此篇講述的是一些概念,比如:什麼是***?什麼是病毒?什麼又是惡意軟件呢?等等~俗話說:知己知彼,才能百戰不殆~
Ps:
病毒是怎麼命名的? 其實只要我們掌握一些病毒的命名規則,我們就能通過殺毒軟件的報告中出現的病毒名來判斷該病毒的一些共有的特性了:一般格式爲:
<病毒前綴>.<病毒名>.<病毒後綴>
病毒前綴是指一個病毒的種類,他是用來區別病毒的種族分類的。不同的種類的病毒,其前綴也是不同的。
病毒名是指一個病毒的家族特徵,是用來區別和標識病毒家族的。
病毒後綴是指一個病毒的變種特徵,是用來區別具體某個家族病毒的某個變種的。一般都採用英文中的26個字母來表示,如果該病毒變種非常多,可以採用數字與字母混合表示變種標識。
1. 什麼是***
“***”源自古希臘特洛伊戰爭中著名的“***計”而得名,顧名思義就是一種僞裝潛伏的網絡病毒,等待時機成熟就出來迫害你的電腦,竊取你的資料。***其前綴是:Trojan,一般的***如QQ消息尾巴*** Trojan.QQ3344 ,還有大家可能遇見比較多的針對網絡遊戲的***病毒如 Trojan.LMir.PSW.60 。這裏補充一點,病毒名中有PSW或者什麼PWD之類的一般都表示這個病毒有盜取密碼的功能(這些字母一般都爲“密碼”的英文“password”的縮寫)
【有人很奇怪了,我爲什麼要把***單獨列出來,而不歸於【計算機病毒】分類呢?那是因爲現在的***越來越趨向於“盈利模式”,比如盜號、肉雞,竊取資料等等,所以我們要特別防範。】
其傳染方式有很多種,例如他能僞裝成圖片,誘使你點擊;通過電子郵件附件發給你;捆綁在其他的程序中和通過掛馬的網頁進行***等等。
其動作也有很多,比如他會修改註冊表、駐留內存、在系統中安裝後門程序、開機加載附帶的***、連接互聯網下載其他***等。一般來說,現在的***都很狡猾,他們想方設法通過加密、捆綁、加花、加殼等來繞過殺軟的檢測,從而竊取計算機內部的資料,或者破壞計算機,使計算機成爲“肉雞”。
怎麼防範呢?很簡單,升級你的殺毒軟件,定期掃描,有條件的話,最好裝一個HIPS。還有就是要提高警惕,不要輕易打開陌生人發來的QQ、郵箱等附件,不下載和不運行來歷不明的程序等等。
2. 什麼是計算機病毒
通俗來講,計算機病毒是一個程序,一段可執行代碼。它可以很快地通過網絡、U盤等蔓延,又常常難以根除。它能影響計算機使用,並且具有破壞性,複製性和傳染性。
病毒又分爲很多種類,下面,我就來說說最常見的一些病毒吧~
系統病毒
系統病毒的前綴爲:Win32、PE、Win95、W32、W95等。這些病毒的一般共有的特性是可以感染windows操作系統的 *.exe 和 *.dll 文件,並通過這些文件進行傳播。
蠕蟲病毒
蠕蟲病毒的前綴是:Worm。這種病毒的共有特性是通過網絡或者系統漏洞進行傳播,很大部分的蠕蟲病毒都有向外發送帶毒郵件,阻塞網絡的特性。
腳本病毒
腳本病毒的前綴是:Script。腳本病毒的共有特性是使用腳本語言編寫,通過網頁進行的傳播的病毒
後門病毒
後門病毒的前綴是:Backdoor。該類病毒的共有特性是通過網絡傳播,給系統開後門,給用戶電腦帶來安全隱患。
破壞性程序病毒
破壞性程序病毒的前綴是:Harm。這類病毒的共有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒便會直接對用戶計算機產生破壞。
玩笑病毒
玩笑病毒的前綴是:Joke。也稱惡作劇病毒。這類病毒的共有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒會做出各種破壞操作來嚇唬用戶,其實病毒並沒有對用戶電腦進行任何破壞。
所以, 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(或程序)裏, 當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。當然,其預防方法也和怎麼預防***差不多。
3.什麼是網絡釣魚
***者利用欺騙性的電子郵件和僞造的 Web 站點來進行網絡詐騙活動,受騙者往往會泄露自己的私人資料,如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通常會將自己僞裝成網絡銀行、在線零售商和信用卡公司等可信的品牌,騙取用戶的私人信息.
