本篇文章给大家谈谈怎么找电脑病毒位置图,以及电脑中病毒怎么看对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
本文目录一览:
如何找出藏匿的电脑病毒
系统中同时执行的程序那么多,哪些是正常的系统程序,哪些是木马的程序,而经常被病毒木马假冒的系统程序在系统中又扮演着什么角色呢?下面由我给你做出详细的找出藏匿电脑病毒方法介绍!希望对你有帮助!
找出藏匿电脑病毒方庆桐法介绍:
病毒程序隐藏三法
当我们确认系统中存在病毒,但是通过“工作管理员”检视系统中的程序时又找不出异样的程序,这说明病毒采用了一些隐藏措施,总结出来有三法:
1.以假乱真
系统中的正常程序有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这誉枯坦样的程序:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑使用者的眼睛。通常它们会将系统中正常程序名的o改为0,l改为i,i改为j,然后成为自己的程序名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果使用者不仔细,一般就忽略了,病毒的程序就逃过了一劫。
2.偷梁换柱
如果使用者比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个程序的名字为svchost.exe,和正常的系统程序名分毫不差。那么这个程序是不是就安全了呢?非也,其实它只是利用了“工作管理员”无法检视程序对应可执行档案这一缺陷。我们知道svchost.exe程序对应的可执行档案位于“C:\WINDOWS\system32”目录下Windows2000则是C:\WINNT\system32目录,如果病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,执行后,我们在“工作管理员”中看到的也是svchost.exe,和正常的系统程序无异。你能辨别出其中哪一个是病毒的程序吗?
3.借尸还魂
除了上文中的两种方法外,病毒还有一招终极** ——借尸还魂。所谓的借尸还魂就是病毒采用了程序插入技术,将病毒执行所需的dll档案插入正常的系统程序中,表面上看无任何可疑情况,实质上系统程序已经被病毒控制了,除非我们借助专业的程序检测工具,否则要想发现隐藏在其中的病毒是很困难的。
系统程序解惑
上文中提到了很多系统程序,这些系统程序到底有何作用,其执行原理又是什么?下面我们将对这些系统程序进行逐一讲解,相信在熟知这些系统程序后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
svchost.exe
常被病毒冒充的程序名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe程序来启动。而系统服务是以动态连结库DLL形式实现的,它们把可执行程式指向scvhost,由cvhost呼叫相应服务的动态连结库来启动服务。我们可以开启“控制面板”→“管理工具”→服务,双击败闹其中“ClipBook”服务,在其属性面板中可以发现对应的可执行档案路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行档案路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”,而“Server”服务的可执行档案路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这种呼叫,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
在Windows2000系统中一般存在2个svchost.exe程序,一个是RPCSSRemoteProcedureCall服务程序,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务程序。如果svchost.exe程序的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些程序管理工具,例如Windows优化大师的程序管理功能,检视svchost.exe的可执行档案路径,如果在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。
explorer.exe
常被病毒冒充的程序名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“工作管理员”中将explorer.exe程序结束,那么包括工作列、桌面、以及开启的档案都会统统消失,单击“工作管理员”→“档案”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe程序的作用就是让我们管理计算机中的资源。
explorer.exe程序预设是和系统一起启动的,其对应可执行档案的路径为“C:\Windows”目录,除此之外则为病毒。
iexplore.exe
常被病毒冒充的程序名有:iexplorer.exe、iexploer.exeiexplorer.exe程序和上文中的explorer.exe程序名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的程序,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe程序名的开头为“ie”,就是IE浏览器的意思。
iexplore.exe程序对应的可执行程式位于C:\ProgramFiles\InternetExplorer目录中,存在于其他目录则为病毒,除非你将该资料夹进行了转移。此外,有时我们会发现没有开启IE浏览器的情况下,系统中仍然存在iexplore.exe程序,这要分两种情况:1.病毒假冒iexplore.exe程序名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用防毒软体进行查杀吧。
rundll32.exe
