|
|
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,
% U4 } T' c" M也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒
' `3 r/ ?4 E6 c: H# @" \3 u( N# T1 r木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪 1 s* I# V0 }+ w1 R+ }
些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢? 5 V1 D: j. O# d
请看本文。 6 g: `' ?' T1 b9 M2 f; R/ l
病毒进程隐藏三法 9 G, E+ f, `4 M# }' W$ o$ g
当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出
# z- {- d$ |) H异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法: ; h; n- X- a" s$ d1 o/ j
1.以假乱真 ) r, _3 r% ^$ v+ ]! `) O
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe
, p/ P3 T# B+ n2 z/ M! T等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer : ^0 _% ]# k- Z4 W* C. Q! Y7 }
.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就 : y5 I" {% N# R
是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然
4 N- Z0 M- E& U/ l$ ?) _2 Z后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个
9 `1 H8 s' N4 @/ {- Z/ O8 b字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe
- H! f6 M1 S2 E1 j2 m就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。 3 d4 s! H* x" x- s! J5 N
2.偷梁换柱 w3 d+ [ G) O* k6 k2 H
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学 # q6 t9 h/ R: g" e ?
聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系
% I1 i! \ ?' I; R统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任 1 u! k% A- _ T, l. B9 Z' D
务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应
" O8 i8 X; N4 p! v的可执行文件位于“c:\windows\system32”目录下(windows2000则是c:\winnt\system32
; g4 a1 A' V4 G# z' j" R( `% x目录),如果病毒将自身复制到“c:\windows\”中,并改名为svchost.exe,运行后 6 P1 V( E0 L; Q* t4 p
,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能 " u/ G- o% A* ~
辨别出其中哪一个是病毒的进程吗?
& N4 M2 ?; T/ k, Q6 ?3 g, y3.借尸还魂 ' T) x$ g- B! ^" I
除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就 % w5 i+ s! Y( N2 {; A/ z4 e, P, n$ o
是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表
& p! v6 b; R1 \4 E2 Z3 z面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进
) H" }! x7 p: ^4 q8 V4 E- X程检测工具,否则要想发现隐藏在其中的病毒是很困难的。 & v) d6 h0 N8 y+ v3 A
系统进程解惑
9 d8 }9 S/ {$ }1 v& t& i上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下
- S% h8 C/ F; U/ f面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解 % |0 I, }$ ~* o. u8 S
病毒的“以假乱真”和“偷梁换柱”了。 : M0 U8 {9 ~$ ~: K, D$ F, u! j
svchost.exe + u; R U/ H) y7 I6 p
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着windows . F2 J0 C8 `9 m) U( ?9 i5 R/ \
系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost ; h" s4 U2 ~: K, k7 y0 R1 `
.exe进程来启动。而系统服务是以动态链接库(dll)形式实现的,它们把可执行程序
+ w8 O! Z: _6 c: V8 O3 p6 o U指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控 $ d2 ?) ?- S& ]$ w! w: G
制面板”→“管理工具”→服务,双击其中“clipbook”服务,在其属性面板中可以 : V' V2 _5 S: E- ~8 _+ b
发现对应的可执行文件路径为“c:\windows\system32\clipsrv.exe”。再双击“alerter
: Q# e) Y, R5 O' w @4 ^”服务,可以发现其可执行文件路径为“c:\windows\system32\svchost.exe -k localservice 1 p" ~/ s) U- K1 u- J( X
”,而“server”服务的可执行文件路径为“c:\windows\system32\svchost.exe - 5 W- U. O* W7 b# Z9 \
k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost
$ P/ s9 N U/ d2 ]" [) \.exe,其实只是系统的服务而已。 ) P1 [6 Y+ u9 ?6 o
在windows2000系统中一般存在2个svchost.exe进程,一个是rpcss(remoteprocedurecall
6 i: ?2 r' i* @6 [5 K2 o. S)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在windowsxp中,
+ x7 Q' g6 G9 z! u7 a# k则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就 4 ?( C7 o) J: Z9 i$ v' h" e
要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如 g2 ?4 r8 ]3 d# v# N6 C* C
windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“c ( F+ [2 a T, C, M
:\windows\system32”目录外,那么就可以判定是病毒了。 4 k: N+ p+ Z! J: B
explorer.exe 6 b/ U U C" V7 p* ], [
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer
) z6 f* B8 g! g; L. z.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.
