关于本站
管理团队
  
胡杨林-四川IT·互动主题区  [登录] [注册] [发表新文章]  

作者: 笑看千秋 收藏:1 回复:7 点击:8980 发表时间: 2009.07.05 16:23:17

如何在任务管理器进程中判断病毒和木马[转载]


  任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
  一、病毒进程隐藏三法
  当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
  (一)、以假乱真
  系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就轻易搞混,再出现个iexplorer.exe就更加混乱了。假如用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
  (二)、偷梁换柱
  假如用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。假如一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是C:WINNTsystem32目录),假如病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
   (三)、借尸还魂
  除了上文中的两种方法外,病毒还有一招终极大法--借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,如卡卡助手中的功能,否则要想发现隐藏在其中的病毒是很困难的。
  二、病毒的高级运作
  我在这里着重讲一下关于第三类,隐藏病毒的植入原理以及防范,这类病毒可以统称为插件病毒,这类病毒并非以明确的程序在系统中存在,而是“系统或某一类软件运行时潜伏运作”的身份,关于它的查杀比较麻烦,诸事有千秋,防患于未然必定无错,为了更好的保障自己电脑的安全,在你平时不具备大量杀毒经验的前提之下,请小心谨慎,不要登陆不规范、制作粗糙、广告太多、加载甚慢的网页,在不必要的情况之下不要让你的电脑公开让其它人使用,不要在你的电脑上使用未经查清的U盘、手机等移动设备,不要安装来源不明的软件,尽量在正规、或者你经常使用、或者有好友推荐能放心下载的网站下载你所需要的软件,总而言之,外兵靠你抵挡,内患则靠系统更新,保持系统的干净整洁,系统补丁及时更新,平时养成良好的操作习惯,则病毒无忧,当然不惧网络险恶。
  有了防患意识,当然还要了解这类难缠的病毒的运作原理,所谓知己知彼,百战不殆,才能有心理准备,戎装上阵。这类病毒经常的运作方式有三类:
  (一)、以插件方式插入到IE浏览器中,为什么会是IE而不是其它软件呢?理由如下,IE每台电脑都有,是随系统存在的,所以病毒传播方便,另外,IE是上网必需软件,随着网民的日益填多,网页将会一直都是病毒寄生的最好对像,最后,IE本身的特性限制成就了它为病毒传播提供了大量的便利,病毒制作方便,网上恶意代码比比皆是,所以如果你的上网经验不足,不足以在恶意代码满天飞的网页世界游刃有余,那么建议你不要用IE浏览网页,使用另外一款的网页浏览器,那就是著名的firefox,也叫火狐浏览器,这一款软件的安全机制远优于IE,防备大量的病毒代码正是它的长项,可以在百度里搜索并下载安装使用,该软件亦为免费软件,可谓造福良多。
  (二)、以驱动方式植入到系统中,这个就比较麻烦,驱动,是每台电脑的必需文件,你电脑上的所有设备都需要对应的驱动来正确工作,所以驱动的运行是先于所有程序的,当你的系统在启动的一瞬间,驱动文件就开始发挥他们的作用,对你电脑中的设备以及软件进行正确的引导,让你能正常的启动系统,当驱动一旦崩坏,常见状况就是系统无法启动,或者频繁出现蓝屏现象,当然这里不讲解关于驱动的维护,这里只谈一下驱动病毒的运作,这类病毒经常利用驱动在系统中启动的优化性来让自己先于一切程序启动,然后悠然自得的关掉一些常见的杀毒或防范软件,为自己本身的安全作无耻的保障,如常见的蠕动病毒,都会采用这类方式,将会将360软件等通通扼杀在启动之中,防范方法上面已经讲了,这里来讲讲它的查找以及杀除方法,通常这类病毒的文件名是XXX.sys,即它的后缀名是SYS,这类文件都是在系统盘/windows/system32/drivers/目录下,你所需要做的,就是进入到该目录,然后以修改时间降序的排列方式来查看该文件夹下的所有驱动文件,查看哪一个驱动比较可疑,一般来讲,驱动在系统安装并稳定使用之后,驱动都不会在更改,即所有的驱动文件的修改时间都是一样或者相近的,如果你发现你的drivers目录下出现了新的驱动文件,如124.sys,且修改时间就是最近,说明这个sys文件是最近才搬家搬到这里的,那你不仿把这个文件名复制下来,然后在百度中搜索一下这个文件名,一般来说你都可以在百度搜索的结果中得知这个驱动是否是病毒,或者只是系统设备的正常驱动。那么这类病毒的查杀比较麻烦,在这里推荐一款有关驱动查杀工具,即“360顽固木马专杀工具”,一键使用,比较方便,如果你已经晋级中熟练的老手,不仿使用冰刃、unhook、SRENG等比较高级一点的软件来更好的查杀这类病毒,这里不作详解,可以自行在百度上搜索这些软件的操作攻略。
  (三)、以服务方式植入到系统中,其实这一类与第二类驱动病毒原理类同,但这类病毒一般不是单兵作战,如果你的电脑中有服务类病毒,那恭喜你,你的电脑里面应该至少还有它的一大堆同伙在悄悄作祟。服务类病毒,顾名思议,是以服务项的方式运作在电脑当中的,它和驱动或插件类病毒一样,你永远也别想在进程管理器中看见它的身影,但它确实就在进程管理器中,你不仿打开进程管理器,找找其中有没有很多svchost.exe进程的身影?svchost.exe当然不是病毒,每台电脑都有,且不可缺少,如果你狠下心来结束掉svchost进程,轻则死机或重启,重则蓝屏或造成不可逆的未知错误。svchost与驱动文件一样,是优先于大部份普通程序启动,驱动的功能在于让你的电脑设备正常,而服务项的功能就在于让你的系统动转正常,如上网、玩游戏、看电影等等,这些都是和电脑中的服务项息息相关,在进程中,svchost.exe的功能就在于启动常见的系统服务,一个svchost.exe中往往包含了数十个服务项在里面,所以你不能轻易的结束掉它,服务项病毒其聪明之处犹在于此,将自己委身于svchost.exe,让你看不见摸不着,却又不敢下手结束掉进程,这是投鼠忌器之计。关于这类病毒的查杀,比较麻烦,但对于360安全卫士来说,普通用户用它已足够应付。打开“360安全卫士”,进入“高级”选项,下方有“系统服务状态”选项,点击它后可以看得出当前电脑中正在动作的服务有哪些,并对应关联的程序是哪些,且对于这些服务项有安全与否的评估,让你更好的找到并停止可疑的服务。当然360的功能远不止于此,在这里我推荐这一款软件的原因就在于它的使用方法简便,且杀除病毒和维护系统的功能并不亚于专业软件,这也是它目前能流行起来的原因。
  当然,大千世界林林总总,病毒的类型远不止于此,人的智慧是无限的,创造力和破坏力都会随着时间向前发展,除了作好你本身的防患工作,还要多多获取网络上相关的信息,作好预期防范、且知其然也知其所以然的准备。
  