常被病毒冒充的程序名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL档案中的内部函式,系统中存在多少个Rundll32.exe程序,就表示Rundll32.exe启动了多少个的DLL档案。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll档案,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登入介面了。rundll32.exe的路径为“C:\Windows\system32”,在别的目录则可以判定是病毒。
spoolsv.exe
常被病毒冒充的程序名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程式,其作用是管理所有本地和网路列印伫列及控制所有列印工作。如果此服务被停用,计算机上的列印将不可用,同时spoolsv.exe程序也会从计算机上消失。如果你不存在印表机装置,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe程序,这就一定是病毒伪装的了。
限于篇幅,关于常见程序的介绍就到这里,我们平时在检查程序的时候如果发现有可疑,只要根据两点来判断:
1.仔细检查程序的档名;
2.检查其路径。
通过这两点,一般的病毒程序肯定会露出马脚。
怎样将电脑病毒查找位置出来
结束病毒进程:对于一般病毒,可以用任务管理器来结束它的进程。如果是一些比较顽固的病毒,通过正常的任务管理器的结束操作并不能结束它的进程时,可以通过一些工具软件来达到这种目的。比如冰刃。运行冰刃后,隐藏的进程会以红色字体显示出来,很容易发现,在病毒进程上右键点击结束就行了。
清除病毒启动项:进程结束后,病毒就失去了作用,但为搜氏了让病毒不再大漏慧次为害系统,现在我们就要处理的就是病毒的启滚答动项了。点击“开始”菜单→“运行”,输入“msconfig”回车,切换到“启动”标签,将其中的病毒启动项前面的钩取消。如果这里没有病毒的启动项,那么病毒很可能将自身加入到了系统服务中。进入“控制面板”→“管理工具”→“服务”,找到对应的病毒服务,双击打开后将其启动方式选择“已禁用”。
怎样找到病毒所在
system volome information这个是系统隐藏掉了,要显示大扒的话:
让它们显示出来的方法:
在“我的电脑”或“Windows资源管理器”窗口菜单栏中点击“工具渗仿散”丛氏“文件夹选项…”,在出现的“文件夹选项”对话框中点“查看”选项卡,然后在其中去掉“隐藏受保护的操作系统文件”前的勾,点选“显示所有文件和文件夹”,最后“确定”。其中去掉“隐藏已知文件类型的扩展名”前的勾,则显示所有文件的扩展名。Windows 2000与Windows XP操作类似。
计算机病毒隐藏位置在哪里呢
计算机病毒让我们很难找到!那么计算机病毒都隐藏在什么位置呢?下面由我给你做出详细的计算机病毒隐藏位置介绍!希望对你有帮助!
计算机病毒隐藏位置介绍一:
1、集成到程序中
其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
2、隐藏在配置文件中
木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的 操作系统 ,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而** 或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中
木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe
这时你就要小心了,这个file.exe很可能是木马哦。
4、伪装在普通文件中
这个 方法 出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。
5、内置到注册表中
上面的方法让木马着实舒服稿伏了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘, 总结 了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序键余携在其下,睁大眼睛仔细看了,别放过木马哦:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
6、在System.ini中藏身
木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里毁键的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
7、隐形于启动组中
有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionExplorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
8、隐蔽在Winstart.bat中
按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
9、捆绑在启动文件中
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
10、设置在超级连接中
木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意等等。
计算机病毒隐藏位置介绍二:
病毒隐藏的地方很多。通常我们看到很多都是在系统盘下system32目录里。
可能是在游戏的文件夹里!还有就是不明文件夹!小心!
计算机病毒隐藏位置介绍三:
1、病毒大多隐藏在C盘的SYSTEM32文件夹内,这是装载系统的文件夹,不过木马病毒都具有隐藏性,您想自己找是不行的。
2、如果您的电脑中毒了,可以到电脑管家官网下载一个电脑管家。
3、然后使用电脑管家——杀毒——全盘查杀,电脑管家拥有4+1杀毒引擎,基于“云查杀与微特征技术”的新一代电脑管家云查杀引擎和本地反病毒引擎,可以轻松根据微特征和云病毒库,检测出各种流行顽固木马病毒,并做出查杀。
关于怎么找电脑病毒位置图和电脑中病毒怎么看的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
