公務(wù)員期刊網(wǎng) 論文中心 正文

計(jì)算機(jī)病毒進(jìn)程隱藏思考

前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了計(jì)算機(jī)病毒進(jìn)程隱藏思考范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

計(jì)算機(jī)病毒進(jìn)程隱藏思考

在計(jì)算機(jī)技術(shù)飛速發(fā)展的今天,計(jì)算機(jī)病毒作為影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行的主要因素之一,其不斷演變發(fā)展已讓眾多計(jì)算機(jī)系統(tǒng)遭受癱瘓和失控的危害。計(jì)算機(jī)病毒的隱藏性增加了人們發(fā)現(xiàn)和消除病毒的難度,但技術(shù)人員往往可以通過(guò)查看系統(tǒng)中的活動(dòng)進(jìn)程來(lái)發(fā)現(xiàn)潛在的計(jì)算機(jī)病毒,在其傳染和潛伏過(guò)程中主動(dòng)進(jìn)行分析和處理,避免更多計(jì)算機(jī)系統(tǒng)遭受病毒破壞。

1計(jì)算機(jī)病毒基本概念和特征

在已知的計(jì)算機(jī)病毒中,只有少部分病毒不帶有惡意攻擊,絕大多數(shù)病毒都會(huì)攜帶致命的有毒代碼,在一定環(huán)境下破壞計(jì)算機(jī)系統(tǒng)。計(jì)算機(jī)病毒具有以下特征。(1)隱蔽性。病毒進(jìn)程總是會(huì)通過(guò)某些外來(lái)程序或網(wǎng)絡(luò)鏈接感染計(jì)算機(jī)系統(tǒng),使用者往往毫不知情。而等到病毒效應(yīng)發(fā)作,就會(huì)帶來(lái)嚴(yán)重的后果。(2)傳播性。計(jì)算機(jī)病毒具有很強(qiáng)的傳染和繁殖能力,導(dǎo)致計(jì)算機(jī)一旦感染,就會(huì)立刻發(fā)作,顯示出系統(tǒng)無(wú)法識(shí)別的錯(cuò)誤。其傳播途徑廣泛,可以通過(guò)U盤(pán)、網(wǎng)絡(luò)連接等完成自動(dòng)侵入。(3)潛伏期較長(zhǎng)。一般情況下,計(jì)算機(jī)病毒進(jìn)程可以在系統(tǒng)中長(zhǎng)期潛伏而不發(fā)作,需要滿足一定的外部激發(fā)條件,才能攻擊計(jì)算機(jī)系統(tǒng)。(4)破壞性強(qiáng)。計(jì)算機(jī)病毒一旦發(fā)作,計(jì)算機(jī)系統(tǒng)就會(huì)遭受?chē)?yán)重的破壞,首先計(jì)算機(jī)系統(tǒng)不再受使用者控制,導(dǎo)致數(shù)據(jù)丟失,文件損壞,系統(tǒng)癱瘓,用戶容易泄露計(jì)算機(jī)中的隱私信息,造成巨大的困惑和麻煩。(5)針對(duì)性明確。計(jì)算機(jī)病毒進(jìn)程的開(kāi)發(fā),往往具有明確的針對(duì)性,其可以在用戶的某次動(dòng)作后,實(shí)施環(huán)境啟動(dòng),并開(kāi)始攻擊目標(biāo)對(duì)象。

2計(jì)算機(jī)病毒在進(jìn)程中的產(chǎn)生運(yùn)行狀態(tài)

2.1無(wú)線電傳播

無(wú)線電傳播是通過(guò)無(wú)線電將計(jì)算機(jī)病毒進(jìn)程發(fā)射到計(jì)算機(jī)系統(tǒng)中。主要可能的渠道包括通過(guò)發(fā)射機(jī)的無(wú)線發(fā)射,病毒直接由接收機(jī)器處理和盲點(diǎn)復(fù)制到整臺(tái)設(shè)備中;計(jì)算機(jī)病毒偽裝成合法的程度代碼,通過(guò)規(guī)范的標(biāo)準(zhǔn)協(xié)議和數(shù)據(jù)格式,同其他合法信號(hào)一同進(jìn)入接收裝置;病毒還能通過(guò)不斷尋找接收裝置中安全防護(hù)等級(jí)薄弱的點(diǎn)射入數(shù)據(jù)鏈路中,迅速進(jìn)行非法繁殖,成功感染設(shè)備。

2.2硬件連接傳播

計(jì)算機(jī)病毒通過(guò)感染便于攜帶的硬盤(pán)和軟件等,通過(guò)這些硬件設(shè)備與計(jì)算機(jī)的連接,直接傳染到計(jì)算機(jī)系統(tǒng)中。需要?jiǎng)幼鲿r(shí),只需等待進(jìn)程激活就能達(dá)到破壞的目的。

2.3利用計(jì)算機(jī)漏洞

后門(mén)是計(jì)算機(jī)安全系統(tǒng)的一個(gè)漏洞,病毒經(jīng)常以攻擊后門(mén)的形式破壞計(jì)算機(jī)系統(tǒng)。攻擊后門(mén)的形式較多,如控制電磁脈沖,將病毒注入目標(biāo)系統(tǒng)。

2.4遠(yuǎn)程修改數(shù)據(jù)鏈路

計(jì)算機(jī)病毒可以通過(guò)使用遠(yuǎn)程修改技術(shù),利用計(jì)算機(jī)系統(tǒng)數(shù)據(jù)鏈路層的控制功能完成入侵。病毒進(jìn)程能完整地隱藏在計(jì)算機(jī)操作系統(tǒng)的正常進(jìn)程序列中,并在系統(tǒng)啟動(dòng)運(yùn)行過(guò)程中全面運(yùn)行。

