如何巧妙从进程信息中 判断病毒和木马

  • 时间:
  • 浏览:0
  • 来源:10分6合-10分彩平台_10分快3网投平台





作者: 赛迪网技术社区

CNETNews.com.cn

1008-09-18 13:05:24

关键词: 系统守护程序 守护程序 木马 病毒

  任何病毒和木马地处于系统中,都无法彻底和守护程序脱离关系,即使采用了隐藏技术,也还是不不还上能从守护程序中找到蛛丝马迹,也不,查看系统中活动的守护程序成为亲戚亲戚朋友检测病毒木马最直接的措施。也不系统中一齐运行的守护程序没人多,哪几种是正常的系统守护程序,哪几种是木马的守护程序,而总是被病毒木马假冒的系统守护程序在系统中又扮演着哪几种角色呢?请看本文。

  病毒守护程序隐藏三法

  当亲戚亲戚朋友确认系统中地处病毒,也不通过“守护程序”查看系统中的守护程序时又找不出异样的守护程序,这说明病毒采用了你这俩 隐藏措施,总结出来有三法:

  1.以假乱真

  系统中的正常守护程序有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,由于你发现过系统中地处没人 的守护程序:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒总是使用的伎俩,目的也不迷惑用户的眼睛。通常它们会将系统中正常守护程序名的o改为0,l改为i,i改为j,也不成为买车人的守护程序名,仅仅一字之差,意义却完整篇 不同。又由于多一个多多多 字母或少一个多多多 字母,例如于explorer.exe和iexplore.exe没人 就容易搞混,再总是出现 个iexplorer.exe就更加混乱了。由于用户不仔细,一般就忽略了,病毒的守护程序就逃过了一劫。

  2.偷梁换柱

  由于用户比较心细,没人上边这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱你这俩 招。由于一个多多多 守护程序的名字为svchost.exe,和正常的系统守护程序名分毫不差。没人你这俩 守护程序是有的是就安全了呢?非也,其实它也不利用了“守护程序”无法查看守护程序对应可执行文件你这俩 匮乏。亲戚亲戚朋友知道svchost.exe守护程序对应的可执行文件地处“C:WINDOWSsystem32”目录下(Windows100则是C:WINNTsystem32目录),由于病毒将自身群克隆到“C:WINDOWS”中,并改名为svchost.exe,运行后,亲戚亲戚朋友在“守护程序”中看多的也是svchost.exe,和正常的系统守护程序无异。你能辨别出其中哪一个多多多 是病毒的守护程序吗?

  3.借尸还魂

  除了上文中的一种生活措施外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂也不病毒采用了守护程序插入技术,将病毒运行所需的dll文件插入正常的系统守护程序中,棘层上看无任何可疑状态,实质上系统守护程序由于被病毒控制了,除非亲戚亲戚朋友借助专业的守护程序检测工具,也不要想发现隐藏在其中的病毒是很困难的。

  系统守护程序解惑

  上文中提到了也不系统守护程序,哪几种系统守护程序到底有何作用,其运行原理又是哪几种?下面亲戚亲戚朋友将对哪几种系统守护程序进行逐一讲解,相信在熟知哪几种系统守护程序后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

  svchost.exe

  常被病毒冒充的守护程序名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把也不服务做成共享措施,交由svchost.exe守护程序来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行守护程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。亲戚亲戚朋友还上能 打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中还上能 发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,还上能 发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过你这俩 调用,还上能 省下不少系统资源,也不系统中总是出现 多个svchost.exe,其实也不系统的服务而已。

  在Windows100系统中一般地处一个多多多 svchost.exe守护程序,一个多多多 是RPCSS(RemoteProcedureCall)服务守护程序,另外一个多多多 则是由也不服务共享的一个多多多 svchost.exe;而在WindowsXP中,则一般一个多多多多 以上的svchost.exe服务守护程序。由于svchost.exe守护程序的数量多于二个,就要小心了,很由于是病毒假冒的,检测措施也很简单,使用你这俩 守护程序管理工具,例如于Windows优化大师的守护程序管理功能,查看svchost.exe的可执行文件路径,由于在“C:WINDOWSsystem32”目录外,没人就还上能 判定是病毒了。

  explorer.exe

  常被病毒冒充的守护程序名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe也不亲戚亲戚朋友总是会用到的“资源管理器”。由于在“守护程序”中将explorer.exe守护程序没人 开使英语 ,没人包括任务栏、桌面、以及打开的文件时会也不消失,单击“守护程序”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe守护程序的作用也不让亲戚亲戚朋友管理计算机中的资源。

  explorer.exe守护程序默认是和系统一齐启动的,其对应可执行文件的路径为“C:Windows”目录,除此之外则为病毒。

  iexplore.exe

  常被病毒冒充的守护程序名有:iexplorer.exe、iexploer.exeiexplorer.exe守护程序和上文中的explorer.exe守护程序名很相像,也不比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的守护程序,也也不亲戚亲戚朋友平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe守护程序名的开头为“ie”,也不IE浏览器的意思。

  iexplore.exe守护程序对应的可执行守护程序地处C:ProgramFilesInternetExplorer目录中,地处于你这俩 目录则为病毒,除非你将该文件夹进行了转移。此外,有时亲戚亲戚朋友会发现没人打开IE浏览器的状态下,系统中仍然地处iexplore.exe守护程序,这要分一种生活状态:1.病毒假冒iexplore.exe守护程序名。2.病毒偷偷在后台通过iexplore.exe干坏事。也不总是出现 你这俩 状态还是赶快用杀毒软件进行查杀吧。

  rundll32.exe

  常被病毒冒充的守护程序名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的组织组织结构函数,系统中地处哪几只个Rundll32.exe守护程序,就表示Rundll32.exe启动了哪几只个的DLL文件。其实rundll32.exe亲戚亲戚朋友是会总是用到的,他还上能 控制系统中的你这俩 dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:Windowssystem32”,在别的目录则还上能 判定是病毒。

  spoolsv.exe

  常被病毒冒充的守护程序名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行守护程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。由于此服务被停用,计算机上的打印将不可用,一齐spoolsv.exe守护程序也会从计算机上消失。由于你不地处打印机设备,没人就把这项服务关闭吧,还上能 节省系统资源。停止并关闭服务后,由于系统中还地处spoolsv.exe守护程序,这就一定是病毒伪装的了。

  限于篇幅,关于常见守护程序的介绍就到这里,亲戚亲戚朋友平时在检查守护程序的没人 由于发现有可疑,假若根据两点来判断:

  1.仔细检查守护程序的文件名;

  2.检查其路径。

  通过这两点,一般的病毒守护程序肯定会露出马脚。