那麼如何防備網絡釣魚?
你可以注意以下幾點:
1.不要在網上留下可以證明自己身份的任何資料,包括手機號碼、身份證號、銀行卡號碼等。
2.不要把自己的隱私資料通過網絡傳輸,包括銀行卡號碼、身份證號、電子商務網站賬戶等資料不要通過QQ 、MSN 、Email 等軟件傳播,這些途徑往往可能被***利用來進行詐騙。
3.不要相信網上流傳的消息,除非得到權威途徑的證明。如網絡論壇、新聞組、 QQ 等往往有人發佈謠言,伺機竊取用戶的身份資料等。
4.不要在網站註冊時透露自己的真實資料。例如住址、住宅電話、手機號碼、自己使用的銀行賬戶、自己經常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。
5.如果涉及到金錢交易、商業合同、工作安排等重大事項,不要僅僅通過網絡完成,有心計的騙子們可能通過這些途徑瞭解用戶的資料,伺機進行詐騙。
6.不要輕易相信通過電子郵件、網絡論壇等發佈的中獎信息、促銷信息等,除非得到另外途徑的證明。正規公司一般不會通過電子郵件給用戶發送中獎信息和促銷信息,而騙子們往往喜歡這樣進行詐騙。
4.什麼是瀏覽器劫持
瀏覽器劫持是一種惡意程序,通過DLL插件、BHO 、Winsock LSP 等形式 對用戶的瀏覽器進行篡改,使用戶瀏覽器出現 訪問正常網站時被轉向到惡意網頁、IE瀏覽器主頁、搜索頁等被修改爲劫持軟件指定的網站地址等異常。
瀏覽器劫持分爲多種不同的方式,從最簡單的修改IE默認搜索頁到最複雜的通過病毒修改系統設置並設置病毒守護進程劫持瀏覽器等。
那麼瀏覽器劫持如何防止呢?
1.不要輕易瀏覽不良網站.
2.不要輕易安裝共享軟件、盜版軟件.
3.建議使用安全性能比較高的瀏覽器,並可以針對自己的需要對瀏覽器的安全設置進行相應調整。如果給瀏覽器安裝插件,儘量從瀏覽器提供商的官方網站下載。
5.什麼是廣告軟件Adware
廣告軟件(Adware)是指 未經用戶允許,下載並安裝或與其他軟件捆綁通過彈出式廣告或以其他形式進行商業廣告宣傳的程序。安裝廣告軟件之後,往往造成系統運行緩慢或系統異常。
預防方法:
1.不要輕易安裝共享軟件或“免費軟件”,這些軟件裏往往含有廣告程序、間諜軟件、等不良軟件,更有甚者裏面還捆綁了病毒、***等,會帶來安全風險。
2.有些廣告軟件通過惡意網站安裝,所以,不要瀏覽不良網站.
3.採用安全性比較好的網絡瀏覽器(比如非IE內核的瀏覽器),並注意彌補系統漏洞。
6.什麼是間諜軟件Spyware
間諜軟件(Spyware)是能夠在使用者不知情的情況下,在用戶電腦上安裝後門程序的軟件。 用戶的隱私數據和重要信息會被那些後門程序捕獲, 甚至這些 “後門程序” 還能使***遠程操縱用戶的電腦。
其預防方法和預防廣告軟件差不多。
7.什麼是惡意共享軟件
惡意共享軟件(malicious shareware)是指採用不正當的捆綁或不透明的方式強制安裝在用戶的計算機上,並且利用一些病毒常用的技術手段造成軟件很難被卸載,或採用一些非法手段強制用戶購買的免費、共享軟件。安裝共享軟件時,應注意以下方面:
1.注意仔細閱讀軟件提供的“安裝協議”,不要輕易地一路next下去。
2.不要安裝從不良渠道獲得的盜版軟件,這些軟件往往由於破解不完全,安裝之後帶來安全風險。
3.使用具有破壞性功能的軟件,如硬盤整理、分區軟件等,一定要仔細瞭解它的功能之後再使用,避免因誤操作產生不可挽回的損失。
Ⅱ,系統驅動文件
windows正常的驅動文件,爲:*.sys,類型的文件,位於:c:\windows\system32\drivers ,這個文件夾下面。
謹記:要刪除驅動的時候,一定要先備份,後刪除!
