如何檢測(cè)出電腦上的間諜軟件
如何檢測(cè)出電腦上的間諜軟件
檢測(cè)出電腦上的間諜軟件方法:
1.在使用某種商業(yè)軟件或免費(fèi)軟件的工具檢查之前,盡可能的將機(jī)器清理干凈。運(yùn)行防病毒軟件或反間諜軟件掃描,一旦發(fā)現(xiàn)一些異常的項(xiàng)目立即清除。有關(guān)這一主題的內(nèi)容在網(wǎng)絡(luò)上有許多。需要注意的是,在進(jìn)入下一步之前,專家們強(qiáng)烈建議使用并運(yùn)行一種以上的殺毒、反間諜軟件掃描以便達(dá)到徹底清理。
2.建立一個(gè)檢查點(diǎn)或者對(duì)系統(tǒng)作備份。如果使用的是Windows XP,那再方便不過了,這樣很快就能建立一個(gè)系統(tǒng)恢復(fù)點(diǎn)(依次打開:開始菜單――幫助和支持――使用系統(tǒng)還原恢復(fù)對(duì)系統(tǒng)的改變,然后點(diǎn)擊創(chuàng)建一個(gè)還原點(diǎn)的按鈕)。當(dāng)然還有其他的方法(對(duì)于那些使用Windows家族其他操作系統(tǒng)的人來說是唯一的方法)就是創(chuàng)建一整套系統(tǒng)的備份,包括系統(tǒng)狀態(tài)信息(如果其他辦法都不可行的話,可以使用NTBackup.exe文件;他包含了所有Windows新版本的信息)。這樣的話,萬一在接下來的步驟中出了差錯(cuò),還可以將系統(tǒng)恢復(fù)到前一個(gè)正確的狀態(tài)。
3.關(guān)閉所有不必要的應(yīng)用程序。一些反間諜軟件從電腦運(yùn)行的所有線程和注冊(cè)表中查找不正常跡象,因此先退出所有應(yīng)用程序再啟動(dòng)反間諜程序運(yùn)行檢查,可以節(jié)省大量時(shí)間。
4.運(yùn)行反間諜程序。在這一步,使用Hijack This這個(gè)軟件。將下載回來的Zip文件解壓到你想要的目錄,然后雙擊HijackThis.exe這個(gè)執(zhí)行文件,會(huì)跳出一個(gè)帶有提示“Do a system scan and save a logfile.”的窗口。默認(rèn)狀態(tài)下,日志文件會(huì)保存在“我的文檔”中,在保存的日志文件名稱中加入日期和時(shí)間信息很有用,這樣的話,一個(gè)名為hijackthis.log的文件就改名為hijackthis-yymmdd:hh.mm.log(hh.mm是24小時(shí)制的幾點(diǎn)幾分)。這樣的話,以后任何時(shí)候再次運(yùn)行Hijack This(一旦開始運(yùn)行,會(huì)自動(dòng)清空以前的日志),都不必?fù)?dān)心丟失以前的日志。因此,時(shí)間標(biāo)記不愧是個(gè)很好的方法,這對(duì)將來的日志文件分析非常有用。
5.查看Hijack This結(jié)果窗口中顯示的掃描結(jié)果。這個(gè)結(jié)果與寫入日志文件的信息是相同的,并且會(huì)發(fā)現(xiàn)在每一個(gè)項(xiàng)目的左邊都有一個(gè)復(fù)選框。如果核選了某些項(xiàng)目,按下“Fix Checked“按鈕, Hijack This就可以將其徹底清除了。會(huì)發(fā)現(xiàn)在那里有很多看上去秘密的文件,可以對(duì)其進(jìn)行快速掃描,以決定在這時(shí)采取何種操作。實(shí)際上,真正存在的問題是識(shí)別出哪些文件具有潛在的威脅,哪些是必須的,而哪些是無關(guān)緊要的。此時(shí)分析工具能夠幫上我們的大忙。記住,現(xiàn)在不要關(guān)閉Hijack This的查找結(jié)果窗口,也不需要進(jìn)行核選操作,因?yàn)樵诮酉聛淼牟襟E中還會(huì)返回這個(gè)窗口。
