巧妙从进程中判断出病毒和木马pc软件 文章资讯 手机软件

您当前的位置→图文中心电脑技术巧妙从进程中判断出病毒和木马

巧妙从进程中判断出病毒和木马


2008/10/4 9:26:50 编辑:佚名 来源:admin 

任意一个病毒和木马存就在于系统system中, 都再也不能够彻底和进程脱离关系, 即便采用了隐藏技术, 也还是能够从进程中去寻找到蛛丝马迹, 因此, 查看系统system中活动系列的进程成为我们我自己检测病毒木马最直接的方法。 但是系统system中同一个时间运行的进程那么多, 哪些是正常的系统system进程, 哪些是木马的进程, 而经常被病毒木马假冒的系统system进程就在系统system中又扮演着什么角色呢?请看本文。

  当我们我自己确认系统system中存就在病毒, 但是可以通过“任务管理器”查看系统system中的进程时又找不出异样的进程, 这说明病毒采用了一些隐藏措施, 总结出来有三法

  1.以假乱真

  系统system中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等, 有可能您发现过系统system中存就在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。 对比一下, 发现区别了么?这是病毒经常使用的伎俩, 目的就是迷惑用户的眼睛。 通常它们会将系统system中正常进程名的o改为0, l改为i, i改为j, 之后成为我自己的进程名, 只只一字之差, 意义却完全不同。 又或者多一个字母或少一个字母, 例如explorer.exe和iexplore.exe本来就容易搞混, 再出现个iexplorer.exe就愈加混乱了。 如果用户不仔细, 一般就忽略了, 病毒的进程就逃过了一劫。

  2.偷梁换柱

  如果用户比较心细, 那么上面这招就没用了, 病毒会被就地正法。 于是乎, 病毒也学聪明了, 懂得了偷梁换柱这一招。 如果一个进程的名字为svchost.exe, 和正常的系统system进程名分毫不差。 那么这个进程是不是就安全了呢?非也, 其实它只是利用了“任务管理器”再也不能够查看进程对应可执行文件程序这一缺陷。 我们我自己知道svchost.exe进程对应的可执行文件程序位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录), 如果病毒将自身复制到“C:\WINDOWS\”中, 并改名为svchost.exe, 运行后, 我们我自己就在“任务管理器”中看到的也是svchost.exe, 和正常的系统system进程无异。 您能辨别出其中哪一个是病毒的进程吗?

  3.借尸还魂

  除了上文中的两种方法外, 病毒还是有一招终极大法——借尸还魂。 所谓的借尸还魂就是病毒采用了进程插入技术, 将病毒运行所需的dll文件程序插入正常的系统system进程中, 表面上看无任意一个可疑情况, 实质上系统system进程已经被病毒控制了, 除非我们我自己借助专业的进程检测必备工具, 否则要想发现隐藏就在其中的病毒是很困难的。

  上文中提到了很多系统system进程, 这些系统system进程到底有何作用, 其运行原理又是什么?下面我们我自己将对这些系统system进程来进行逐一讲解, 相信就在熟知这些系统system进程后, 就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

  常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。 随着Windows系统system服务会一直不断增多, 为了节省系统system资源, 微软把很多服务做成共享方式, 交由svchost.exe进程来启动。 而系统system服务是以动态链接库(DLL)形式实现的, 它们把可执行程序指向scvhost, 由cvhost调用相应服务的动态链接库来启动服务。 我们我自己可以能够打开“控制面板”→“管理必备工具”→服务, 双击其中“ClipBook”服务, 就在其属性面板中可以能够发现对应的可执行文件程序路径为“C:\WINDOWS\system32\clipsrv.exe”。 再双击“Alerter”服务, 可以能够发现其可执行文件程序路径为“C:\WINDOWS\system32\svchost.exe-kLocalService”, 而“Server”服务的可执行文件程序路径为“C:\WINDOWS\system32\svchost.exe-knetsvcs”。 正是可以通过这种调用, 可以能够省下不少系统system资源, 因此系统system中出现多个svchost.exe, 其实只是系统system的服务而已。

  就在Windows2000系统system中一般存就在2个svchost.exe进程, 一个是RPCSS(RemoteProcedureCall)服务进程, 另外一个则是由很多服务共享的一个svchost.exe;而就在WindowsXP中, 则一般有4个上面的svchost.exe服务进程。 如果svchost.exe进程的数量多于5个, 就要小心了, 很有可能是病毒假冒的, 检测方法也很不复杂, 使用一些进程管理必备工具, 例如Windows优化大师的进程管理功能, 查看svchost.exe的可执行文件程序路径, 如果就在“C:\WINDOWS\system32”目录外, 那么就可以能够判定是病毒了。

