系統狀態欄「系統管理器」進入系統進程管理器。
第十一:如何強制結束一個運行中的進程
1、打開「終端服務管理器(任務管理器)」。
2、在「進程」選項卡上的「用戶」列下,右鍵單擊要結束的進程,然後單擊「結束進程」。
注意:
(1)必須具有完全控制許可權才能結束進程。
(2)要打開「終端服務管理器」,請依次單擊「開始」和「控制面板」,雙擊「管理工具」,然後雙擊「終端服務管理器」。
(3)請注意:在沒有警告的情況下結束進程會導致用戶會話中的數據丟失。
(4)可能需要結束進程,因為應用程序沒有響應
(5)也可以使用 tskill 命令結束進程。
強制結束進程的命令行
Windows操作系統中只有System、SMSS.EXE和CSRSS.EXE不能殺。前兩個是純內核態的,最後那個是Win32子系統,ntsd本身需要它。ntsd從2000開始就是系統自帶的用戶態調試工具。被調試器附著(attach)的進程會隨調試器一起退出,所以可以用來在命令行下終止進程。使用ntsd自動就獲得了debug許可權,從而能殺掉大部分的進程。ntsd會新開一個調試窗口,本來在純命令行下無法控制,但如果只是簡單的命令,比如退出(q),用-c參數從命令行傳遞就行了。Ntsd按照慣例也向軟體開發人員提供。只有系統開發人員使用此命令。有關詳細信息,請參閱 NTSD 中所附的幫助文件。
用法:開個cmd.exe窗口,輸入:ntsd -c q -p PID
把最後那個PID,改成你要終止的進程的ID。如果你不知道進程的ID,任務管理器->進程選項卡->查看->選擇列->勾上「PID(進程標識符)」,然後就能看見了。
XP下還有兩個好用的工具tasklist和tskill。tasklist能列出所有的進程,和相應的信息。tskill能查殺進程,語法很簡單:tskill 程序名!
第十二:一些常見的進程
進程名 描述
smss.exe Session?Manager
csrss.exe 子系統伺服器進程
winlogon.exe 管理用戶登錄
services.exe??? 包含很多系統服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。
svchost.exe Windows 2000/XP 的文件保護系統
SPOOLSV.EXE 將文件載入到內存中以便遲后列印。
explorer.exe 資源管理器
internat.exe 托盤區的拼音圖標
mstask.exe 允許程序在指定時間運行.
regsvc.exe 允許遠程註冊表操作。(系統服務)→remoteregister
tftpd.exe 實現 TFTP Internet 標準。該標準不要求用戶名和密碼。
llssrv.exe 證書記錄服務
ntfrs.exe 在多個伺服器間維護文件目錄內容的文件同步。
RsSub.exe 控制用來遠程儲存數據的媒體。
locator.exe 管理 RPC 名稱服務資料庫。
clipsrv.exe 支持「剪貼簿查看器」,以便可以從遠程剪貼簿查閱剪貼頁
msdtc.exe 並列事務,是分佈於兩個以上的資料庫,消息隊列,文件系統或其他事務保護資源管理器。
grovel.exe 掃描零備份存儲(SIS)卷上的重複文件,並且將重複文件指向一個數據存儲點,以節省磁碟空間(只對 NTFS 文件系統有用)。
snmp.exe 包含代理程序可以監視網路設備的活動並且向網路控制台工作站彙報。
以上這些進程都是對計算機運行起至關重要的,千萬不要隨意「殺掉」,否則可能直接影響系統的正常運行。
第十三:什麼是網路釣魚
網路釣魚 (Phishing)攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行網路詐騙活動,受騙者往往會泄露自己的私人資料,如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通常會將自己偽裝成網路銀行、在線零售商和信用卡公司等可信的品牌,騙取用戶的私人信息。
如何防備網路釣魚?
不要在網上留下可以證明自己身份的任何資料,包括手機號碼、身份證號、銀行卡號碼等。
不要把自己的隱私資料通過網路傳輸,包括銀行卡號碼、身份證號、電子商務網站賬戶等資料不要通過QQ 、MSN 、Email 等軟體傳播,這些途徑往往可能被黑客利用來進行詐騙。
不要相信網上流傳的消息,除非得到權威途徑的證明。如網路論壇、新聞組、 QQ 等往往有人發布謠言,伺機竊取用戶的身份資料等。
不要在網站註冊時透露自己的真實資料。例如住址、住宅電話、手機號碼、自己使用的銀行賬戶、自己經常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。
如果涉及到金錢交易、商業合同、工作安排等重大事項,不要僅僅通過網路完成,有心計的騙子們可能通過這些途徑了解用戶的資料,伺機進行詐騙。
不要輕易相信通過電子郵件、網路論壇等發布的中獎信息、促銷信息等,除非得到另外途徑的證明。正規公司一般不會通過電子郵件給用戶發送中獎信息和促銷信息,而騙子們往往喜歡這樣進行詐騙。
第十四:什麼是瀏覽器劫持
瀏覽器劫持是一種惡意程序,通過DLL插件、BHO 、Winsock LSP 等形式 對用戶的瀏覽器進行篡改,使用戶瀏覽器出現 訪問正常網站時被轉向到惡意網頁、IE瀏覽器主頁 / 搜索頁等被修改為劫持軟體指定的網站地址等異常。
瀏覽器劫持如何防止,被劫持之後應採取什麼措施?
