우선 바이러스에 대한 전반적인 이해가 있어야 합니다. 대부분의 바이러스는 실행 시 프로세스가 있습니다. Ctrl Alt Del을 사용하여 작업 관리자를 불러올 수 없습니다. 검색 - -!) 프로세스를 클릭합니다. 옵션을 통해 시스템에서 실행 중인 프로세스 수를 확인할 수 있습니다. 이러한 프로세스 중 어떤 프로세스가 유용하고 어떤 프로세스가 시스템 프로세스인지 알기 위해서는 컴퓨터 시스템에 대한 어느 정도 이해가 필요합니다. 일부 고급 바이러스는 프로세스를 자동으로 숨깁니다. 이때 보조 도구가 필요합니다. IceSword 도구를 사용하는 것이 좋습니다. IceSword의 내부 기능은 시스템에서 트로이 목마 백도어를 탐지하고 처리하는 데 사용됩니다. 아마도 일부 프로세스 도구와 같은 유사한 기능을 가진 많은 소프트웨어를 사용해 본 적이 있을 것입니다. 그러나 이제 시스템 수준 백도어 기능은 점점 더 강력해지고 있습니다. 일반적으로 IceSword는 이러한 "마스터 마인드"를 전혀 감지하지 못합니다. 물론 이러한 백도어를 사용하려면 운영 체제에 대한 지식이 필요합니다.
물론 일부 바이러스는 바이러스에 감염될 수 있습니다. 특정 프로그램을 실행하면 더 변태적입니다. 그리고 실행 후 스스로 삭제되지만, 이러한 변태 바이러스는 상대적으로 적습니다. 메모리를 너무 많이 차지하거나 CPU 실행 속도가 너무 높은 프로세스를 찾아보세요.
몇 가지 기본 실행 명령을 기억하기 쉽습니다. 조정 R 키를 눌러 win을 실행합니다. Win은 키보드 왼쪽 하단에 있는 시작 메뉴에 나오는 키입니다. 이는 일반적으로 컴퓨터가 실행을 불러오는 경우입니다. 그렇지 않은 경우 시작 메뉴로 이동하여 "실행"이라는 단어를 찾으십시오. 물론, 공용 컴퓨터 관리자가 시작 메뉴에서 이를 비활성화할 수도 있습니다. 이 기사에서는 이 상황에 대해 설명하지 않습니다. 이 문제가 발생하면 Baidu로 이동하여 솔루션을 찾으십시오. 명령은 레지스트리를 조정하는 명령입니다. 설치자. 프로그램을 제거하십시오. IE의 시작 페이지와 시스템을 시작하고 실행하는 프로그램은 모두 이를 통과합니다. 그러나 이를 사용하려면 많은 기본 지식이 필요합니다. 초보자분들은 임의로 내용을 삭제하거나 수정하시면 시스템이 손상될 수 있으므로 주의하시기 바랍니다. 이 문서에서는 백업 문제에 대해 소개하지 않습니다. 우선, 시스템을 실행할 때 시작 시 실행되는 경로가 다음과 같다고 생각할 수 있습니다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\RunOnce
다음 경로에 있는 파일은 바이러스일 수 있습니다: AutoUpdate c:\windows\winsys.exe Explorer c:\windows\system32\explorer.exe( 기본) c:\commond.com 우선 바이러스일 가능성이 있다고 밖에 말할 수 없고, 당장 판별할 수는 없습니다. 그런데 왜 이 파일들이 가장 의심되는 걸까요? 일부 규칙은 아래에 나와 있습니다. 로드 목록에 있는 대부분의 프로그램은 시스템에 설치된 응용 프로그램이며 시스템 자체의 구성 요소는 거의 없습니다. 목록은 시스템에 필요하지 않습니다. 즉, 창을 로드하지 않아도 창을 계속 실행할 수 있습니다. 일반적인 상황에서(기본값) 이 항목은 비어 있어야 합니다. 바이러스는 대부분 Windows 디렉터리 아래에 숨겨져 있거나 C:\virus.com과 같은 매우 간단한 경로 형식으로 숨겨져 있습니다.
