|
|
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,
1 c, z: @% C$ K$ G0 t# o也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒 + m6 r3 }+ a) V! \8 S i
木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪 ; M! A# _/ N1 Y# [( F* u( e1 V: j
些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?
' m; A; }4 T+ L0 {; ^! C1 [7 o请看本文。 : f$ X: v# G6 ^' @! y+ v) \# X
病毒进程隐藏三法
. M7 u2 n9 |, g- G6 Y3 Q当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出 : r0 v2 |- C& n1 Q$ g) V
异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法: # z: F* B- M6 }5 u) h( b+ o% o
1.以假乱真
- G% \$ P) ?3 S# n+ p& M$ d系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe
" l. O8 H7 b* ?+ Q5 R! h等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer
. p6 i/ z; {4 b$ E& ?$ f# k.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就
" q' y; Y0 h1 q% a) U/ R j是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然
8 j! w- j8 V+ i: K* C/ z# \, G后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个 & H* R8 W0 s# `+ o |1 }6 R
字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe ) R% D( D9 v, t& L9 O
就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
2 @. J- Q* `! k0 y+ D2.偷梁换柱
) I! m6 B5 q6 a) o如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学
5 O7 S. c% E) g3 n1 [8 P聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系 ( j8 N) |9 Y7 r: i0 t9 Y% z7 O
统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任 ( b' I) x& ~% K0 y4 L2 m* F$ ~/ y5 L
务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应 5 F8 t% j; P' |
的可执行文件位于“c:\windows\system32”目录下(windows2000则是c:\winnt\system32 / d& W9 R5 P- Z8 P$ N" d
目录),如果病毒将自身复制到“c:\windows\”中,并改名为svchost.exe,运行后
# Y4 W m; H: s* J& ^ T,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能 3 J" m8 t1 b! ]1 o
辨别出其中哪一个是病毒的进程吗?
% @% x: C/ D! V' V* P3.借尸还魂 ; g3 d, _, A, H1 L7 u6 c! [- x+ w
除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就
) P9 r# j: X# o8 V/ e0 J是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表 & P) d& c$ L3 a6 A( X/ g1 A; T
面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进 " K0 _5 u7 P- M3 S' b
程检测工具,否则要想发现隐藏在其中的病毒是很困难的。
/ ]# N. }8 E2 p0 ]' Z" t; m系统进程解惑
6 Z3 c: I4 q7 r6 _上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下 & N. T1 s, m* u+ Y) g- K9 l
面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解
# P- r1 p1 `) g! a病毒的“以假乱真”和“偷梁换柱”了。 & R& l5 Y. `1 |+ v: q
svchost.exe : z% C, r* [- y3 q; I# t" _
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着windows # B3 f ^/ r6 E5 ]7 ?9 E3 L
系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost
* H! @6 F- d' [; a.exe进程来启动。而系统服务是以动态链接库(dll)形式实现的,它们把可执行程序
. c: Q/ E9 I6 V! X1 @3 {6 G& u指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控 / ~- d4 {: ~& G. i$ s$ ? `
制面板”→“管理工具”→服务,双击其中“clipbook”服务,在其属性面板中可以
0 T) ]' s# Q' l5 l: W发现对应的可执行文件路径为“c:\windows\system32\clipsrv.exe”。再双击“alerter
3 g. o& j5 d% ]9 y& j1 j”服务,可以发现其可执行文件路径为“c:\windows\system32\svchost.exe -k localservice 8 g7 u4 B n- ^/ J% g
”,而“server”服务的可执行文件路径为“c:\windows\system32\svchost.exe - 7 m, y* M. w& R6 [. T0 ^ m1 e) Q3 U
k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost 4 Z0 g* a& I' T Q
.exe,其实只是系统的服务而已。 # j* P( b$ E7 Y* ^: m6 \: o
在windows2000系统中一般存在2个svchost.exe进程,一个是rpcss(remoteprocedurecall
, ?( \2 c0 S% G' J a2 @2 g# P: v)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在windowsxp中,
; z$ L: W/ w5 J则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就
9 L3 ~- t" o$ B6 _要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如