1.在SREng日誌中,驅動程序的結構如下:
[Microsoft Kernel Acoustic Echo Canceller / aec][Stopped/Manual Start]
<system32\drivers\aec.sys><Microsoft Corporation>
其結構和【服務】的結構沒有太大區別,在這不累述了。
正常、非正常驅動程序的判斷方法和依據:
1.看數字簽名(見上文)
2.文件名稱亂七八糟的= =,例如:
[hswgajeg/ rekng][Running/Manual Start]
<system32\drivers\66542gvi.sys><sfjsfg>
[skjd / skjd][Stopped/Manual Start]
<\??\C:\DOCUME~1\hopesky~1\LOCALS~1\Temp\skjd.sys><N/A>
……別廢話了,先備份,後刪除吧~
3.搜索引擎上明擺着是病毒的
4.由某種病毒衍生出來的驅動
多多積累,才能多多收穫,就這樣~~
Ⅲ,瀏覽器加載項
瀏覽器加載項是一個綜合的項目,其中包括了BHO,ActiveX等插件,瀏覽器工具欄等多個項目,這些項目中,不僅僅有dll類型的加載PE文件(BHO或ActiveX項目),也有工具欄附加按鈕,瀏覽器的右鍵菜單項目等。
1.在SREng日誌中,瀏覽器加載項的結構如下:
[Thunder Browser Helper]
{889D2FEB-5411-4565-8998-1DD2C5261283} <D:\Program Files\Thunder\ComDlls\xunleiBHO_Now.dll, (Signed) Thunder Networking Technologies,LTD>
[Thunder Browser Helper]代表該加載項的名稱
{889D2FEB-5411-4565-8998-1DD2C5261283}代表在註冊表中的名稱
<D:\Program Files\Thunder\ComDlls\xunleiBHO_Now.dll代表映像路徑
(Signed) Thunder Networking Technologies,LTD>代表數字簽名(有些沒有也是正常的!)
2.正常、非正常瀏覽器加載項的判斷方法和依據:
那啥,很少有病毒會很無聊的涉及到這個項目,一般都是惡意軟件等去涉及的……在這個項目中,基本上出不了大問題,自己多多積累一些windows自帶的瀏覽器加載項和常見的瀏覽器加載項就行了~
Ⅳ,正在運行的進程(包括進程模塊信息):
1.在SREng日誌中,正在運行的進程(包括進程模塊信息)的結構如下:
[PID: 632][\??\C:\WINDOWS\system32\winlogon.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\AUTHZ.dll] [Microsoft Corporation, 5.1.2600.2622 (xpsp_sp2_gdr.050301-1519)]
[C:\WINDOWS\system32\COMCTL32.dll] [Microsoft Corporation, 5.82 (xpsp.060825-0040)]
[C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll] [Microsoft Corporation, 6.0 (xpsp.060825-0040)]
[C:\WINDOWS\system32\sfc_os.dll] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\ole32.dll] [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]
[C:\WINDOWS\system32\sxs.dll] [Microsoft Corporation, 5.1.2600.3019 (xpsp_sp2_gdr.061019-0414)]
[C:\WINDOWS\system32\uxtheme.dll] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\xpsp2res.dll] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\iphlpapi.dll] [Microsoft Corporation, 5.1.2600.2912 (xpsp_sp2_gdr.060519-0003)]
[PID: 416 / SYSTEM][\SystemRoot\System32\smss.exe] [(Verified) Microsoft Corporation, 6.0.6002.18005 (lh_sp2rtm.090410-1830)]
[PID: 632][\??\C:\WINDOWS\system32\winlogon.exe]:
PID:指此進程在系統中的“數字標識”,在系統中,每個進程有且僅有一個PID,所以說,它是唯一的。
[\??\C:\WINDOWS\system32\winlogon.exe]代表在系統中,該進程對應文件的詳細位置。
[(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]代表該進程對應文件的數字簽名和文件的版本信息。
[PID: 416 / SYSTEM]:SYSTEM代表的是創建此進程的用戶名。
[C:\WINDOWS\system32\AUTHZ.dll] [Microsoft Corporation, 5.1.2600.2622 (xpsp_sp2_gdr.050301-1519)]
[C:\WINDOWS\system32\COMCTL32.dll] [Microsoft Corporation, 5.82 (xpsp.060825-0040)]
[C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll] [Microsoft Corporation, 6.0 (xpsp.060825-0040)]
[C:\WINDOWS\system32\sfc_os.dll] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\ole32.dll] [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]
[C:\WINDOWS\system32\sxs.dll] [Microsoft Corporation, 5.1.2600.3019 (xpsp_sp2_gdr.061019-0414)]
[C:\WINDOWS\system32\uxtheme.dll] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\xpsp2res.dll] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\iphlpapi.dll] [Microsoft Corporation, 5.1.2600.2912 (xpsp_sp2_gdr.060519-0003)]
以上這些,是表示該進程(winlogon.exe)的模塊信息。
例如:
[C:\WINDOWS\system32\ole32.dll] [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]
[C:\WINDOWS\system32\ole32.dll]代表該模塊對應文件的詳細路徑和名稱。
[Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]代表模塊的公司名稱和文件的版本信息。
(xpsp_sp2_gdr.050725-1528)代表XP系統的版本信息,這個很重要哦~!
