翰文个人计算机学习网
  • 翰文快讯
  • 翰文PC快讯
  • 综合软件区
  • 操作系统
  • 注册表解析
  • Windows系列
  • Unix/Linux
  • 其他系统
  • 应用软件
  • 微软MS Office
  • WPS Office
  • 多媒体软件
  • 图像处理
  • Photoshop
  • Painter
  • Illustrator
  • CorelDRAW
  • 三维空间
  • AutoCAD
  • 3DMAX
  • 3DMAYA
  • 硬件资源
  • 攒机指南
  • 硬件超频
  • 维修指南
  • 网络资源
  • 在线通讯
  • 网上冲浪
  • 浏览器中心
  • 网络故障解析
  • 病毒资料
  • 病毒通报
  • 病毒防治
  • 病毒常识
  • 黑客技巧
  • SQL/MySQL
  • Oracle
  • Delphi
  • 编程资源
  •  C/C#/C++/VC++/VC.NET
  •  Basic/VB/VB.NET/VBScript
  •  FoxBasic/FoxPro/VF/VF.NET
  •  Java/JavaScript
  • PowerBuilder
  • 热门词:
  • 翰文计算机学习网首页
  • >
  • 病毒常识
  • >
  • 病毒、木马 如何判断进程中的异常情况
  • 病毒、木马 如何判断进程中的异常情况

  • 资源来源:
  • HW-PCS.ORG
  • 资源作者:
  • 翰文计算机学习网
  • 人气指数:
  • [2410]
  •   任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从中找到蛛丝马迹,因此,查看系统中活动的成为我们检测病毒最直接的方法。但是系统中同时运行的那么多,哪些是正常的系统,哪些是的,而经常被病毒假冒的系统在系统中又扮演着什么角色呢?请看本文。

      病毒隐藏三法

      当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的时又找不出异样的,这说明病毒采用了一些隐藏措施,总结出来有三法:

      1.以假乱真

      系统中的正常有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常名的o改为0,l改为i,i改为j,然后成为自己的名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的就逃过了一劫。

      2.偷梁换柱

      如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个的名字为svchost.exe,和正常的系统名分毫不差。那么这个是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看对应可执行文件这一缺陷。我们知道svchost.exe对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是C:WINNTsystem32目录),如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统无异。你能辨别出其中哪一个是病毒的吗?

      3.借尸还魂

      除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了插入技术,将病毒运行所需的dll文件插入正常的系统中,表面上看无任何可疑情况,实质上系统已经被病毒控制了,除非我们借助专业的检测工具,否则要想发现隐藏在其中的病毒是很困难的。

      系统解惑

      上文中提到了很多系统,这些系统到底有何作用,其运行原理又是什么?下面我们将对这些系统进行逐一讲解,相信在熟知这些系统后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

      svchost.exe

      常被病毒冒充的名有:svch0st.exe、schvost.exe、scvhost.exe。随着系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。

      在2000系统中一般存在2个svchost.exe,一个是RPCSS(RemoteProcedureCall)服务,另外一个则是由很多服务共享的一个svchost.exe;而在XP中,则一般有4个以上的svchost.exe服务。如果svchost.exe的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些管理工具,例如优化大师的管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。

      explorer.exe

      常被病毒冒充的名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe的作用就是让我们管理计算机中的资源。

      explorer.exe默认是和系统一起启动的,其对应可执行文件的路径为“C:”目录,除此之外则为病毒。

      iexplore.exe

      常被病毒冒充的名有:iexplorer.exe、iexploer.exeiexplorer.exe和上文中的explorer.exe名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe名的开头为“ie”,就是的意思。

      iexplore.exe对应的可执行程序位于C:ProgramFilesInternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开的情况下,系统中仍然存在iexplore.exe,这要分两种情况:1.病毒假冒iexplore.exe名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。

      rundll32.exe

      常被病毒冒充的名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:system32”,在别的目录则可以判定是病毒。

      spoolsv.exe

      常被病毒冒充的名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe,这就一定是病毒伪装的了。

      限于篇幅,关于常见的介绍就到这里,我们平时在检查的时候如果发现有可疑,只要根据两点来判断:

      1.仔细检查的文件名;

      2.检查其路径。

      通过这两点,一般的病毒肯定会露出马脚。

      找个管理的好帮手

      系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的管理工具,例如Procexp。Procexp可以区分系统和一般,并且以不同的颜色进行区分,让假冒系统的病毒无处可藏。

      运行Procexp后,会被分为两大块,“System Idle Process”下属的属于系统,

      explorer.exe”下属的属于一般。我们介绍过的系统svchost.exe、winlogon.exe等都隶属于“System Idle Process”,如果你在“explorer.exe”中发现了svchost.exe,那么不用说,肯定是病毒冒充的。

    感谢您对翰文计算机学习网的支持

  • 关于我们
  • 联系方式
  • 成功案例
  • 技术报价
  • RSS索引
  • 网站地图
  • 翰文电脑学习网
  • MSN:LNDDYGYC9@HOTMAIL.COM Powered by 翰文个人计算机学习网 版权所有,未经允许不得转载
    ICP备案号码:[沪ICP备12020678号] Copyright 2008-2020 HW-PCS.ORG, All Rights Reserved.