|
|
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,
: X( i" O% X3 I1 j# E) _# @+ |) |* B也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒
$ N4 O7 J/ r5 @. c/ @* M- c木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪
) d4 h( j S. O# _1 W些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?
4 P7 S+ k1 |) i$ U请看本文。
5 n' {5 L4 F4 r6 _! E病毒进程隐藏三法 0 u+ y* Z2 ]( t, ?/ j2 [; z8 I
当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出
" u8 e( b* f( | N& J9 M异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
1 t" V* F( [, m, X. t1.以假乱真 1 C& C3 Y+ c9 z; |3 A* P$ o' n3 `
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe + G% X4 V! K+ y Y0 g+ Q
等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer / z1 @5 J0 y5 g, v
.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就
( k+ r9 v9 T2 ?( C是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然
# @( t' f+ G$ W0 n3 [# }后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个
: e% l6 p5 B9 o/ A' |$ p- c E字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe e! I0 N4 ?; g y3 W# C" h
就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
2 B4 L& X( G+ F9 z# T m0 C2.偷梁换柱 8 b9 t( _8 Q- k* S2 h5 u
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学 4 f. |0 b: b6 W" _: T6 _
聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系 4 v. H2 k; h3 f& { _8 d; p
统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任 ) ]1 c# P- s9 W, }
务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应
% L/ L4 M# l# }的可执行文件位于“c:\windows\system32”目录下(windows2000则是c:\winnt\system32
/ Z: w* g! }% i( W4 m. G7 M- i目录),如果病毒将自身复制到“c:\windows\”中,并改名为svchost.exe,运行后 + d+ W" P4 o3 O% ^0 |7 E. _
,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能 * c. M j4 n$ J! m( `' M0 J% `
辨别出其中哪一个是病毒的进程吗? ( I U6 S8 t4 ^$ G
3.借尸还魂 ' Q' Q1 b: j# q% E
除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就 \& @! Y4 i% n8 p$ W
是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表
% Q0 }" m6 _# B6 e! ` F1 d3 t, u& c面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进 ; q$ H5 x% N( d' f( {' {
程检测工具,否则要想发现隐藏在其中的病毒是很困难的。 q! j8 j! m8 q$ }( P& y0 S2 P
系统进程解惑
/ a. W# U+ B8 ^$ t( X) ~8 J9 f上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下 . u$ r( M4 D7 e0 o- o6 }
面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解
r# c6 l+ F) j' L5 ?1 f病毒的“以假乱真”和“偷梁换柱”了。 " @5 c7 U& W3 P4 n, z2 B/ ^
svchost.exe
) [8 ?& w+ f2 d3 x常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着windows 0 j o0 {# D9 Z& A0 x
系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost
8 d3 m+ R- r j4 s: b. x/ f, `.exe进程来启动。而系统服务是以动态链接库(dll)形式实现的,它们把可执行程序 3 M2 D2 B. R, w
指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控 3 _& d+ ?6 O2 c
制面板”→“管理工具”→服务,双击其中“clipbook”服务,在其属性面板中可以 Z$ |$ p" D3 [ U2 W
发现对应的可执行文件路径为“c:\windows\system32\clipsrv.exe”。再双击“alerter
3 J* b. n2 |1 v* N$ C' N6 h”服务,可以发现其可执行文件路径为“c:\windows\system32\svchost.exe -k localservice * J" P* g5 T5 x# @: m
”,而“server”服务的可执行文件路径为“c:\windows\system32\svchost.exe -
- @8 |' A0 _ ck netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost ( ]' O9 E4 r5 K! K7 v/ F/ {
.exe,其实只是系统的服务而已。
( [5 d( e0 }+ E, i( A在windows2000系统中一般存在2个svchost.exe进程,一个是rpcss(remoteprocedurecall
2 X$ L7 e% ~& s4 t)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在windowsxp中, 8 J4 [, ]) ]: @. {6 w
则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就
A% c8 W7 [, \% A* a" `$ X要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如 & e' k; E* p6 ]1 g7 H0 p
windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“c ! W# T: [% y }' [) ~
:\windows\system32”目录外,那么就可以判定是病毒了。
9 D" n/ L/ I6 C3 h4 aexplorer.exe
1 f) d0 p3 G% a常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer
1 f/ ?( V; c* s3 ]2 r.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.