이는 자신을 위장하기 위해 현재 시스템의 일부 구성 요소 이름에 자신의 이름을 위조하는 것을 좋아합니다. 따라서 처음으로 바이러스를 수동으로 죽이려는 사용자의 경우. 어떤 파일이 바이러스인지 판단하기 어려울 경우 목록 항목을 모두 삭제하는 것이 좋습니다("기본값"이라는 항목은 지울 수 없지만 해당 파일은 삭제할 수 있습니다). 먼저 "AutoUpdate" 파일을 살펴보겠습니다. 우선 이름부터 윈도우 자동 업데이트 프로그램이라고 생각하시는 분들이 많을 겁니다. 그리고 그 경로: winsys.exe라고도 하는 Windows 시스템 디렉토리(Windows 시스템의 일부임을 암시)에서 이것이 일반 프로그램인 것 같습니까? 그렇게 생각한다면 당신은 함정에 빠진 것입니다. 위에 제시된 두 번째 규칙에 따르면, 실제로 "자동 업데이트 프로그램"이라면 이 목록에 표시되지 않을 것입니다(실제 자동 업데이트 프로그램은 시스템 서비스이므로 향후 기사에서 자세히 설명합니다). 그렇다면 이 사람은 매우 의심스럽고, 그 다음은 탐험가입니다. 어쩌면 여러분도 이것이 당연하다고 생각하실지도 모르겠습니다. 이런 생각을 하게 된 이유는 우연히 Windows 탐색기의 이름 때문일 수도 있습니다. 그리고 주의 깊게 살펴보면 시스템을 켤 때마다 실제로 explorer.exe라는 파일이 실행되고 있음을 알 수 있습니다(사실 이 파일은 다른 곳에 로드됩니다. 향후 기사에서는 explorer.exe가 시스템 쉘: 쉘, 리소스 관리자의 기능 외에도 데스크탑도 이에 의해 "변형"됩니다. 그러나 실제 리소스 관리자는 windows\system32\가 아닌 windows\ 디렉터리에 있습니다. 그리고 두 번째 규칙에 따르면 당연히 의심이 많습니다. 그러면 이 프로젝트도 (기본값) 바이러스라고 불리는 이유는 무엇입니까? 실제로 레지스트리의 각 디렉터리에는 하나의 (기본) 항목이 있습니다. 레지스트리에 의해 자동으로 생성됩니다. 네 번째 규칙에 따르면 여기의 "기본" 항목은 일반적으로 공백으로 남겨져 있으므로 c:\commond.com이 매우 의심스럽다고 즉시 판단할 수 있습니다. 그리고 매우 웃긴 점은 이 프로그램의 작성자가 이전 DOS 시스템용 명령줄 프롬프트 프로그램인 command.com과 동일한 이름을 지정하여 우리를 속이려는 것 같습니다. 그런데 철자가 틀렸네요... 사실 위에서 언급한 내용은 바이러스인데 시연을 위해 여기에 추가한 것 뿐이지만 실제로 그런 프로젝트를 실제로 본다면 망설이지 말고 99% 아니면 악성 프로그램입니다! 다음으로 해야 할 일은 먼저 해당 파일의 위치를 찾은 다음 해당 파일을 지우고 마지막으로 레지스트리에서 해당 항목을 삭제하는 것입니다. 다만, 예방조치로 삭제 전 확인 과정이 필요한 경우가 많습니다. 그리고 더 나쁜 것은 Windows의 혼란스러운 스타일로 인해 시작 프로그램 목록이 이 프로그램뿐 아니라 시스템 서비스라는 프로그램 클래스도 포함되어 있으며 스스로 시작되기도 한다는 것입니다. 따라서 다음 장에서는 목록을 시작하는 모든 위치를 설명하고 시스템 서비스에 대한 몇 가지 사항도 소개합니다. 그러나 60-70개의 바이러스는 위 목록에 자체 범죄 흔적을 추가합니다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
사용자의 수동적인 "감시 및 억제"를 피하기 위해 많은 네트워크 바이러스가 위장합니다. 시스템 레지스트리의 시작 항목에 시스템에 익숙하지 않은 사용자는 감히 이러한 시작 키를 마음대로 지우지 않으므로 바이러스 프로그램이 다시 시작하려는 목적을 달성할 수 있습니다.