; n; S9 p4 |8 {. ]' hwindows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“c 6 _" h) A. z" q
:\windows\system32”目录外,那么就可以判定是病毒了。
" k8 i6 d1 x& l. ~# P& l6 l6 Aexplorer.exe ! |; Y: N- c3 A, G1 u
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer % \& K9 H* L$ h
.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer. , Z- n V. F# r* |- Q! \; j! X
exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务
8 j5 F. D, X( L! n. x u; z) F3 o管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新
" C9 R" U/ W1 p- [2 C' Q t回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。 4 i2 S/ k0 f0 J8 T
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“c:\windows
) F- T) }7 j7 v u' E”目录,除此之外则为病毒。
: v" R G' y B6 r6 A/ P1 piexplore.exe 0 J/ Z+ D+ \# i. N& T* m4 h! f4 h
常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文
! R5 A2 [: C& p, _# g中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是microsoft
/ a$ _. f, l- ?# R/ K( J internet explorer所产生的进程,也就是我们平时使用的ie浏览器。知道作用后辨 % L; [8 o ]8 p" U& L7 R2 V6 Y
认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是ie浏览器的
3 B3 m' V# B* K: `2 |; R$ e( R意思。
' \/ F V3 I0 x9 g d" Y# X% |iexplore.exe进程对应的可执行程序位于c:\programfiles\internetexplorer目录中 6 V3 }" r# R4 E# C) Q2 ~/ \
,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现 8 I B7 A& C! }) z7 F
没有打开ie浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况: 3 w8 p8 H a4 n- L0 ~+ z
1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此
+ g7 `' Q& G# U, ^/ V& R出现这种情况还是赶快用杀毒软件进行查杀吧。 3 h! @" N1 J' Z1 x, B
rundll32.exe
) S3 X& Q4 K$ u3 V5 G" j常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的
7 T' n8 _/ k' P* C( ?6 K作用是执行dll文件中的内部函数,系统中存在多少个rundll32.exe进程,就表示rundll32
* j3 T; G4 u/ Q+ P9 _4 ~& U.exe启动了多少个的dll文件。其实rundll32.exe我们是会经常用到的,他可以控制
/ j6 I5 o% o0 q/ g; d) z4 ^系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32
0 a8 Q( X( ]$ M- U1 `# B.dll,lockworkstation”,回车后,系统就会快速切换到登录界面了。rundll32.exe
/ a4 n1 P7 z u+ V. o5 X# Z的路径为“c:\windows\system32”,在别的目录则可以判定是病毒。
3 p- y9 ~( X* `: a$ J$ Mspoolsv.exe
2 p7 S4 ` e+ I# r' `/ l( t常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“print
; q w+ k& o9 F- d. N! | spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有
. l: i: f E- M打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也 1 E* C! r& N5 c7 O* L
会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省 ; G+ z( o. b4 [+ i8 Y4 W; W
系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病
+ B J) [; j% ^$ {, N毒伪装的了。 1 T; M$ n0 r E
限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可
" J6 G1 u# t* [1 Z( S# F疑,只要根据两点来判断:1.仔细检查进程的文件名;2.检查其路径。通过这两点, 3 U% n+ M" P: f/ R6 k
一般的病毒进程肯定会露出马脚。
# o5 d u' _5 [; V$ Z, B找个管理进程的好帮手 - w" ^8 e* Z0 h" `& A6 C
系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业 7 I1 g- \( Q7 @9 n
的进程管理工具,例如procexp。procexp可以区分系统进程和一般进程,并且以不同 1 r# I& _- u% s! ]9 j2 n
的颜色进行区分,让假冒系统进程的病毒进程无处可藏。 , j. D6 y9 |+ B7 c% F
运行procexp后,进程会被分为两大块,“system idle process”下属的进程属于系
& W' Q$ R: K/ b3 P- B: @8 t Y- F统进程, " F: }" ]+ j# L4 d2 H0 t Y8 ~
explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon
& b0 _4 Y* B3 L8 V; b9 _.exe等都隶属于“system idle process”,如果你在“explorer.exe”中发现了svchost 8 m8 E* _+ b0 l4 N7 T) Q+ ]) H: h
.exe,那么不用说,肯定是病毒冒充的。 1 D, a0 R, r+ i9 [# M
至于病毒采用的“借尸还魂”大法——dll插入技术,我们曾讲解过破解方法,通过 * j# H$ Z1 w& b* J3 E
查看其dll文件的签名即可,这点同样可以在procexp中做到,在此不再阐述。 8 b; @" H& N5 U; t
小贴士:在软件的主界面我们可能看不到进程名和进程所对应的可执行文件,我们可 / m5 f5 c1 W8 h! W# u5 u
以点击其“查看”菜单→“选择列”,勾选“进程名称”和“映像路径”,确定保存
7 B, G/ n7 j7 p" j' h( K1 t即可。 |
|
IP卡
狗仔卡
发表于 2008-6-14 02:10:59
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2008-6-14 02:32:21
楼主