金山急救箱怎么急救不了了?
发布网友
发布时间:2024-03-05 23:39
共4个回答
热心网友
时间:2024-03-07 11:46
在网上一些根杀毒有关的论坛上面,经常会看到有人问:为什么我的杀毒软件不能彻底清除病毒。今天利用这点空闲时间,我就来简单的说明一下:
在我以前的文章中,就曾经提到了,现在的病毒,发展趋势越来越“多元化”,这里的多元化,指的病毒对电脑进行的感染操作,越来越多,常见的包括:
1. 修改系统文件关联
2. 添加注册表信息(现在的病毒,除了添加启动项目的注册表信息,还会添加其他的注册表项目信息)
3. 破坏安全模式(其实就是破坏用于进入安全模式的,系统文件)
4. 衍生其他病毒(或者木马)文件。
5. 添加“服务”项目。
6. 修改系统文件(比如hosts文件和 winsock文件)
上面这六项,就是现在流行的病毒的“多元化感染方式”
目前我们常见的杀毒软件,比如:金山,瑞星,江民,卡巴,NOD32等等,其实都是根据“病毒码(我后面解释病毒码的含义)”来判断,一个文件,是否是病毒或者木马。这里,咱们可以拿一种病毒为例,来概括一下它的感染-衍生,全过程。目前大家最头痛的,上半年的毒王: AV 终结者,我就拿它来举例了。因为不得不承认,这个病毒,对系统的感染,“多元化”程度是最大的。其感染-衍生过程如下:
——————————————————————————————————————————————————
1.通过浏览带有病毒文件的网页,下载病毒文件到计算机临时目录
在这个过程中,就看你杀毒软件的能力了,如果杀毒软件能力强,就能够检测到,并且直接删除。如果稍微弱一点,就会让病毒抢先,进行下一步操作。
2. 检测系统进程,根据其自带的“知识库),判断,并且强行关闭杀毒软件进程
这个过程是很快的,由不得杀毒软件反映,比如,卡巴斯基的进程是:avp.exe。从这个步骤开始,杀毒软件已经就被病毒干掉了,后面的事情,病毒就可以任意妄为了。
3.关掉以后,开始衍生病毒文件
向电脑里面常见的系统目录,比如system32下,windows下衍生病毒文件。向其他逻辑分区(比如D,E,F等盘)根目录下,写入autorun.inf文件和病毒文件,使得病毒可以通过用户双击磁盘,来自动加载。
4.修改注册表项目,添加启动项目
这个不用多说了。大家应该能明白吧?添加注册表的项目,就包括了IFEO项目,使得用户不能安装,卸载杀毒软件,并且不能浏览跟“病毒”两个字有关的网址,文件夹等等。
5.添加服务
这个也应该不用多说了。。。。。提醒大家一点,凡是通过添加服务而启动的病毒文件,不会在系统启动项目里面显示出来,也就是说,在sre的启动项目,msconfig的启动项目里面,都是看不到的!
6.破坏常见文件关联
6个步骤,病毒入侵-感染-衍生,到此完毕了。大家可以看到,杀毒软件的作用,其实仅仅在于第一步的防御。防住了,就没事,防不住,第二步开始,就被病毒干掉了。根本起不了作用了。
PS:病毒码定义:每种病毒,在编写程序的时候,都有各自的一个特征,这个特征,可能是一组数字,一组字母,或者一组符号。杀毒软件在截获病毒后,就是通过这些特征,把特征写入病毒库,然后杀毒软件,对病毒文件扫描,如果包括某个杀毒软件的特征,就认为是病毒。否则,“放过”~
——————————————————————————————————————————————————
根据这次的文章,我要向大家说明的是,现在大部分杀毒软件(HIPS软件其实也差不多,但是不能全包括),都只是根据病毒码来判断病毒,(除了HIPS软件)还没法对病毒的感染,衍生行为作出准确的,及时的,正确的追踪,判断。这个,就是杀毒软件目前存在的弊端,也是HIPS软件(主动防御)逐渐开发,发展起来的意义和作用。
大部分杀毒软件,目前最多,对于病毒,它能够进行两种操作:
1. 判断病毒,然后删除(包括隔离等操作,意义都是一样的)
2. 对注册表进行清理。
这2条,是现在很多杀毒软件都能做到的,但是,大家要知道,这两条,对于任何一款杀毒软件,其实都是有“危险性”存在的。原因,很简单:杀毒软件,会不会判断错误?如果判断错误,杀错了文件,会怎么样?(误杀的例子,已经不少了吧,Norton事件,哪个人不知道?
对于注册表操作更是一样,注册表是windows操作系统的核心,重要性自然不用多说,如果它清理注册表,清理错了?(或者说,清理多了。。。。。)会怎么样?????
判断错误,删错了文件,清理错了注册表,这个责任,谁来负责?到时候挨骂的,还不是杀毒软件的公司?
