如何从进程中判定出病毒和木马

　　任何病毒和木马存在于系统中，都没法完全和进程脱离关系，即使采取了隐躲技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那末多，哪些是正常的系统进程，哪些是木马的进程，而常常被病毒木马假冒的系统进程在系统中又扮演着甚么角色呢？请看本文。

　　病毒进程隐躲3法

　　当我们确认系统中存在病毒，但是通过“任务治理器”查看系统中的进程时又找不出异常的进程，这说明病毒采取了1些隐躲措施，总结出来有3法：

　　1.以假乱真

　　系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对照1下，发现辨别了么？这是病毒常常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改成0，l改成i，i改成j，然后成为自己的进程名，仅仅1字之差，意义却完全不同。又或多1个字母或少1个字母，例如explorer.exe和iexplore.exe本来就轻易弄混，再出现个iexplorer.exe就更加混乱了。假设用户不仔细，1般就忽视了，病毒的进程就逃过了1劫。

　　2.移花接木

　　假设用户比较心细，那末上面这招就没用了，病毒会被就地正法。因而乎，病毒也学聪明了，知道了移花接木这1招。假设1个进程的名字为svchost.exe，和正常的系统进程名分尽不差。那末这个进程是否是就安全了呢？非也，实在它只是利用了“任务治理器”没法查看进程对应可履行文件这1缺点。我们知道svchost.exe进程对应的可履行文件位于“C:\WINDOWS\system32”目录下（Windows2000则是C:\WINNT\system32目录），假设病毒将本身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务治理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪1个是病毒的进程吗？

　　3.借尸还魂

　　除上文中的两种方法外，病毒还有1招终极***——借尸还魂。所谓的借尸还魂就是病毒采取了进程插进技术，将病毒运行所需的dll文件插进正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐躲在其中的病毒是很困难的。

　　系统进程解惑

　　上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是甚么？下面我们将对这些系统进程进行逐1讲授，相信在熟知这些系统进程后，便可以成功破解病毒的“以假乱真”和“移花接木”了。

　　svchost.exe

　　常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)情势实现的，它们把可履行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“治理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可履行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务，可以发现其可履行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”，而“Server”服务的可履行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这类调用，可以省下很多系统资源，因此系统中出现多个svchost.exe，实在只是系统的服务而已。

　　在Windows2000系统中1般存在2个svchost.exe进程，1个是RPCSS(RemoteProcedureCall)服务进程，另外1个则是由很多服务共享的1个svchost.exe；而在WindowsXP中，则1般有4个以上的svchost.exe服务进程。假设svchost.exe进程的数目多于5个，就要谨慎了，很多是病毒假冒的，检测方法也很简单，使用1些进程治理工具，例如Windows优化大师的进程治理功能，查看svchost.exe的可履行文件路径，假设在“C:\WINDOWS\system32”目录外，那末便可以够判定是病毒了。

　　explorer.exe

　　常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们常常会用到的“资源治理器”。假设在“任务治理器”中将explorer.exe进程结束，那末包括任务栏、桌面、和打开的文件都会统统消失，单击“任务治理器”→“文件”→“新建任务”，输进“explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们治理计算机中的资源。

　　explorer.exe进程默许是和系同1起启动的，其对应可履行文件的路径为“C:\Windows”目录，除此之外则为病毒。

　　iexplore.exe

　　常被病毒冒充的进程名有：iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像，因此比较轻易弄混，实在iexplorer.exe是Microsoft Internet Explorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应当就比较轻易了，iexplorer.exe进程名的开头为“ie”，就是IE浏览器的意思。

　　iexplore.exe进程对应的可履行程序位于C:\ProgramFiles\InternetExplorer目录中，存在于其他目录则为病毒，除非你将该文件夹进行了转移。另外，有时我们会发现没有打开IE浏览器的情况下，系统中依然存在iexplore.exe进程，这要分两种情况：1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这类情况还是赶快用杀毒软件进行查杀吧。

　　rundll32.exe

　　常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是履行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。实在rundll32.exe我们是会经常常使用到的，他可以控制系统中的1些dll文件，举个例子，在“命令提示符”中输进“rundll32.exe user32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”，在别的目录则可以判定是病毒。

　　spoolsv.exe

　　常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可履行程序，其作用是治理所有本地和网络打印队列及控制所有打印工作。假设此服务被停用，计算机上的打印将不可用，同时spoolsv.exe进程也会从计算机上消失。假设你不存在打印机设备，那末就把这项服务封闭吧，可以节省系统资源。停止并封闭服务后，假设系统中还存在spoolsv.exe进程，这就1定是病毒假装的了。

　　限于篇幅，关于常见进程的先容就到这里，我们平时在检查进程的时候假设发现有可疑，只要根据两点来判定：1.仔细检查进程的文件名；2.检查其路径。通过这两点，1般的病毒进程肯定会露出破绽。

　　找个治理进程的好帮手

　　系统内置的“任务治理器”功能太弱，肯定不合适查杀病毒。因此我们可使用专业的进程治理工具，例如Procexp。Procexp可以辨别系统进程和1般进程，并且以不同的色采进行辨别，让假冒系统进程的病毒进程无处可躲。

　　运行Procexp后，进程会被分为两大块，“System Idle Process”下属的进程属于系统进程，

　　explorer.exe”下属的进程属于1般进程。我们先容过的系统进程svchost.exe、winlogon.exe等都隶属于“System Idle Process”，假设你在“explorer.exe”中发现了svchost.exe，那末不用说，肯定是病毒冒充的。

　　至于病毒采取的“借尸还魂”***——dll插进技术，我们曾讲授过破解方法，通过查看其dll文件的签名即可，这点一样可以在Procexp中做到，在此不再论述。

　　小贴士：在软件的主界面我们可能看不到进程名和进程所对应的可履行文件，我们可以点击其“查看”菜单→“选择列”，勾选“进程名称”和“映像路径”，肯定保存即可。

　　请作者联系本站，及时附注您的姓名。联系邮箱:edu#chinaz.com（把#改成@）。

唐山网站建设www.fw8.net

TAG:系统,进程,文件,病毒,路径

评论加载中... 内容： 评论者： 验证码：