예를 들어 일부 바이러스는 위의 레지스트리 분기 아래에 "system32"라는 시작 키를 생성하고 키 값을 "regedit -s D:\Windows"로 설정합니다(그림 1 참조). ; 언뜻 보기에 많은 사용자는 이 시작 키 값이 컴퓨터 시스템에 의해 자동으로 생성된 것으로 생각하고 "-s" 매개변수가 실제로 시스템 레지스트리의 백도어 매개변수라는 사실을 거의 알지 못합니다. . , 이 매개변수는 레지스트리를 가져오는 데 사용되며 동시에 Windows 시스템의 설치 디렉터리에 vbs 형식의 파일을 자동으로 생성할 수 있습니다. 이러한 파일을 통해 바이러스는 자동 시작 목적을 달성할 수 있습니다. 따라서 위 레지스트리 브랜치의 시작 항목에 "regedit -s D:\Windows"와 같은 백도어 매개변수 키 값이 보이면 과감히 삭제해야 합니다.
많은 컴퓨터 시스템이 네트워크 바이러스에 감염된 후 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, HKEY_CURRENT_USER\Software\Microsoft\ 키에 Windows\CurrentVersion\RunServices 및 기타 레지스트리 분기 아래에 .html 또는 .htm과 유사한 내용이 있습니다. 실제로 이러한 시작 키의 주요 기능은 컴퓨터 시스템이 성공적으로 시작된 후 자동으로 네트워크 바이러스에 액세스하는 것입니다. 웹사이트에서 이러한 시작 키를 제때 삭제하지 않으면 네트워크 바이러스가 쉽게 다시 공격할 수 있습니다.
이러한 이유로 바이러스 백신 프로그램을 사용하여 컴퓨터 시스템에서 바이러스를 제거한 후 시간에 맞춰 시스템 레지스트리 편집 창을 열고 위의 여러 레지스트리 분기 옵션을 하나씩 확인해야 합니다. 이 창에서 해당 분기 아래의 시작 키 값에 접미사 .html 또는 .htm이 포함되어 있는지 확인하십시오. 일단 발견되면 키 값을 선택한 다음 "편집"/"삭제" 명령을 차례로 클릭해야 합니다. 선택한 대상 키를 삭제합니다. 값을 삭제하고 마지막으로 F5 기능 키를 눌러 시스템 레지스트리를 새로 고칩니다.
물론 위에서 언급한 레지스트리 분기 아래의 시작 키 중 시작 키를 .vbs 형식으로 남겨두는 바이러스도 있습니다. 이러한 시작 키를 찾으면 해당 키도 제거해야 합니다.
승인하려면 두 번째 명령인 netstat를 진행하세요.
호출하고 실행하세요. 편집 상자에 cmd를 입력하고 DOS 명령 프롬프트를 호출합니다. netstat -an(더 일반적으로 사용됨)을 입력합니다. netstat 명령은 라우팅 테이블, 실제 네트워크 연결을 표시할 수 있는 도구입니다. 및 각 네트워크 인터페이스 장치의 상태 정보 Netstat는 IP, TCP, UDP 및 ICMP 프로토콜과 관련된 통계 데이터를 표시하는 데 사용됩니다. 일반적으로 기기의 각 포트의 네트워크 연결을 확인하는 데 사용됩니다.
netstat 명령 사용 방법을 가르칩니다.
netstat 명령의 기능은 네트워크 연결, 라우팅 테이블 및 네트워크 인터페이스 정보를 표시하여 사용자가 현재 어떤 네트워크 연결이 연결되어 있는지 알 수 있도록 하는 것입니다. 운영.
