因此,当病毒入侵我的电脑时,我决定通过查看任务管理器中当前正在运行的任务列表来查找病毒。这可能不是最好的方法,但这就是我的方法。
目录中有很多正在运行的可执行文件C:\Windows\System32。我知道这是操作系统的 Windows 目录。但是程序可以在那里添加可执行文件吗?
换句话说,病毒能否将可执行文件放在该目录中,无论是否有管理员权限?或者该目录是否专为操作系统保留?
答案1
如果...,System32 就是受信任的文件夹...
在默认配置的 Windows 安装中,只有具有管理级权限的进程才能在 System32 文件夹中创建文件。因此,如果满足以下条件,您可以信任从该目录运行的代码:
计算机上仅安装了可信任的程序。(我这里仅指需要提升权限才能安装的程序。)
系统尚未受到特权提升漏洞的攻击。
第二点很难令人信服,尤其是在怀疑存在恶意软件的情况下。例如,威胁可能在非特权帐户下启动,利用漏洞获取管理权限,然后安装 root kit 来隐藏其存在。系统管理员可能有充分的理由怀疑有事情发生,但无法轻易确认或否认可能使用特权提升漏洞。
当然,对于那些每天使用系统并使用管理级别帐户登录的人来说,恶意代码更容易破坏整个系统,并且最好假设他们在第一次发现不需要的活动时就被搞砸了。
并非所有从 System32 运行的代码都是表面上看起来的那样
从另一个角度来看,当你检查系统中是否存在恶意进程时,你可能会思考代码从 System32 运行,但事实上并非如此。
即使在不需要的软件从未拥有管理员权限的计算机上,它也会让旁观者误以为它是从 System32 文件夹运行的。它通过将恶意 DLL 放置在非特权位置(例如 AppData 文件夹结构)来实现这一点,然后执行 DLLHOST.EXE(驻留在 System32 中的 Microsoft 可执行文件),并将 DLL 的名称作为参数传递。由于正在运行的进程是 DLLHOST.EXE,因此一切看起来都是合法的。只有仔细检查后,人们才会发现 DLL 中包含的实际代码不在正常特权位置,因此值得怀疑。
好消息是,在恶意代码未获得管理员权限的情况下,它无法通过配置 Windows 为所有用户启动来突破最初受感染用户的帐户。因此,只需使用未受感染的帐户登录并从那里进行清理,即可轻松消除此类威胁。