2.正常、非正常進程的判斷方法和依據:
1.要着重注意進程公司名稱處爲[N/A, ]的文件,但要注意的是,winrar裏有個進程是例外的,如:
[C:\Program Files\WinRAR\rarext.dll] [N/A, ]
這個文件是winrar的,是正常文件哦~
2. 注意進程文件的版本,模塊文件的版本
這一步,我們可以優先着重注意看有沒有進程是沒有模塊信息的,沒有版本信息的文件進程。
3.一般標有系統版本(如XP)信息的文件,都是正常的,我們可以快速的掃過,不必花大工夫去研究。
如:
[C:\Windows\system32\SHSVCS.dll] [Microsoft Corporation, 6.0.6000.16386 (vista_rtm.061101-2205)]
[C:\WINDOWS\system32\ole32.dll] [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]
4.在查看進程(模塊信息)的同時,我們也要結合前面的一些內容,比如啓動項目的分析,服務、驅動程序的分析等,因爲一般在註冊表啓動項目裏面非正常的文件.都會在進程活模塊中有所反映。所以,將他們放着一起,做一個對比,往往會事半功倍哦~
5.我們要注意,同一個DLL類型文件,同時做爲模塊,同時插入大部分進程,而且該DLL文件無公司名稱,無數字簽名,無版本信息等,那麼就要特別小心了哦~
例如:
[PID: 1846][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\system32\lalalala.dll] [N/A, ]
[PID: 846 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
[C:\WINDOWS\system32\ lalalala.dll] [N/A, ]
[PID: 748 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\system32\ lalalala.dll] [N/A, ]
6.自我總結、歸納。剛剛開始學,慢慢的來,然後再一步步深入探究。腳踏實地者,方能成大事也。
Ⅴ,文件關聯:
很多病毒,都會修改系統默認的文件關聯。我們可以用SREng修復。
例如:
.TXT Error. [C:\WINDOWS\notepad.exe %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM Error. ["hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]
我們只需注意ERROR部分,如有出現,我們必須建議提供日誌者第一時間去使用sreng去修復!