  三、系统进程解惑
  上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
  svchost.exe
  常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
  在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。假如svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,假如在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。
  explorer.exe
  常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。假如在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
  explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:Windows”目录,除此之外则为病毒。
  iexplore.exe
  常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较轻易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较轻易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。
  iexplore.exe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:
  1.病毒假冒iexplore.exe进程名。
  2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶紧用杀毒软件进行查杀吧。
  rundll32.exe
  常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:Windowssystem32”,在别的目录则可以判定是病毒。
  spoolsv.exe
  常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。假如此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。假如你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,假如系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
  限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候假如发现有可疑,只要根据两点来判定:1.仔细检查进程的文件名;2.检查其路径。通过这两点,一般的病毒进程肯定会露出马脚。
  


转载    收   藏  

回帖


回复人: 又见落花 Re:如何在任务管理器进程中判断病毒和木马[转载] 回复时间: 2009.07.05 18:37

    哇塞
  好复杂!
  作者可真够细心滴,也真有本事滴!佩服!

1 篇回复    查 看 回 复    回    复    

回复人: 十六 Re:如何在任务管理器进程中判断病毒和木马[转载] 回复时间: 2009.07.07 12:32

    我什么也不懂,你真厉害,看得我头都大了。

1 篇回复    查 看 回 复    回    复    

回复人: 鬼脸 Re:如何在任务管理器进程中判断病毒和木马[转载] 回复时间: 2009.07.08 15:40

    我只管打开电脑,管它病毒不病毒!

1 篇回复    查 看 回 复    回    复    

回复人: skyheros Re:如何在任务管理器进程中判断病毒和木马[转载] 回复时间: 2009.09.01 17:07

    不行,就还原。

回    复    

回复人: 糊涂虫 Re:如何在任务管理器进程中判断病毒和木马[转载] 回复时间: 2009.09.01 17:48

    没有病毒就好了

1 篇回复    查 看 回 复    回    复    

回复人: adu豆子 Re:如何在任务管理器进程中判断病毒和木马[转载] 回复时间: 2013.08.06 11:35

    顶啊,作为IT新手,必须顶!!!

回    复    

回复人: q524199645 Re:如何在任务管理器进程中判断病毒和木马[转载] 回复时间: 2013.11.08 16:14

    不管什么毒不毒的 开了电脑就玩

------------------------
www.222sungame.com www.111sungame.com

回    复    

回复


回复主题: 回复在论坛 回复到信箱
回复内容:
附加签名:
上传贴图:
图片要求:长宽建议不超过:650×650。大小:300K 以内,文件后缀名必须为:.gif 或.jpg 或.png
      
版主推荐:
编辑推荐:
作者其它文章:

Copyright 2002-2008 版权所有
胡杨林© All rights reserved.
服务支持拓商网