9 u: Q5 ]; N' n" Fexe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务 " n, r6 x( g$ u# {( {
管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新
; P( T' W) X n& B. H! v回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
4 Y8 {: I% u1 U- bexplorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“c:\windows - O) i/ o6 n2 W# v" P& F
”目录,除此之外则为病毒。
9 F$ b" z, W" K. c4 iiexplore.exe
+ }# S2 r. j. A常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文 7 ?! h v7 }+ g8 \* T( w. M
中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是microsoft 4 g# m. o r" ] l1 v- t+ ~ U
internet explorer所产生的进程,也就是我们平时使用的ie浏览器。知道作用后辨 & w/ Q0 @5 h: `" k0 B
认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是ie浏览器的
0 W# ~7 j5 g, k; T7 O' K: _. N意思。 7 ^0 Y, k- _0 N0 I1 i7 Z! x2 b
iexplore.exe进程对应的可执行程序位于c:\programfiles\internetexplorer目录中
8 k' |. ~) Z; X) n2 y! k6 s8 \ u4 q,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现
$ A' H! P0 M }: @1 L没有打开ie浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况: . ~( `6 f2 y9 [4 Z. K
1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此
' `$ L- K3 X, j+ b出现这种情况还是赶快用杀毒软件进行查杀吧。
/ U8 j, X4 m/ F8 Q6 K k5 arundll32.exe 9 S% d$ |4 U" L% p: y; D' B+ @
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的
5 U2 \+ |% t& U作用是执行dll文件中的内部函数,系统中存在多少个rundll32.exe进程,就表示rundll32 , A3 S9 r& v, n% h
.exe启动了多少个的dll文件。其实rundll32.exe我们是会经常用到的,他可以控制
) P, B. F" m6 y系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32
( N6 A8 e# ]0 r9 _1 k9 n.dll,lockworkstation”,回车后,系统就会快速切换到登录界面了。rundll32.exe
4 `! m0 r. }: W的路径为“c:\windows\system32”,在别的目录则可以判定是病毒。
& Y5 q$ T$ ~" ]2 v8 _) rspoolsv.exe 3 u v3 `. q5 J8 \
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“print
! W/ q+ q+ O- m; l& q% J3 A spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有 9 T9 R, W/ R6 m' @, [( Y
打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也 9 @1 S0 J3 h, ~# B* P( L$ V
会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省
' z' I: j- ~/ l |% K系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病
7 K* A* m/ h% B% t毒伪装的了。 r. N! d7 S$ G& h, @
限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可
" O8 N$ f" ?4 x- v9 ^& X4 {疑,只要根据两点来判断:1.仔细检查进程的文件名;2.检查其路径。通过这两点,
2 }- s* C5 q; q" J1 a' S- |一般的病毒进程肯定会露出马脚。
' a) W4 t, D: J5 Q+ F! y找个管理进程的好帮手
. c5 t% Q: _6 ~系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业 # w' {& j+ R* F: y1 h" ]. M
的进程管理工具,例如procexp。procexp可以区分系统进程和一般进程,并且以不同 _% L; o( {2 ], t
的颜色进行区分,让假冒系统进程的病毒进程无处可藏。
* f2 ?3 g* d* a8 ?' [% H8 R运行procexp后,进程会被分为两大块,“system idle process”下属的进程属于系 ! D1 L0 Q1 `7 `, B' ?% M& f" t* q
统进程, $ [: _9 V) e1 H' o
explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon
3 P4 d3 r# n; n" w' W2 p) H m& c0 r.exe等都隶属于“system idle process”,如果你在“explorer.exe”中发现了svchost 3 w3 E0 X' |+ b0 _$ G0 ^. G/ h
.exe,那么不用说,肯定是病毒冒充的。
" d0 i9 B$ u U5 f( k+ S) d至于病毒采用的“借尸还魂”大法——dll插入技术,我们曾讲解过破解方法,通过
: h5 E% M0 D3 F" D/ q查看其dll文件的签名即可,这点同样可以在procexp中做到,在此不再阐述。 : C Y: M% n. |! a$ I, k
小贴士:在软件的主界面我们可能看不到进程名和进程所对应的可执行文件,我们可
4 Y! U2 ~" B5 a1 D7 x以点击其“查看”菜单→“选择列”,勾选“进程名称”和“映像路径”,确定保存
* s( b% ^; U9 Q) H+ {即可。 |
|
IP卡
狗仔卡
发表于 2008-6-14 02:10:59
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2008-6-14 02:32:21
楼主