进程会被分为两大块,运行 Procexp 后。 System Idle Process 下属的进程属于系统进程, explorer.ex 下属的进程属于一般进程。介绍过的系统进程 svchost.ex winlogon.ex 等都隶属于 “ System Idle Process 如果你 explorer.ex 中发现了 svchost.ex 那么不用说,肯定是病毒冒充的
都无法完全和进程脱离关系,任何病毒和木马存在于系统中。即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,检查系统中活动的进程成为我检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
病毒进程隐藏三法
但是通过 “ 任务管理器 ” 检查系统中的进程时又找不出异样的进程,当我确认系统中存在病毒。这说明病毒采用了一些隐藏措施,总结进去有三法:
1. 以假乱真
可能你发现过系统中存在这样的进程: svch0st.ex explore.ex iexplorer.ex winlogin.ex 对比一下,系统中的正常进程有: svchost.ex explorer.ex iexplore.ex winlogon.ex 等。发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它会将系统中正常进程名的 o 改为 0 l 改为 i i 改为 j 然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如 explorer.ex 和 iexplore.ex 原本就容易搞混,再出现个 iexplorer.ex 就更加混乱了如果用户不仔细,一般就忽略了病毒的进程就逃过了一劫。
2. 偷梁换柱
那么上面这招就没用了病毒会被就地正法。于是乎,如果用户比较心细。病毒也学聪明了懂得了偷梁换柱这一招。如果一个进程的名字为 svchost.ex 和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了任务管理器 ” 无法检查进程对应可执行文件这一缺陷。知道 svchost.ex 进程对应的可执行文件位于 “ C:\WINDOWS\system32 目录下( Windows2000 则是 C:\WINNT\system32 目录)如果病毒将自身复制到 C:\windows\ 中,并改名为 svchost.ex 运行后,任务管理器 ” 中看到也是 svchost.ex 和正常的系统进程无异。能区分出其中哪一个是病毒的进程吗?
3. 借尸还魂
病毒还有一招终极大法 — 借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,除了上文中的两种方法外。将病毒运行所需的 dll 文件插入正常的系统进程中,外表上看无任何可疑情况,实质上系统进程已经被病毒控制了除非我借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的
系统进程解惑
这些系统进程到底有何作用,上文中提到很多系统进程。其运行原理又是什么?下面我将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能胜利破解病毒的以假乱真 ” 和 “ 偷梁换柱 ”
svchost.exe
为了节省系统资源,常被病毒冒充的进程名有: svch0st.ex schvost.ex scvhost.ex 随着 window 系统服务不时增多。微软把很多服务做成共享方式,交由 svchost.ex 进程来启动。而系统服务是以动态链接库 ( DLL 形式实现的把可执行顺序指向 scvhost 由 cvhost 调用相应服务的动态链接库来启动服务。可以打开 “ 控制面板 ” 管理工具 ” 服务,双击其中 “ ClipBook 服务,其属性面板中可以发现对应的可执行文件路径为 “ C:\WINDOWS\system32\clipsrv.ex 再双击 “ Alerter 服务,可以发现其可执行文件路径为 “ C:\windows\system32\svchost.ex -k LocalServic 而 “ Server 服务的可执行文件路径为 “ C:\windows\system32\svchost.ex -k netsvc 正是通过这种调用,可以省下不少系统资源,因此系统中出现多个 svchost.ex 其实只是系统的服务而已。
一个是 RPCSS RemoteProcedureCal 服务进程, Windows2000 系统中一般存在 2 个 svchost.ex 进程。另外一个则是由很多服务共享的一个 svchost.ex 而在 windowsXP 中,则一般有 4 个以上的 svchost.ex 服务进程。如果 svchost.ex 进程的数量多于 5 个,就要小心了很可能是病毒假冒的检测方法也很简单,使用一些进程管理工具,例如 window 优化大师的进程管理功能,检查 svchost.ex 可执行文件路径,如果在 C:\windows\system32 目录外,那么就可以判定是病毒了
explorer.exe
那么包括任务栏、桌面、以及打开的文件都会统统消失,常被病毒冒充的进程名有: iexplorer.ex expiorer.ex explore.ex explorer.ex 就是经常会用到资源管理器 ” 如果在任务管理器 ” 中将 explorer.ex 进程结束。单击 “ 任务管理器 ” 文件 ” 新建任务 ” 输入 “ explorer.ex 后,消失的东西又重新回来了 explorer.ex 进程的作用就是让我管理计算机中的资源。
除此之外则为病毒。 explorer.ex 进程默认是和系统一起启动的其对应可执行文件的路径为 “ C:\window 目录。
iexplore.exe
因此比较容易搞混,常被病毒冒充的进程名有: iexplorer.ex iexploer.exeiexplorer.ex 进程和上文中的 explorer.ex 进程名很相像。其实 iexplorer.ex Microsoft Internet Explorer 所产生的进程,也就是平时使用的 IE 浏览器。知道作用后识别起来应该就比较容易了 iexplorer.ex 进程名的开头为 “ ie 就是 IE 浏览器的意思。
存在于其他目录则为病毒, iexplore.ex 进程对应的可执行顺序位于 C:\ProgramFiles\InternetExplor 目录中。除非你将该文件夹进行了转移。此外,有时我会发现没有打开 IE 浏览器的情况下,系统中仍然存在 iexplore.ex 进程,这要分两种情况: 1. 病毒假冒 iexplore.ex 进程名。 2. 病毒偷偷在后台通过 iexplore.ex 干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。
rundll32.exe
系统中存在多少个 Rundll32.ex 进程,就表示 Rundll32.ex 启动了多少个的 DLL 文件。其实 rundll32.ex 会经常用到可以控制系统中的一些 dll 文件,举个例子,命令提示符 ” 中输入 “ rundll32.ex user32.dll, 常被病毒冒充的进程名有: rundl132.ex rundl32.ex rundll32.ex 系统中的作用是执行 DLL 文件中的内部函数。LockWorkSt 回车后,系统就会快速切换到登录界面了 rundll32.ex 路径为 “ C:\windows\system32 别的目录则可以判定是病毒。
spoolsv.exe
其作用是管理所有外地和网络打印队列及控制所有打印工作。如果此服务被停用,常被病毒冒充的进程名有: spoo1sv.ex spolsv.ex spoolsv.ex 系统服务 “ Print Spooler 所对应的可执行程序。计算机上的打印将不可用,同时 spoolsv.ex 进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在 spoolsv.ex 进程,这就一定是病毒伪装的
关于罕见进程的介绍就到这里,限于篇幅。平时在检查进程的时候如果发现有可疑,只要根据两点来判断:
1. 仔细检查进程的文件名;
2. 检查其路径。
一般的病毒进程肯定会露出马脚。 通过这两点。
找个管理进程的好帮手
肯定不适合查杀病毒。因此我可以使用专业的进程管理工具,系统内置的任务管理器 ” 功能太弱。例如 Procexp Procexp 可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假冒系统进程的病毒进程无处可藏。
.- 上一篇:三种不同的防Ping安全策略方法
- 下一篇:巧用记事本清除病毒