任何病毒和木马存在于系统中都无法彻底和进程脱离关系即使采用了隐藏技术也还是能够从进程中找到蛛丝马迹因此查看系统中活动的进程成为我们检测病毒木马最直接的方法但是系统中同时运行的进程那么多哪些是正常的系统进程哪些是木马的进程而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文
Windows XP资源管理器界面
病毒进程隐藏三法
当我们确认系统中存在病毒但是通过任务管理器查看系统中的进程时又找不出异样的进程这说明病毒采用了一些隐藏措施总结出来有三法
以假乱真
系统中的正常进程有svchostexeexplorerexeiexploreexewinlogonexe等可能你发现过系统中存在这样的进程svchstexeexploreexeiexplorerexewinloginexe对比一下发现区别了么?这是病毒经常使用的伎俩目的就是迷惑用户的眼睛通常它们会将系统中正常进程名的o改为l改为ii改为j然后成为自己的进程名仅仅一字之差意义却完全不同又或者多一个字母或少一个字母例如explorerexe和iexploreexe本来就容易搞混再出现个iexplorerexe就更加混乱了如果用户不仔细一般就忽略了病毒的进程就逃过了一劫
偷梁换柱
如果用户比较心细那么上面这招就没用了病毒会被就地正法于是乎病毒也学聪明了懂得了偷梁换柱这一招如果一个进程的名字为svchostexe和正常的系统进程名分毫不差那么这个进程是不是就安全了呢?非也其实它只是利用了任务管理器无法查看进程对应可执行文件这一缺陷我们知道svchostexe进程对应的可执行文件位于C:WINDOWSsystem目录下(Windows则是C:WINNTsystem目录)如果病毒将自身复制到C:WINDOWS中并改名为svchostexe运行后我们在任务管理器中看到的也是svchostexe和正常的系统进程无异你能辨别出其中哪一个是病毒的进程吗?
借尸还魂
除了上文中的两种方法外病毒还有一招终极大法——借尸还魂所谓的借尸还魂就是病毒采用了进程插入技术将病毒运行所需的dll文件插入正常的系统进程中表面上看无任何可疑情况实质上系统进程已经被病毒控制了除非我们借助专业的进程检测工具否则要想发现隐藏在其中的病毒是很困难的
系统进程解惑
上文中提到了很多系统进程这些系统进程到底有何作用其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解相信在熟知这些系统进程后就能成功破解病毒的以假乱真和偷梁换柱了
svchostexe
常被病毒冒充的进程名有svchstexeschvostexescvhostexe随着Windows系统服务不断增多为了节省系统资源微软把很多服务做成共享方式交由svchostexe进程来启动而系统服务是以动态链接库(DLL)形式实现的它们把可执行程序指向scvhost由cvhost调用相应服务的动态链接库来启动服务
我们可以打开控制面板→管理工具→服务双击其中ClipBook服务在其属性面板中可以发现对应的可执行文件路径为C:WINDOWSsystemclipsrvexe再双击Alerter服务可以发现其可执行文件路径为C:WINDOWSsystemsvchostexe k LocalService而Server服务的可执行文件路径为C:WINDOWSsystemsvchostexe k netsvcs正是通过这种调用可以省下不少系统资源因此系统中出现多个svchostexe其实只是系统的服务而已
在Windows系统中一般存在个svchostexe进程一个是RPCSS(RemoteProcedureCall)服务进程另外一个则是由很多服务共享的一个svchostexe而在WindowsXP中则一般有个以上的svchostexe服务进程如果svchostexe进程的数量多于个就要小心了很可能是病毒假冒的检测方法也很简单使用一些进程管理工具例如Windows优化大师的进程管理功能查看svchostexe的可执行文件路径如果在C:WINDOWSsystem目录外那么就可以判定是病毒了
explorerexe
常被病毒冒充的进程名有iexplorerexeexpiorerexeexploreexeexplorerexe就是我们经常会用到的资源管理器如果在任务管理器中将explorerexe进程结束那么包括任务栏桌面以及打开的文件都会统统消失单击任务管理器→文件→新建任务输入explorerexe后消失的东西又重新回来了explorerexe进程的作用就是让我们管理计算机中的资源
explorerexe进程默认是和系统一起启动的其对应可执行文件的路径为C:Windows目录除此之外则为病毒
iexploreexe
常被病毒冒充的进程名有IExplorerexeiexploerexeiexplorerexe进程和上文中的explorerexe进程名很相像因此比较容易搞混其实iexplorerexe是Microsoft Internet Explorer所产生的进程也就是我们平时使用的IE浏览器知道作用后辨认起来应该就比较容易了iexplorerexe进程名的开头为ie就是IE浏览器的意思
iexploreexe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中存在于其他目录则为病毒除非你将该文件夹进行了转移此外有时我们会发现没有打开IE浏览器的情况下系统中仍然存在iexploreexe进程这要分两种情况病毒假冒iexploreexe进程名病毒偷偷在后台通过iexploreexe干坏事因此出现这种情况还是赶快用杀毒软件进行查杀吧
rundllexe
常被病毒冒充的进程名有rundlexerundlexerundllexe在系统中的作用是执行DLL文件中的内部函数系统中存在多少个Rundllexe进程就表示Rundllexe启动了多少个的DLL文件其实rundllexe我们是会经常用到的他可以控制系统中的一些dll文件举个例子在命令提示符中输入rundllexe userdllLockWorkStation回车后系统就会快速切换到登录界面了rundllexe的路径为C:Windowssystem在别的目录则可以判定是病毒
spoolsvexe
常被病毒冒充的进程名有spoosvexespolsvexespoolsvexe是系统服务Print Spooler所对应的可执行程序其作用是管理所有本地和网络打印队列及控制所有打印工作如果此服务被停用计算机上的打印将不可用同时spoolsvexe进程也会从计算机上消失如果你不存在打印机设备那么就把这项服务关闭吧可以节省系统资源停止并关闭服务后如果系统中还存在spoolsvexe进程这就一定是病毒伪装的了
限于篇幅关于常见进程的介绍就到这里我们平时在检查进程的时候如果发现有可疑只要根据两点来判断
仔细检查进程的文件名
检查其路径
通过这两点一般的病毒进程肯定会露出马脚