3計(jì)算機(jī)病毒進(jìn)程隱藏方式

3.1冒充正常進(jìn)程

計(jì)算機(jī)系統(tǒng)中,常見(jiàn)的進(jìn)程主要有:explorer.exe,winlogon.exe,svchost.exe,ieplore.exe等。但有時(shí)點(diǎn)擊進(jìn)程序列,能發(fā)現(xiàn)諸如explore.exe,winlogin.exe,svch0st.exe,ieplorer.exe的進(jìn)程,看似屬于正常進(jìn)程,實(shí)際已被病毒侵染。這些進(jìn)程可以迷惑用戶,通過(guò)修改某些字母來(lái)更改自身的文件名稱(chēng),使其近似于正常進(jìn)程,若用戶不注意,很難對(duì)這些細(xì)微變化做出反應(yīng),這樣情況下,計(jì)算機(jī)病毒就入侵成功。

3.2盜用正常進(jìn)程名

第一種情形,很多細(xì)心的用戶能很快發(fā)現(xiàn)并手動(dòng)刪除。于是,病毒制造者更新了隱藏病毒的方法。如將進(jìn)程名稱(chēng)改成與正常進(jìn)程一致。其利用計(jì)算機(jī)的“任務(wù)管理器”無(wú)法對(duì)一切可執(zhí)行的文件進(jìn)行一一查看的設(shè)計(jì)缺陷,加大了計(jì)算機(jī)中毒的風(fēng)險(xiǎn)。

3.3強(qiáng)行插入進(jìn)程

有些病毒程序能將病毒運(yùn)行必需的dll文件利用進(jìn)程插入技術(shù),在正常進(jìn)程序列中插隊(duì)排列。一旦插入,計(jì)算機(jī)系統(tǒng)就宣告中毒,只有借助專(zhuān)業(yè)的自動(dòng)檢測(cè)工具才能找到其中深藏的計(jì)算機(jī)病毒進(jìn)程。

4計(jì)算機(jī)病毒在進(jìn)程中的隱藏處理

4.1explorer.exe

此進(jìn)程是我們常用到的“資源管理器”,作用是管理計(jì)算機(jī)中的一切資源。常見(jiàn)的被冒充的進(jìn)程名有:iexplorer.exe,expiorer.exe,explore.exe,explorer.exe等。如果在“任務(wù)管理器”中關(guān)閉explorer.exe進(jìn)程,計(jì)算機(jī)桌面及任務(wù)欄和當(dāng)前打開(kāi)的文件都會(huì)消失不見(jiàn)。但當(dāng)依次單擊“任務(wù)管理器—文件—新建任務(wù)”后,輸入explorer.exe,就會(huì)重新顯示消失的畫(huà)面。總體來(lái)講,正常的explorer.exe進(jìn)程采取的是系統(tǒng)默認(rèn)值,啟動(dòng)隨系統(tǒng)一起進(jìn)行,在“C:\Windows”目錄路徑下,能找到其對(duì)應(yīng)的可執(zhí)行文件。一旦不符合上述條件則是病毒進(jìn)程。

4.2spoolsv.exe

spoolsv.exe進(jìn)程作為系統(tǒng)打印服務(wù)“PrintSpooler”所對(duì)應(yīng)的可執(zhí)行程序,其作用是管理與計(jì)算機(jī)關(guān)聯(lián)的所有本地和網(wǎng)絡(luò)打印隊(duì)列的打印工作。其常被干擾病毒冒充和頂替的進(jìn)程名有:spoo1sv.exe,spolsv.exe,spoolsv.exe等。如果停用“PrintSpooler”服務(wù),計(jì)算機(jī)所有關(guān)聯(lián)的打印功能將不能正常運(yùn)行,同時(shí),點(diǎn)開(kāi)進(jìn)程列表發(fā)現(xiàn)spoolsv.exe進(jìn)程也消失不見(jiàn)。如果安裝計(jì)算機(jī)后需要打印機(jī)設(shè)備,那么,為節(jié)省計(jì)算機(jī)系統(tǒng)資源,可以把“PrintSpooler”服務(wù)關(guān)閉掉。停止并關(guān)閉“PrintSpooler”服務(wù)后,如果發(fā)現(xiàn)系統(tǒng)進(jìn)程中還存在spoolsv.exe進(jìn)程,那就可以肯定該進(jìn)程是病毒進(jìn)程偽裝的。

5結(jié)語(yǔ)

計(jì)算機(jī)病毒雖然在進(jìn)程中能進(jìn)行很好的偽裝隱藏,但只要多加留意,認(rèn)真檢查就能及時(shí)清除病毒。用戶在檢查計(jì)算機(jī)系統(tǒng)進(jìn)程時(shí),可根據(jù)兩點(diǎn)來(lái)及時(shí)判斷隱藏的可疑病毒進(jìn)程:第一是觀察核實(shí)不確定的進(jìn)程文件名;二是檢查正在運(yùn)行的進(jìn)程對(duì)應(yīng)執(zhí)行的文件路徑。通過(guò)上述方法,能及時(shí)發(fā)現(xiàn)并處理隱藏在計(jì)算機(jī)系統(tǒng)進(jìn)程中的病毒,從而有效確保用戶的計(jì)算機(jī)系統(tǒng)安全運(yùn)行。

作者:江江 韓濤 單位:安徽省蚌埠市公安局