现了我们所熟悉的 Windows 主窗口(计算机在启动时做了些什么,我们会在后面详细的讲解),而以后我
们的所有工作,看电影、听歌曲、玩游戏、上网浏览等等都是在这个窗口中进行。操作系统维持这个窗口的
显示及一些常用功能的完成,而这些功能是由一系列的程序来实现的,这又引出了我们的第三个概念“程序”
概念三:
程序
。程序是什么呢?程序就是一组指令执行序列。呵,有点专业了是不?什么又叫指令执行
举例来说:我管理着一个工厂,正常情况下我让工人们按这样来工作“先去原料仓库取原料---€ 进行初步
加工---€ 进行精细加工--€ 进行零配件组装---€ 验收---€ 合格则送入成品库--€ 不合格则销毁”。这就
是一个指令执行序列,当情况为正常时,工人们执行的是这个序列也就是这个“程序”。而在旺销的季节
呢,我还有第二个程序“取原料----€ 进行初步加工----€ 组装----€ 进成品库”。当情况为供不应求时,
我就执行第二个程序。还有第三个、第四个……等等,在不同的情况下,我让工人们执行不同的程序。
计算机程序也是一样的,跟据用户要求的不同,执行不同的指令序列,比如您要画图,你可能会这么操作
“点击开始菜单--€ 选择所有程序--€ 在所有的程序中选择附件--€ 再在附件中选择画图”,这就是你向操
作系统下达的指令。操作系统得到您的指令后,则会执行画图程序,也就是实现画图目的的一系列指令,而
这些画图的指令储存在“mspaint.exe”文件中。操作系统会将 mspaint.exe 中的指令装入到内存中交由
CPU 开始一条条的执行。
总结一下:程序是什么呢?说白了就是一个计划书,里面记载了先做什么后做什么。好的程序是好的计划,
坏的程序就是坏的计划,比如:“收集炸药--
€
买雷管--
€
制成炸弹-
€
放到张三的床下面-
€
引爆”,这就是一
个坏计划,相对于计算机来说就是一个坏程序。坏程序有破坏作用吗?也就是说你写了个爆了张 三的计划书就
可以炸了张三吗?当然不可以,只有计划是不行的,还要去执行才能真正起到作用。所以, 一个木马程序仅
仅是存在于您的计算机中时并不可怕,可怕的是它执行起来。程序执行起来是什么呢?那 就是我们要说的第
四个概念“进程”--€ 执行中的程序。
概念四:进程。程序一旦进入内存中开始执行,就叫做进程(进程其实就是容纳指令与资源的容器)。
也就是说,他已经开始工作了,开始买炸药、制炸弹了,等执行到引爆那一条指令时,张三也就完蛋了。
所以,检查可疑进程,就是查杀木马的关键环节,也是重要的手段与方法。找到木马的进程,并结束它,
在它执行到引爆这条指令之前,就停止它的执行,并将它的程序自计算机中删除掉,就是我们所要达到的
目的。
说到这里,细心的读者们可能想到了一个问题,画图程序的执行,是因为我们向操作系统下达了画图的指
令,所以操作系统才调入画图程序开始执行画图的指令序列。但是木马程序又是谁给操作系统下达的指令让
木马的工作计划得到执行的呢?这就是我们下面要说的第五个概念“自启动程序”
概念五:
自启动程序
。顾名思义,自启动程序,也就是不用您自己动手它自己就可以启动起来开始执行
的程序。这是些什么程序呢?为什么要允许程序这样做呢?难道是专为木马准备的?呵,当然不是。自启
动程序有二大类,一是系统需要的;二是用户需要的。
系统需要的,是因为有些工作是无须经过用户同意,必须去做的。比如,鼠标驱动。为了能让用户使用鼠
标,系统要自动加载鼠标驱动程序并执行。
用户需要的,一些重复性工作可能用户想让系统自动去做,而不是每天每时的重复这份工作。比如:用户
可以设定多长时间无操作,就自动运行屏幕保护程序以便保护屏幕不被烧坏。这显然必须要屏幕保护程序能
自动的运行,用户是不可能每次手动去执行这个程序的。
而木马就是利用了这些本来是为系统或用户提供方便的手段,来实现自动运行它们自己的目的。如:木
马用自己来取代屏幕保护程序,这样,长时间无操作时,运行的就不再是屏幕保护程序而是木马了。
在系统中有很多地方或方法是可以让程序自动运行起来的,这个我们在后面将一一讲述。而清掉自启动
项,让木马程序得不到执行,显然也就成为了我们查杀木马的重要手段之一。
而系统又是如何知道,哪一个程序应该在开机后就自动运行,无须等用户来操作呢?朋友们应该能猜到, 系统
肯定是把这些需要自动运行的程序都记录到了某一个地方,记录到哪里了呢?这就是我们要讲的第六
Mr_Right2020-06-06感谢分享,辛苦了