Ⅵ,Winsock 提供者
SREng日誌中,默認只列出“第三方”的winsock提供者。
小編的電腦是正常的,so:
==================================
Winsock 提供者
N/A
===================================
還有一種可能就是殺毒軟件[目的是因爲這一項是負責網絡協議的,殺軟用自己的組件守住了這一項,更有利於監控網絡數據流。](或一些其他正常軟件)所添加的,比如nod32,大蜘蛛,和一些上網驗證的客戶端等。所以,對於【重置winsock】要謹慎使用,一般情況下,不必刻意的去理會他。
Ⅶ,Autorun.inf
正常情況下,Autorun.inf應爲空,如:
==================================
Autorun.inf
N/A
==================================
如果出現了東西,那麼就是病毒了,如:
==================================
Autorun.inf
[C:\]
[AuToRuN]
open=XXX.EXE
shell\open=打開(&O)
shelL\open\ComMand= XXX.EXE
[D:\]
[AuToRuN]
open= XXX.EXE
shell\open=打開(&O)
shelL\open\ComMand= XXX.EXE
===============================
這個表明該病毒在C、D分區下建立了Autorun.inf和XXX.EXE,我們可以這樣做:
開始——運行——cmd——C:——attrib -a -s -h -r autorun.inf——del autorun.inf
開始——運行——cmd——D:——attrib -a -s -h -r autorun.inf——del autorun.inf
有幾個分區感染了,那就重複幾次,最後重啓機器。
Ⅷ,HOSTS文件
一般情況下,應該爲空或如下:
==================================
HOSTS 文件
127.0.0.1 localhost
=================================
還有種可能就一些軟件會修改HOSTS文件,添加一些項目,大都是讓電腦禁止訪問被添加HOSTS項目的網站,如:
127.0.0.1 localhost
127.0.0.1 www.jshdf.com
127.0.0.1 bbs.jrg.com.cn
我們視情況而定,如果被屏蔽的是一些主流殺毒軟件、安全網站的話,我們就要建議日誌提供者要重置HOSTS文件了。
Ⅸ,進程特權掃描
在windows系統, 進程特權是程序執行相應操作所需要的。如對系統進程進行內存讀取(有時僅僅是爲了遍歷進程,得到其映像文件名,要對目標進程的PEB進行讀取)需要SeDebugPrivilege權限,用程序調用ExitWindowsEx關閉或重啓計算機需要SeShutdownPrivilege等等,如果沒有相應權限,相應操作就會被系統阻止。
一些軟件,比如殺毒軟件等,它們因爲需要一直監控運行,所以具有更高的進程特權。
例如:
==================================
進程特權掃描
特殊特權被允許: SeLoadDriverPrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]
特殊特權被允許: SeSystemtimePrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]
特殊特權被允許: SeDebugPrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]
特殊特權被允許: SeLoadDriverPrivilege [PID = 2492, F:\PROGRAM FILES\SANDBOXIE\SBIESVC.EXE]
特殊特權被允許: SeLoadDriverPrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]
特殊特權被允許: SeSystemtimePrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]
特殊特權被允許: SeDebugPrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]
特殊特權被允許: SeLoadDriverPrivilege [PID = 4020, F:\USERS\LIUJIEHUA\APPDATA\ROAMING\CHROMEPLUS\CHROME.EXE]
特殊特權被允許: SeSystemtimePrivilege [PID = 4020, F:\USERS\LIUJIEHUA\APPDATA\ROAMING\CHROMEPLUS\CHROME.EXE]
==================================
在這裏,我們可以根據映像路徑和映像文件名來判斷此文件的是否正常。
Ⅹ,計劃任務
計劃任務可以定義關機時間及開機啓動,自定義時間啓動某些程序和更新等,所以有些病毒往往會利用這個功能實現開機自動啓動。
這個,我們也可以根據映像路徑和映像文件名來判斷這個人物是否正常。
例如:
==================================
計劃任務
[已禁用] \\SogouImeMgr
f:\PROGRA~1\SOGOUI~1\500~1.381\SGTool.exe --appid=pinyinrepair /S
[已啓用] \\{4731A4CA-7C6E-4AF6-AD5D-68EBE5309B9E}
C:\Windows\system32\pcalua.exe -a H:\筆記本電腦\必要安裝程序\ha_regvac50126.exe -d H:\筆記本電腦\必要安裝程序
[已禁用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Automated)
N/A
[已啓用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Manual)
N/A
==================================
ⅰ,Windows 安全更新檢查
System Repair Engineer (SREng) 2.81 版本增加了Windows 安全更新掃描功能,它能檢查你係統還未打完的補,但不能自主修復。
ⅱ,API HOOK
這個……一般殺毒軟件會很樂意進行掛鉤~因爲殺毒軟件爲了從更深的層次得監控保護電腦,從而就會修改此處。
一般爲N/A,如:
==================================
API HOOK
N/A
==================================
或者爲殺毒軟件所修改的,如:
==================================
API HOOK
入口點錯誤:ShellExecuteExW (危險等級: 一般, 被下面模塊所HOOK: d:\Program Files\Kingsoft\WebShield\kswebshield.dll)
==================================
同樣,我們可以根據映像路徑和映像文件名來判斷此鉤子的是否正常。
ⅲ,隱藏進程
一般情況下,是爲N/A,如:
==================================
隱藏進程
N/A
==================================
或者是殺毒軟件,一些安軟,爲了保護自身不被病毒幹掉,所以創建了隱藏進程。
注意:如果在這裏出現iexplore.exe,那麼你就要小心了~!IE是不會自己創建隱藏進程的。這種情況,一般都是灰鴿子等。