当前位置:主页 > 行业知识 >

从系统进程中判断出病毒和木马

发布时间:19-12-06 阅读:423

任何病毒和木马存在于系统中,都无法彻底和进程离开关系,纵然采纳了暗藏技巧,也照样能够从进程中找到蛛丝马迹,是以,查看系统中活动的进程成为我们检测病毒木马最直接的措施。然则系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而常常被病毒木马伪装的系统进程在系统中又扮演着什么角色呢?

病毒进程暗藏三法

当我们确认系统中存在病毒,然则经由过程“义务治理器”查看系统中的进程时又找不出异样的进程,这阐明病毒采纳了一些暗藏步伐,总结出来有三法:

1.以假乱真

系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发明过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。比较一下,发明差别了么?这是病毒常常应用的手腕,目的便是迷惑用户的眼睛。平日它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不合。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe原先就轻易搞混,再呈现个iexplorer.exe就加倍纷乱了。假如用户不仔细,一样平常就轻忽了,病毒的进程就逃过了一劫。

2.偷梁换柱

假如用户对照心细,那么上面这招就没用了,病毒会被就地处死。于是乎,病毒也学聪清楚明了,相识了偷梁换柱这一招。假如一个进程的名字为svchost.exe,和正常的系统进程名分绝不差。那么这个进程是不是就安然了呢?非也,着实它只是使用了“义务治理器”无法查看进程对应可履行文件这一缺陷。我们知道svchost.exe进程对应的可履行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录),假如病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,运行后,我们在“义务治理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出此中哪一个是病毒的进程吗?

3.借尸还魂

除了上文中的两种措施外,病毒还有一招最终大年夜法——借尸还魂。所谓的借尸还魂便是病毒采纳了进程插入技巧,将病毒运行所需的dll文件插入正常的系统进程中,外面上看无任何可疑环境,实质上系统进程已经被病毒节制了,除非我们借助专业的进程检测对象,否则要想发明暗藏在此中的病毒是很艰苦的。

系统进程解惑

上文中提到了很多系统进程,这些系统进程到底有何感化,其运行道理又是什么?下面我们将对这些系统进程进行一一解说,信托在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

svchost.exe

常被病毒假冒的进程名有:svch0st.exe、schvost.exe、scvhost.exe。跟着Windows系统办事赓续增多,为了节省系统资本,微软把很多办事做成共享要领,交由svchost.exe进程来启动。而系统办事因此动态链接库(DLL)形式实现的,它们把可履行法度榜样指向scvhost,由cvhost调用响应办事的动态链接库来启动办事。我们可以打开“节制面板”→“治理对象”→办事,双击此中“ClipBook”办事,在其属性面板中可以发明对应的可履行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”办事,可以发明其可履行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”,而“Server”办事的可履行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。恰是经由过程这种调用,可以省下不少系统资本,是以系统中呈现多个svchost.exe,着实只是系统的办事而已。

在Windows2000系统中正常存在svchost.exe进程,一个是RPCSS(RemoteProcedureCall)办事进程,别的一个则是由很多办事共享的一个svchost.exe;而在WindowsXP中,则一样平常有4个以上的svchost.exe办事进程。假如在xp和之前的系统中svchost.exe进程的数量多于5个,就要小心了,很可能是病毒伪装的。然则到了Vista和Windows7期间,8-12个svchost进程都是正常的!是否为系统正常进程的检测措施也很简单,应用一些进程治理对象,例如的进程治理功能,查看svchost.exe的可履行文件路径,假如在“C:\WINDOWS\system32”目录外,那么就可以鉴定是病毒了。



上一篇:王者荣耀S17法师怎么选 S17赛季强势法师推荐
下一篇:没有了