怎么从进程判断病毒和木马?
怎么从进程判断病毒和木马?
9 l% K1 h" Y) \! A& ?# v【精品之家】任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
1 c) h& k/ o5 p* W a3 y7 ]bbs.jpzj.net【精品之家】/ _" x' d7 g6 a: w/ V, A; u/ r3 i) C" r
, a7 X% E% ?2 j7 I病毒进程隐藏三法
5 K" L( N; N* ?% n【精品之家】
% e$ ~: E) o5 j【精品之家】当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:; R. B7 m" T- C% U" X4 I
+ _3 |: z. `. s8 d, x; Nbbs.jpzj.net1.以假乱真
* F$ u, s) _1 u6 M
4 I0 @- t3 }+ ], M! l0 @& y7 ~【精品之家】系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个 iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
/ M. B2 Q# U6 j1 s0 E o【精品之家】
) M; y. G- D% l2 L3 i精品论坛,风雨相伴!网络意义在于共享,希望你也能共享下你的资源精品论坛,风雨相伴!网络意义在于共享,希望你也能共享下你的资源4 f% p3 x! A. N5 r& [
精品,精品论坛,精品店,精品屋,精品音乐,精品之家,jpzj.net,bbs.jpzj.net,系统下载,破解软件,美女图片,AV女优,免费电影8 P# p3 T n- g! q/ d
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为 svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C: \WINNT\system32目录),如果病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?【精品之家】) t8 C. f' [+ U. S. e
! X, k! P7 |6 h+ _* t! n) q3.借尸还魂
) F! d, ?6 Y; }" U$ G- _% Wbbs.jpzj.net
9 r+ D$ K1 X% F; g$ G" T4 ^【精品之家】除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。
9 e9 [% E5 j2 q" Y! I2 P
9 d( y. c8 _) ]* @系统进程解惑
3 K. a1 U, o6 D' h h9 W! hbbs.jpzj.net
/ }! \+ O6 s- V' C% i4 b" h6 a上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。精品,精品论坛,精品店,精品屋,精品音乐,精品之家,jpzj.net,bbs.jpzj.net,系统下载,破解软件,美女图片,AV女优,免费电影- l3 N( {# d) K9 ^; T
9 c' @, P3 B+ v! _2 q
svchost.exe
% \4 _+ l8 p7 Ebbs.jpzj.net精品,精品论坛,精品店,精品屋,精品音乐,精品之家,jpzj.net,bbs.jpzj.net,系统下载,破解软件,美女图片,AV女优,免费电影- E# T6 z% _2 E3 b
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向 scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
, j6 d# K) T& P' {精品,精品论坛,精品店,精品屋,精品音乐,精品之家,jpzj.net,bbs.jpzj.net,系统下载,破解软件,美女图片,AV女优,免费电影
: j! z3 `" a: U w" f精品论坛,风雨相伴!网络意义在于共享,希望你也能共享下你的资源在Windows2000 系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果 svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。
6 K6 M8 ]) B Y. i, ?5 l# i4 M0 _bbs.jpzj.net# k$ t; ~4 s; V) x
explorer.exebbs.jpzj.net) E( G i2 e% A( t5 b
【精品之家】" ?( n9 h4 f- O' U9 [" I
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的 “资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器” →“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。4 r+ j8 J) S2 p9 T
; `: d5 I; m/ U7 [; f" w
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。精品论坛,风雨相伴!网络意义在于共享,希望你也能共享下你的资源& o6 J) N( D4 x4 c) S& X: L; |; y( l
# m$ |$ m9 G# a6 }$ jiexplore.exe) V" r% U3 ?1 g1 b. A9 i
精品,精品论坛,精品店,精品屋,精品音乐,精品之家,jpzj.net,bbs.jpzj.net,系统下载,破解软件,美女图片,AV女优,免费电影$ w7 u9 X- F4 O. }+ t! ?
常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为 “ie”,就是IE浏览器的意思。精品,精品论坛,精品店,精品屋,精品音乐,精品之家,jpzj.net,bbs.jpzj.net,系统下载,破解软件,美女图片,AV女优,免费电影0 i/ {, T4 F1 I' a" P' F8 ~
4 C; o6 o& l( `6 ]" rbbs.jpzj.netiexplore.exe进程对应的可执行程序位于C:\ProgramFiles\ InternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过 iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。bbs.jpzj.net9 l8 X4 `. F% P' N9 h3 U# H* D
精品,精品论坛,精品店,精品屋,精品音乐,精品之家,jpzj.net,bbs.jpzj.net,系统下载,破解软件,美女图片,AV女优,免费电影3 `( t+ r- _; F% Z7 T u
rundll32.exe精品论坛,风雨相伴!网络意义在于共享,希望你也能共享下你的资源6 E; f3 N' p/ C& ?4 r
1 v1 Q5 o" X, \- |% P, Q
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\ Windows\system32”,在别的目录则可以判定是病毒。精品,精品论坛,精品店,精品屋,精品音乐,精品之家,jpzj.net,bbs.jpzj.net,系统下载,破解软件,美女图片,AV女优,免费电影# q1 f9 e" F5 }& P7 ~* s
【精品之家】( X2 S: l/ i6 q1 [% C
spoolsv.exe精品论坛,风雨相伴!网络意义在于共享,希望你也能共享下你的资源- r7 e+ N) F4 R
& M# J6 T* S, |0 U8 ?" a4 bbbs.jpzj.net常被病毒冒充的进程名有: spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时 spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。精品,精品论坛,精品店,精品屋,精品音乐,精品之家,jpzj.net,bbs.jpzj.net,系统下载,破解软件,美女图片,AV女优,免费电影- n5 u3 Q+ G1 A$ n- m- C6 U8 v1 f7 o2 |
8 }) ~; e8 R" ]0 Q9 h U6 F( O【精品之家】限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:
* S% }& g Y5 z3 G2 [' f1 j
4 s& e1 r% ~6 R- P' E1.仔细检查进程的文件名;
' N4 s9 `$ d5 `【精品之家】2.检查其路径。精品,精品论坛,精品店,精品屋,精品音乐,精品之家,jpzj.net,bbs.jpzj.net,系统下载,破解软件,美女图片,AV女优,免费电影+ `4 F- T5 `) u/ B. c: f
通过这两点,一般的病毒进程肯定会露出马脚。
; K Q* |; ]4 b- K* x! Obbs.jpzj.net找个管理进程的好帮手# i- ?* H$ R- R
系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具,例如Procexp。Procexp可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假冒系统进程的病毒进程无处可藏。% P0 [; z7 r6 |- y" v4 t" l
& r- f( F# Q! A$ W8 C
运行Procexp后,进程会被分为两大块,“System Idle Process”下属的进程属于系统进程,6 l$ R: ^, t6 q6 n
8 T% w5 \/ S( K: `! E7 c* L6 m精品论坛,风雨相伴!网络意义在于共享,希望你也能共享下你的资源explorer.exe” 下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“System Idle Process”,如果你在“explorer.exe”中发现了svchost.exe,那么不用说,肯定是病毒冒充的