이 명령의 일반적인 형식은 다음과 같습니다:
netstat [options]
명령에서 각 옵션의 의미는 다음과 같습니다:
< p>-a 수신 중인 소켓을 포함한 모든 소켓을 표시합니다.-c는 사용자가 중단할 때까지 1초마다 다시 표시합니다.
-i는 모든 네트워크 인터페이스의 정보를 표시하며 형식은 "ipconfig -e"와 동일합니다.
-n 이름 대신 네트워크 IP 주소를 사용하여 네트워크 연결 상태를 표시합니다.
-r은 코어 라우팅 테이블을 표시하며 형식은 "route -e"와 동일합니다.
-t TCP 프로토콜의 연결 상태를 표시합니다.
-u는 UDP 프로토콜의 연결 상태를 표시합니다.
-v는 진행 중인 작업을 표시합니다.
[예제] 로컬 머신에서 netstat 명령을 사용하세요.
$ netstat
활성 인터넷 연결(서버 없음)
Proto Recv-Q Send-Q 로컬 주소 외부 주소 상태
활성 UNIX 도메인 소켓(서버 없음)
Proto RefCnt 플래그 유형 상태 I-노드 경로
unix 1 [ ] STREAM CONNECTED 270 @00000008
unix 1 [ ] 스트림 연결됨 150 @00000002
unix 1 [ ] 스트림 연결됨 104 @00000001
unix 1 [ ] 스트림 연결됨 222 @00000004
unix 1 [ ] 스트림 연결됨 171 @00000003
unix 1 [ ] 스트림 연결됨 271 /dev/log
unix 1 [ ] 스트림 연결됨 225 /dev/log
unix 1 [ ] 스트림 연결됨 223 /dev/log
unix 1 [ ] 스트림 연결됨 203 /dev/log
unix 1 [ ] 스트림 연결됨 105 /dev/log
……
nslookup 명령
nslookup 명령의 기능은 컴퓨터의 IP 주소와 해당 도메인 이름을 쿼리하는 것입니다. 일반적으로 도메인 이름 서비스를 제공하려면 도메인 이름 서버가 필요합니다. 사용자가 도메인 이름 서버를 설정한 경우 이 명령을 사용하여 다른 호스트의 IP 주소에 해당하는 도메인 이름을 볼 수 있습니다.
이 명령의 일반적인 형식은 다음과 같습니다:
nslookup [IP 주소/도메인 이름]
[예] 로컬 시스템에서 nslookup 명령을 사용합니다.
$ nslookup
기본 서버: name.tlc.com.cn
주소: 192.168.1.99
gt; >
'gt;' 기호 뒤에 조회할 IP 주소나 도메인 이름을 입력하고 Enter를 누르세요. 이 명령을 종료하려면 Exit를 입력하고 Enter를 누르십시오.
finger 명령
finger 명령의 기능은 사용자 정보를 조회하는 것입니다. 일반적으로 사용자 이름, 홈 디렉토리, 체류 시간, 로그인 시간, 로그인 쉘 등을 표시합니다. 시스템 정보의 사용자입니다. 원격 머신의 사용자 정보를 조회하려면 [username@hostname] 형식으로 사용자 이름 뒤에 "@hostname"을 붙여야 합니다. 단, 조회할 네트워크 호스트는 Finger 데몬을 실행해야 합니다.
이 명령의 일반적인 형식은 다음과 같습니다:
finger [옵션] [사용자] [user@host]
명령에서 각 옵션의 의미는 다음과 같습니다. < /p>
-s 사용자의 등록된 이름, 실제 이름, 단말기 이름, 쓰기 상태, 부동 시간, 로그인 시간 및 기타 정보를 표시합니다. -l -s 옵션으로 표시되는 정보 외에도 사용자의 홈 디렉터리, 로그인 셸, 메일 상태 및 기타 정보는 물론 사용자의 .plan, .project 및 .forward 파일 내용도 표시합니다. 홈 디렉토리.