  常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。 explorer.exe就是我们我自己经常会用到的“资源管理器”。 如果就在“任务管理器”中将explorer.exe进程结束, 那么包括任务栏、桌面、以及打开的文件程序都会统统消失, 单击“任务管理器”→“文件程序”→“新建任务”, 输入“explorer.exe”后, 消失的东西又重新回来了。 explorer.exe进程的作用就是让我们我自己管理电脑计算机中的资源。

  explorer.exe进程默认是和系统system一起启动的, 其对应可执行文件程序的路径为“C:\Windows”目录, 除此之外则为病毒。

  iexplore.exe

  常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像, 因此比较容易搞混, 其实iexplorer.exe是MicrosoftInternetExplorer所产生的进程, 也就是我们我自己平时使用的IE浏览器。 知道作用后辨认起来应该就比较容易了, iexplorer.exe进程名的开头为“ie”, 就是IE浏览器的意思。

  iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中, 存就在于其他目录则为病毒, 除非您将该文件程序夹来进行了转移。 此外, 有时我们我自己会发现没有打开IE浏览器的情况下, 系统system中仍然存就在iexplore.exe进程, 这要分两种情况:1.病毒假冒iexplore.exe进程名。 2.病毒偷偷就在后台可以通过iexplore.exe干坏事。 因此出现这种情况还是赶快用杀毒软件来进行查杀吧。

  rundll32.exe

  常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。 rundll32.exe就在系统system中的作用是执行DLL文件程序中的内部函数, 系统system中存就在多少个Rundll32.exe进程, 就表示Rundll32.exe启动了多少个的DLL文件程序。 其实rundll32.exe我们我自己是会经常用到的, 他可以能够控制系统system中的一些dll文件程序, 举个例子, 就在“命令提示符”中输入“rundll32.exeuser32.dll,LockWorkStation”, 回车后, 系统system就一定会快速切换到登录界面了。 rundll32.exe的路径为“C:\Windows\system32”, 就在别的目录则可以能够判定是病毒。

  常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。 spoolsv.exe是系统system服务“PrintSpooler”所对应的可执行程序, 其作用是管理所有本地和网络net打印队列及控制所有打印工作。 如果此服务被停用, 电脑计算机上的打印将不可用, 同一个时间spoolsv.exe进程也会从电脑计算机上消失。 如果您不存就在打印机设备, 那么就把这项服务关闭吧, 可以能够节省系统system资源。 停止stop并关闭服务后, 如果系统system中还存就在spoolsv.exe进程, 这就一定是病毒伪装的了。

  限于篇幅, 有关联于常见进程的介绍说明就到这里, 我们我自己平时就在检查进程的时候如果发现有可疑, 只要根据记录两点来判断:

  1.仔细检查进程的文件程序名;

  2.检查其路径。

  可以通过这两点, 一般的病毒进程肯定会露出马脚。

  找个管理进程的好帮手

  系统system内置的“任务管理器”功能太弱, 肯定不适合查杀病毒。 因此我们我自己可以能够使用专业的进程管理必备工具, 例如Procexp。 Procexp可以能够区分系统system进程和一般进程, 并且以不同的颜色来进行区分, 让假冒系统system进程的病毒进程无处可藏。

  运行Procexp后, 进程会被分为两大块, “SystemIdleProcess”下属的进程属于系统system进程,

  explorer.exe”下属的进程属于一般进程。 我们我自己介绍说明过的系统system进程svchost.exe、winlogon.exe等都隶属于“SystemIdleProcess”, 如果您就在“explorer.exe”中发现了svchost.exe, 那么不用说, 肯定是病毒冒充的。

相关文章
  • Windows系统中巧妙实现退出屏保时为登陆界面
  • 巧妙修改QQ游戏里面的背景音乐
  • 巧妙设置让你的U盘提速10倍
  • 巧妙释放隐形地址
  • 巧妙设置Cookies让上网冲浪更安全
  • 巧妙利用兵刃进行系统安检
  • 巧妙管理交换机揪出害群之马ARP病毒
  • 如何巧妙利用Hosts文件有效防范QQ病毒
  • 发表评论
    阅读排行
    网站帮助 - 广告合作 - 下载声明 - 网站地图