什么是病毒?
结合多年安全相关工作经验,以及用户的反馈,个人宽泛的认为只要是产生用户非预期的行为的程序都可以叫做病毒。比如有的程序会在指定目录下生成一些图标,快捷方式等等,其实不会破坏操作系统,也不会破坏数据,且只有用户主动点击运行后才会访问一些正常的网站,但是用户认为这影响了电脑的整洁度,那他就是病毒。其实从专业的角度将病毒的分类有很多种,比如木马,蠕虫,僵尸网络,后门,下载器等等,这个分类比较多,具体的我们不进行区分了,这不是本系列文章的目的。
病毒是以什么方式运行的?
先给答案,进程。其实所有的程序都是以进程的方式运行的。如果我们把电脑看作是一个系统,那进程就是一系列相关的资源的组合体,是真正在干活的。比如我们打开一个游戏,那电脑屏幕就会帮忙显示画面,同时音响中会播放背景音乐,我们还可以敲击键盘,移动鼠标来控制游戏人物,这些使用到的资源共同构成一个整体就是进程。当我们退出游戏或者使用工具强制结束游戏进程时,游戏相关的资源会被操作系统回收后重新使用。
如何查看电脑中运行了哪些进程?
1. 任务管理器
我们可以使用系统自带的任务管理器。有很多运行任务管理器的方式,列举四种常见的方式,如果都不能用可以给我留言
- 鼠标放在屏幕下方的任务栏上,右键后选中Task Manager,或者中文的任务管理器
- 如果你知道如何运行命令行程序,可以运行taskmgr.exe
- Ctrl+Shift+Esc
- Ctrl+Shift+Delete在弹出的界面中点击任务管理器
2. Process Explorer
我们还可以使用微软官方提供的进程查看工具Process Explorer - Sysinternals | Microsoft Learn
该工具功能强大,可以查看进程中包含的各种资源,线程,句柄,内存等等
我们通过以上某个单一工具是不能查看到所有进程的,这通常涉及到进程隐藏相关的技术,可以先关注我,后续我会一步步深入的介绍。
通用的病毒清理流程
1. 发现可疑进程
2. 结束可疑进程
本篇介绍发现可疑病毒的简单方法,通过进程图标确定可疑进程
- 任务管理其中右键单击进程,打开文件所在位置
- 使用Resource hacker Resource Hacker (angusj.com) ,打开文件
- 查看Icon或Icon group下的图标
- 右键保存图标文件
- 使用搜索引擎搜索图标文件相关信息