-p는 .plan 파일과 .project 파일이 표시되지 않는다는 점을 제외하면 -l 옵션과 동일합니다.
[예제] 로컬 머신에서 Finger 명령어를 사용해보세요.
$ 손가락 xxq
로그인: xxq 이름:
디렉토리: /home/xxq 쉘: /bin/bash
마지막 로그인 1월 1일 목요일 21:43(CST) tty1
메일이 없습니다.
계획이 없습니다.
$finger
로그인 이름 Tty 유휴 로그인 시간 사무실 사무실 전화
root root *1 28 Nov 25 09:17
……
ping 명령
ping 명령 네트워크의 호스트가 작동하는지 확인하는 데 사용되며 ICMP ECHO_REQUEST 패킷을 호스트로 보냅니다. 때로는 네트워크상의 특정 호스트에서 파일을 다운로드하고 싶지만 해당 호스트가 열려 있는지 알 수 없으므로 ping 명령을 사용하여 확인해야 합니다.
이 명령의 일반적인 형식은 다음과 같습니다.
ping [옵션] 호스트 이름/IP 주소
명령에서 각 옵션의 의미는 다음과 같습니다.
< p>-c number 지정된 수의 패킷을 보낸 후 중지합니다.-d는 SO_DEBUG 옵션을 설정합니다.
-f 대량의 네트워크 패킷을 시스템에 신속하게 전송하여 응답을 확인합니다.
-I 초 네트워크 패킷을 컴퓨터에 보내는 간격을 초 단위로 설정합니다. 기본값은 1초에 한 번 보내는 것입니다.
-l times 지정된 횟수 내에 가장 빠른 방법으로 지정된 시스템에 패킷 데이터를 보냅니다(슈퍼유저만 이 옵션을 사용할 수 있음).
-q는 전송된 패킷 정보를 표시하지 않고 최종 결과만 표시합니다.
-r은 일반적으로 로컬 시스템의 네트워크 인터페이스에 문제가 있는지 확인하기 위해 게이트웨이를 거치지 않고 시스템에 직접 패킷을 보냅니다.
-s 바이트 수는 전송된 데이터 바이트 수를 지정합니다. 기본값은 56입니다. 8바이트 ICMP 헤더를 추가하면 ***는 64 ICMP 데이터 바이트입니다.
TurboLinux 시스템은 많은 명령과 많은 실용적인 소프트웨어 도구를 제공합니다. 이 책의 길이로 인해 이 책에서는 주로 TurboLinux의 몇 가지 일반적인 명령과 실용적인 소프트웨어를 소개합니다. 독자는 시스템에서 제공하는 온라인 도움말 매뉴얼을 사용하여 자세한 정보를 얻을 수 있습니다.
TurboLinux 시스템 온라인 매뉴얼에는 내용에 따라 섹션으로 나누어져 있는 풍부한 정보가 있습니다. Linux 온라인 도움말 매뉴얼에는 거의 모든 명령에 대한 설명이 있습니다. 따라서 사용자가 Linux에서 명령어 사용법을 모르거나 이해하지 못하는 경우에는 온라인 도움말 명령어를 이용하시기 바랍니다.
이 장에서는 일반적으로 사용되는 몇 가지 온라인 도움말 명령을 주로 소개합니다.
포함:
man 각 명령의 사용법 쿼리
help 셸 명령 쿼리
whereis 명령 위치 쿼리
locate 파일 위치 쿼리
man 명령
이 명령은 모든 Linux 시스템에서 사용할 수 있습니다. 온라인 매뉴얼 페이지의 형식을 지정하고 표시합니다. 일반적으로 사용자는 man 명령 뒤에 얻고자 하는 명령의 이름(예: ls)만 입력하면 됩니다. 그러면 man은 명령 구문, 각 옵션의 의미, 관련 명령을 포함한 전체 설명을 나열합니다.
이 명령의 일반적인 형식은 다음과 같습니다.
man [option] 명령 이름
명령에 있는 각 옵션의 의미는 다음과 같습니다.