# k& [7 Y1 Z) ]! `) M. T$ qexe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务 b4 \3 t& w( _. N0 C7 N
管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新 2 c9 D+ }+ u) o* R
回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
& c, v' N& W; Y* ~& ^) sexplorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“c:\windows
1 Q4 s; C( {+ M7 n+ F”目录,除此之外则为病毒。 ; Y2 K' M( [, @1 Q& W
iexplore.exe 6 G. ?+ y( D/ p! k
常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文
- S+ O2 P, F# b+ }& U中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是microsoft
3 q' n6 \. y- U& ~ internet explorer所产生的进程,也就是我们平时使用的ie浏览器。知道作用后辨 ; {5 Z5 p( P+ Q. ~
认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是ie浏览器的
( Q. e0 ~* J7 Z2 B0 H) B- N* s0 I意思。 + p- t8 N' Q! |7 s0 D }7 Z3 I
iexplore.exe进程对应的可执行程序位于c:\programfiles\internetexplorer目录中 $ Z# ~) ]! {& M) U
,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现
& x* n6 g+ U7 X# z* K$ R没有打开ie浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况: . { y2 R! V- y6 F
1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此 7 N! @0 S, o. n, h. f" W
出现这种情况还是赶快用杀毒软件进行查杀吧。
6 C9 C% N& x5 R6 l; F' w7 Grundll32.exe
' o7 i& [; c9 v* O2 k* P% H0 Y ?常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的
6 c# \: U0 f w8 C# r作用是执行dll文件中的内部函数,系统中存在多少个rundll32.exe进程,就表示rundll32
. }2 Q' y9 ~# ?5 M( F.exe启动了多少个的dll文件。其实rundll32.exe我们是会经常用到的,他可以控制 - a; y( T2 w* w
系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32
9 K* p* R+ \: x( [4 O.dll,lockworkstation”,回车后,系统就会快速切换到登录界面了。rundll32.exe
7 S$ ? `% N6 S- o1 B8 v; y的路径为“c:\windows\system32”,在别的目录则可以判定是病毒。
/ o& F% z& k4 \# B# {spoolsv.exe
$ ~) j# F1 i/ r2 ~) \2 P8 f常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“print 6 w1 [1 S/ g8 g" ?& o
spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有
& P o' M- f6 X9 `7 n' f+ R打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也 ) w4 a8 f F6 \" t7 X, O5 |5 Q) U
会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省 : D1 t+ L" {7 R" o
系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病 % V' u9 O8 b$ V- \! P3 C
毒伪装的了。 * `5 B& s) V& a* f9 m' O+ c1 H5 m
限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可 ! R* R2 d# a4 E4 ^
疑,只要根据两点来判断:1.仔细检查进程的文件名;2.检查其路径。通过这两点,
3 E% I9 i: c; c7 X6 F一般的病毒进程肯定会露出马脚。
" s% h2 s" |- c6 Q3 N3 {找个管理进程的好帮手 4 e# j" P" D @6 f
系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业 9 j9 W+ z2 e* r6 p& C2 \1 {) x# e
的进程管理工具,例如procexp。procexp可以区分系统进程和一般进程,并且以不同
6 A/ V$ w+ c, q _; N! h的颜色进行区分,让假冒系统进程的病毒进程无处可藏。 $ O# ^! U! H, T
运行procexp后,进程会被分为两大块,“system idle process”下属的进程属于系
6 `4 f4 s/ i0 |/ s. A统进程, - V; j/ y3 k' L: B9 {4 u
explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon
3 G: s2 q) z8 E. m/ j K.exe等都隶属于“system idle process”,如果你在“explorer.exe”中发现了svchost ' z9 `$ I! h" Z, B& U! t4 w
.exe,那么不用说,肯定是病毒冒充的。
& T: j1 \3 g( E# F至于病毒采用的“借尸还魂”大法——dll插入技术,我们曾讲解过破解方法,通过 - i" I. Z( N3 m* m2 F( A
查看其dll文件的签名即可,这点同样可以在procexp中做到,在此不再阐述。 1 M2 _4 n% |: k! S$ J( }+ H
小贴士:在软件的主界面我们可能看不到进程名和进程所对应的可执行文件,我们可 / O& Y1 b- V; W3 O9 U
以点击其“查看”菜单→“选择列”,勾选“进程名称”和“映像路径”,确定保存
) c8 t/ u4 H; h4 s/ i$ ^$ _7 Y即可。 |
|
IP卡
狗仔卡
发表于 2008-6-14 02:10:59
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2008-6-14 02:32:21
楼主