6.用Hijack This的日志分析程序運(yùn)行日志文件??梢允褂肏elp2Go Detective或者Hijack This Analysis這兩個(gè)分析工具中的一個(gè)。在Hijack This日志里,會(huì)發(fā)現(xiàn)每一個(gè)入侵(線程)的特殊信息和相關(guān)處理建議,包括哪些可以保留,哪些可以刪除(但卻是無害的),哪些是可疑文件(或許應(yīng)該刪除,但是還需要進(jìn)一步分析研究),以及哪些必須刪除(因?yàn)榇_定是惡意病毒)。這時(shí),可疑檢查所有被確認(rèn)為惡意病毒的選項(xiàng),或者與已知的間諜軟件和廣告軟件有關(guān)的選項(xiàng)。
7.檢查可疑項(xiàng)目(包括可選的激活項(xiàng)目)。有時(shí)可以查看注冊(cè)表名稱或者相關(guān)文件和目錄信息,來檢查即使通過分析程序(使用Hijack This很明顯發(fā)現(xiàn)的)也沒有識(shí)別出的項(xiàng)目,這是可能是故意安裝或使用的程序的一部分。這些項(xiàng)目經(jīng)常會(huì)被單獨(dú)的遺留下來。如果檢查程序和人為的都沒有發(fā)現(xiàn)這些項(xiàng)目,安全選項(xiàng)就會(huì)將備份然后刪除(然而如果采取了這個(gè)步驟,那么要挽救這種狀況只有存儲(chǔ)一份備份文件或者返回到前一個(gè)恢復(fù)狀態(tài)。)如果想知道在查看的是什么文件,就進(jìn)入下一個(gè)附加步驟,用google或其他搜索工具搜索項(xiàng)目的名稱。在99%的情況下都可以在兩分鐘或更少時(shí)間內(nèi)作出批準(zhǔn)與否的決定。只有一少部分項(xiàng)目,最顯著的是dll文件不僅僅需要通過文件名的搜索驗(yàn)證來裁留。
8.在Hijack This結(jié)果窗口核選有害文件和不確定的可疑項(xiàng)目,然后按下“Fix checked”按鈕。也可以在結(jié)果窗口中滾動(dòng)查看項(xiàng)目,并通過單擊來高亮選擇單獨(dú)的項(xiàng)目,接著通過點(diǎn)擊"Info on selected item…."(選中項(xiàng)目的信息……)來獲取這些項(xiàng)目的額外信息。這時(shí)來查看這些信息比在上一步驟查看更合適,因?yàn)檫@時(shí)分析工具的速度更快而且面向?qū)ο蟾押谩?/p>
9.重啟系統(tǒng)查看運(yùn)行情況。如果系有統(tǒng)運(yùn)行不正常現(xiàn)象,如應(yīng)用程序不工作或變得異常,或者系統(tǒng)看上去不太對(duì)勁時(shí),需要決定是否需要返回到恢復(fù)狀態(tài)或備份狀態(tài)。如果Windows不能完成啟動(dòng),在系統(tǒng)啟動(dòng)之初按下F8鍵,直到啟動(dòng)進(jìn)入安全啟動(dòng)菜單,選擇最后一次正確的配置。這樣啟動(dòng)就沒有問題了,系統(tǒng)啟動(dòng)之后還需要退回到恢復(fù)點(diǎn),或者恢復(fù)到在第二步備份的狀態(tài)。如果接收這個(gè)選項(xiàng)的話,就不需要保存改動(dòng)了,可以直接越過第10步。
10.最后再運(yùn)行依次Hijack This掃描:重復(fù)步驟4,但是需要注意更改保存日志文件的日期標(biāo)簽??梢話呙杞Y(jié)果來確定移動(dòng)的項(xiàng)目已經(jīng)被徹底清除,或者只需保存電腦狀態(tài)的快照,快速清除就可以了(這樣會(huì)對(duì)下一次進(jìn)行同樣的操作產(chǎn)生一個(gè)有意義的參照狀態(tài))。