说了这么多,我们来进入正题了,来详细解释,为什么对于流行病毒,杀毒软件不能彻底清除,原因,主要分三类:
一。DLL类型病毒文件的干扰
刚才在写AV终结者的感染过程中,有一个感染方式,我没有提到,就是释放出一个 DLL 类型的文件,然后插入系统关键进程。这个,也是现在许多病毒普遍采用的。对于这种操作,我敢说,在windows系统下,大部分杀毒软件,都不敢“动这个DLL”文件。为什么?我来解释。
DLL文件插入系统进程后,如果想采用普通删除方式,自然就会出现“文件正在使用,请退出相关程序后再试”。这个大家经常碰到吧?
碰到这种情况,杀毒软件会怎么样做呢?杀毒软件,判断出这个dll文件是病毒,当然也和用户一样,希望,并且努力去删除它。但是,大家要知道,dll文件嵌入进程后,想删除,必须,只能做的,就是先结束它嵌入的进程,然后再删除。那么,大家可以想想,如果DLL文件嵌入的是普通软件,比如QQ,迅雷等。那自然好说。杀毒软件想都不用想,自动关闭你的QQ,然后去删除DLL文件。
但是!如果它嵌入的是系统关键进程:Explorer.exe,甚至!winlogon.exe呢???
大家可以在任务管理器里面找到这两个进程,前者,结束以后倒还是可以操作,只不过桌面。。。没东西了。后者,Winlogon.exe,大家可以尝试结束试试。。。。。。。。(保存好你所有的操作,再结束!别怪我没提醒你!)
Winlogon.exe,这个进程,一旦结束,对于windows来讲,就是:重启计算机!大家想想,假设DLL文件嵌入该进程。。杀毒软件能怎么做?为了删除DLL文件,直接结束winlogon.exe进程???直接重启?不管用户在干什么???。。。。。。。。。要是杀毒软件真这么干。。那用户就惨了,都不知道怎么回事,电脑突然重启了。
上面说的:DLL文件嵌入系统进程,是杀毒软件无法彻底删除病毒的原因之一。后面,我们继续说其他的。
二。杀毒软件追踪性差
大家刚才看到了,拿AV终结者举例,杀毒软件在第二步,就失去了监控,检测,追踪的作用。因此,杀毒软件,也就自然无法探知,该病毒衍生了什么文件,创建了什么服务,添加了什么注册表信息等等“多元化”操作。
其实,这个问题,是大多数杀毒软件的一个弊端:只能根据病毒码判断病毒文件位置,删除病毒。而不能自动检测,该病毒衍生了什么文件,还进行了其他什么操作。
上面这条原因,也正是现在HIPS,主动防御类型的“杀毒软件”(如:中网,微点,SSM等)开始发展,普及流行的根本原因。
一个病毒,一旦衍生出其他文件,就会产生很强的关联性。简单的说:你删除一个文件,只要另外的文件还在,就又会感染发作。。因为杀毒软件无法追踪病毒的衍生物,自然,也就无法对病毒,及其衍生物一网打尽!杀毒软件,删了10个病毒,如果还存在第11个,那么。。。病毒又会开始滋生。
这个,就是杀毒软件不能彻底清除病毒的第二个原因:无法追踪病毒“动作”,判断衍生物。而造成“漏杀”,导致病毒又滋生。
三。无法准确的清理病毒残留信息
咱们假设,一款杀毒软件,清理了病毒文件,以及其所有衍生物。那么,还有没有残留的信息呢?当然有!
1. 注册表信息
前面说过了,杀毒软件,可以操作注册表,但是,杀毒软件也不敢过于操作注册表,一旦操作错误,它自身是无法弥补的!只能挨骂。。。。。。。。。。。
2.服务
到目前为止,大部分杀毒软件,还不能彻底的清除病毒留下的“服务”信息。。。。。。。。。所以,即便病毒文件没了,服务项目留在那里起不了作用。在某些“菜鸟级”用户眼里,也算是“病毒”!
杀毒软件不能彻底清除病毒的原因,就上面三条了,总结一下:
1。DLL 文件的干扰,导致杀毒软件不能自主删除
2. 对病毒衍生物判断不及时,准确,导致删除不完全,病毒又滋生
3。不具备杀毒后,清理残留相关项目的能力。
大家可以看到了,这3条,我相信,基本上没人会反驳吧,当然,现在某些杀毒软件,比如瑞星,卡巴,都开始做主动防御了,这个是个好现象,但是毕竟是发展初期,还需要进一步完善。在此之前,还是希望大家能够了解,知道,目前杀毒软件的缺点,进而借助专杀,甚至手工杀毒,来进行弥补。这样,才能算是真正,完全,彻底的,清除病毒。
这些问题我也不是专家,我可以给你一些方法:
1用360急救箱试试
2去金山论坛找方法
3重装(推荐使用—金山重装高手—)
热心网友
时间:2024-03-07 11:43
热心网友
时间:2024-03-07 11:45
热心网友
时间:2024-03-07 11:45