< p> -M 경로는 매뉴얼 페이지를 검색할 경로를 지정합니다. 일반적으로 이 경로는 환경 변수 MANPATH에 의해 사전 설정됩니다. 명령줄에 다른 경로가 지정되면 MANPATH 설정이 무시됩니다.-P 명령은 사용되는 페이징 프로그램을 지정합니다. 기본적으로 /usr/bin/less-is가 사용되며 이는 환경 변수 MANPAGER에 미리 설정되어 있습니다.
-S 장 명령 이름에는 여러 범주가 있을 수 있으며 범주는 다음과 같습니다.
장 설명
1 일반 사용자를 위한 명령 < /p>
2 시스템 호출 명령
3 C 언어 함수 라이브러리 명령
4 드라이버 및 시스템 장치에 대한 설명
5 구성 파일 설명
6 게임 프로그램 명령
7 기타 소프트웨어 또는 프로그램 명령
시스템 유지 관리와 관련된 명령
-a 모든 매뉴얼 페이지를 표시합니다. 첫 번째뿐만이 아니다.
-d 이 옵션은 주로 사용자가 새 파일을 추가하는 경우 오류를 확인하는 데 사용됩니다. 이 옵션은 파일 내용을 나열하지 않습니다.
-f는 자세한 문서를 표시하지 않고 명령 기능만 표시합니다.
-p string 전처리 프로그램 실행 순서를 설정합니다. *** 다음 항목이 있습니다:
e eqn t tbl
g grap r
p pic v vgrind
-w를 참조하세요. 매뉴얼 페이지는 표시되지 않고 형식을 지정하고 표시할 파일의 위치만 표시됩니다.
예: cd 명령 사용 방법을 확인하세요.
$ man cd
cd(n) Tcl 내장 명령 cd(n)
_______________________________________________________________
이름
cd - 작업 디렉토리 변경
요약
cd ?dirName?
_______________________________________________________________
DE 스크립트ION
현재 작업 디렉터리를 dirName으로 변경하거나, dirName이 지정되지 않은 경우
홈 디렉터리(HOME 환경 변수에 지정된 대로)로 변경합니다.
빈 문자열을 반환합니다.
키워드
작업 디렉토리
Tcl 1
(END)
q 키를 누르면 man 명령을 종료하십시오.
help 명령
help 명령은 모든 쉘 명령을 보는 데 사용됩니다. 사용자는 이 명령을 사용하여 셸 명령의 사용법을 찾을 수 있습니다. 찾고 있는 명령의 내용을 보려면 찾고 있는 명령 뒤에 help 명령을 입력하기만 하면 됩니다.
예: od 명령 사용 방법을 확인하세요.
$ od --help
whereis 명령
이 프로그램의 주요 기능은 명령의 위치를 찾는 것입니다. 예를 들어, 가장 일반적으로 사용되는 ls 명령은 /bin 디렉토리에 있습니다. 특정 명령이 어느 디렉터리에 있는지 알고 싶다면 whereis 명령을 사용하여 쿼리할 수 있습니다.
이 명령의 일반적인 형식은 다음과 같습니다.
whereis [옵션] 명령 이름
설명: 일반적으로 옵션이 없는 whereis 명령은 직접 사용되지만 사용자는 특정 요구 사항에 따라 일부 옵션을 사용할 수도 있습니다.
이 명령의 각 옵션의 의미는 다음과 같습니다.
b 바이너리 파일만 검색
m 기본 파일 검색
s 소스 검색
u 일반적이지 않은 레코드 파일 찾기
예: ls 명령이 있는 디렉터리를 찾습니다.
$ whereis ls
ls:/bin/ls/usr/man/man1/ls.1
세 번째 명령: 입력 msconfig를 실행합니다. 시작 옵션에서 의심스러운 시작 항목을 찾으세요
시스템에 들어가기 전에 F8을 눌러 안전 모드와 바이러스 백신으로 들어가는 것이 가장 좋습니다.