瀏覽器劫持分為多種不同的方式,從最簡單的修改IE默認搜索頁到最複雜的通過病毒修改系統設置並設置病毒守護進程,劫持瀏覽器,都有人採用。針對這些情況,用戶應該採取如下措施:
不要輕易瀏覽不良網站。
不要輕易安裝共享軟體、盜版軟體。
建議使用安全性能比較高的瀏覽器,並可以針對自己的需要對瀏覽器的安全設置進行相應調整。
如果給瀏覽器安裝插件,盡量從瀏覽器提供商的官方網站下載。
第十五:什麼是惡意共享軟體
惡意共享軟體(malicious shareware)是指採用不正當的捆綁或不透明的方式強制安裝在用戶的計算機上,並且利用一些病毒常用的技術手段造成軟體很難被卸載,或採用一些非法手段強制用戶購買的免費、共享軟體。 安裝共享軟體時,應注意以下方面: 注意仔 細閱讀軟體提供的「安裝協議」,不要隨便點「next」進行安裝。
不要安裝從不良渠道獲得的盜版軟體,這些軟體往往由於破解不完全,安裝之後帶來安全風險。
使用具有破壞性功能的軟體,如硬碟整理、分區軟體等,一定要仔細了解它的功能之後再使用,避免因誤操作產生不可挽回的損失。
第十六:如何更好地預防計算機病毒入侵
有病治病,無病預防這是人們對健康生活的最基本也是最重要的要求,預防比治療更為重要。對計算機來說,同樣也是如此,了解病毒,針對病毒養成一個良好的計算機應用管理習慣,對保障您的計算機不受計算機病毒侵擾是尤為重要的。為了減少病毒的侵擾,建議大家平時能做到「三打三防」。
「三打」 就是安裝新的計算機系統時,要注意打系統補丁,震蕩波一類的惡性蠕蟲病毒一般都是通過系統漏洞傳播的,打好補丁就可以防止此類病毒感染;用戶上網的時候要打開殺毒軟體實時監控,以免病毒通過網路進入自己的電腦;玩網路遊戲時要打開個人防火牆,防火牆可以隔絕病毒跟外界的聯繫,防止木馬病毒盜竊資料。
「三防」 就是防郵件病毒,用戶收到郵件時首先要進行病毒掃描,不要隨意打開電子郵件里攜帶的附件;防木馬病毒,木馬病毒一般是通過惡意網站散播,用戶從網上下載任何文件后,一定要先進行病毒掃描再運行;防惡意「好友」,現在很多木馬病毒可以通過 MSN、 QQ等即時通信軟體或電子郵件傳播,一旦你的在線好友感染病毒,那麼所有好友將會遭到病毒的入侵。
第十七:如何乾淨地清除病毒
當計算機感染病毒的時候,絕大多數的感染病毒的處理可以在正常模式下徹底清除病毒,這裡說的正常模式準確的說法應該是實模式(Real Mode),這裡通俗點說了。其包括正常模式的 Windows 和正常模式的 Windows 下的「MS-DOS 方式」 或 " 命令提示符」。但有些病毒由於使用了更加隱匿和狡猾的手段往往會對殺毒軟體進行攻擊甚至是刪除系統中的殺毒軟體的做法,針對這樣的病毒絕大多數的殺毒軟體都被設計為在安全模式可安裝、使用、執行殺毒處理。
在安全模式(Safe Mode)或者純DOS下進行清除清除時,對於現在大多數流行的病毒,如蠕蟲病毒、木馬程序和網頁代碼病毒等,都可以在安全模示下清除。DOS下殺毒(建議用乾淨軟盤啟動殺毒)。而且,當計算機原來就感染了病毒,那就更需要在安裝反病毒軟體后(升級到最新的病毒庫),在安全模式(Safe Mode)或者純DOS下清除一遍病毒了! |
|
狗仔卡
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
搶沙發
