|
|
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术, 6 w4 l1 H, Q/ ~1 w
也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒
. T! }& P$ X0 T9 f木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪 6 W" t0 J$ i+ A# G7 _& y9 ]* n
些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?
8 b1 l1 R1 H0 F8 K8 t+ k, I: h+ L请看本文。 ) {- D" ~& `& s) k; ], ]
病毒进程隐藏三法 # z+ i" o$ B+ P) e5 E' G) b
当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出 . c6 U" b/ e2 o
异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
6 ]7 Y- i& p4 @' }8 F& y3 O5 n; B1.以假乱真 7 K" Q1 m7 _8 R. ~ q/ Y, u
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe , p6 m, O" Q5 \6 |& K
等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer
) v9 L4 ]: M& d& r. ^.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就 1 w( V! k% K# z6 w
是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然 # T5 P7 |/ [: w$ Z. B
后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个 4 f8 {9 C- l3 C- U' e% d. e
字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe ' `5 L6 |: b* ~0 T, ~
就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
, P f& r9 N% s e: D. S2.偷梁换柱 : G; w" i8 B( n- X! {0 {
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学 " \/ E0 J5 m! p, j
聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系
2 W: C( j" v8 O& P' d统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任 & O6 T7 M2 T3 B9 n% O# y( a
务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应
4 ?0 }- R# Q$ p+ ~' K A的可执行文件位于“c:\windows\system32”目录下(windows2000则是c:\winnt\system32 ) \4 V' b6 g5 ^* q
目录),如果病毒将自身复制到“c:\windows\”中,并改名为svchost.exe,运行后
1 {4 Z D7 V. ?,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能 # z, k$ p9 ^, [6 X' p) x0 X
辨别出其中哪一个是病毒的进程吗? ( m. K* h7 E s9 W; F1 [
3.借尸还魂
9 y, g: {1 G# j6 k3 }8 h! _0 x除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就
5 y. S( L3 N2 e# `" t8 `是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表
" m# U$ L0 P, r& a6 b2 K面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进 / x4 t6 M& o8 _& U
程检测工具,否则要想发现隐藏在其中的病毒是很困难的。 , b/ n7 g k, F" l
系统进程解惑
; A* y3 J! y: H5 J- x上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下 , {( p& q# h+ R# B T) k" x
面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解 ; G% T2 D0 B- Z: ^( }
病毒的“以假乱真”和“偷梁换柱”了。
4 X [; v) G* D: a2 e0 v, o5 csvchost.exe - W' C0 S% `; G7 }9 J( x. a! M2 d* O
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着windows ) n. a# n1 y/ W
系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost
% \& F, e/ d) w$ u# `.exe进程来启动。而系统服务是以动态链接库(dll)形式实现的,它们把可执行程序 " V* K9 A3 B* @; p
指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控 ) N: p! s( x. _. |. Q7 h% J
制面板”→“管理工具”→服务,双击其中“clipbook”服务,在其属性面板中可以 # W$ f4 Q5 h7 t( J6 b# G3 ?
发现对应的可执行文件路径为“c:\windows\system32\clipsrv.exe”。再双击“alerter 7 h* [/ q, O" a1 _* k* t" a C
”服务,可以发现其可执行文件路径为“c:\windows\system32\svchost.exe -k localservice - I3 i0 o, @2 \, ?. x
”,而“server”服务的可执行文件路径为“c:\windows\system32\svchost.exe -
& z E- j' E; x8 | L" Q; h& Sk netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost 7 f# c2 c$ z* d3 H. I. l
.exe,其实只是系统的服务而已。
0 h b- a m. C! D* Z在windows2000系统中一般存在2个svchost.exe进程,一个是rpcss(remoteprocedurecall
; w3 F( t9 e, u, D% ~# c9 r)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在windowsxp中, / o; C1 J% Y; Q K' ~
则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就
! Y( |# ]4 F9 C7 M1 x& q要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如 & Q) q: R2 U' K% m
windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“c
* v. Y# G. P; m H:\windows\system32”目录外,那么就可以判定是病毒了。
- i2 X, g/ ]/ x5 R/ Rexplorer.exe $ o7 p6 e( \% u, x" M8 Y9 M A4 V- ?
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer
( d6 U& B( X/ ^( o. o.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer. 2 P$ Q) `5 k2 E$ \" s
exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务 ( U1 U6 F, B2 P/ z. j4 w* ~
管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新 2 v: r5 V) ]& k9 c( @
回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。 7 B ]+ e; a r) J$ H4 ~
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“c:\windows
: H( y+ } C, e2 f”目录,除此之外则为病毒。
2 L" U, E1 q/ K) Oiexplore.exe
2 b7 y& ?0 z" |; M- `/ J! ^常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文 7 Y! x/ N+ y0 B+ i& z' l9 g. Z
中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是microsoft 8 z6 w: b' s# M1 J1 I
internet explorer所产生的进程,也就是我们平时使用的ie浏览器。知道作用后辨 ) _* \0 @7 I c w- V" v
认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是ie浏览器的 5 X4 j% ~% _8 ~0 t' Y7 G
意思。 ( o6 l; K' f; _
iexplore.exe进程对应的可执行程序位于c:\programfiles\internetexplorer目录中 ( m+ @/ o+ A U3 w2 Q/ Y
,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现 {% G# k- f- c! r( X: r
没有打开ie浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况: + Y; [! T7 }, Y. v4 d' o+ o0 q
1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此
9 {) a2 M8 J( S7 Q8 P$ H( k0 Z出现这种情况还是赶快用杀毒软件进行查杀吧。
* Z9 z8 |, s' Y- F# |8 H# trundll32.exe
9 U8 D0 q7 _: x7 e常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的
7 G4 C: O2 z; g3 n作用是执行dll文件中的内部函数,系统中存在多少个rundll32.exe进程,就表示rundll32
5 W! a. Y4 ?" f1 \" p; {8 n a.exe启动了多少个的dll文件。其实rundll32.exe我们是会经常用到的,他可以控制 3 x5 d% a: L& U% p0 Z: K: \ {" j
系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32
* Q7 i2 G d+ r9 o5 f# V.dll,lockworkstation”,回车后,系统就会快速切换到登录界面了。rundll32.exe
: Z/ Q9 ^1 p D8 R的路径为“c:\windows\system32”,在别的目录则可以判定是病毒。 # h; c! K/ ]5 v/ g
spoolsv.exe
; ]3 C6 j/ m' n( L3 j常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“print : R' b, L) g, `+ ~0 u
spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有
* R* W% ?# f; y$ p& U. v; l( z打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也 8 _/ @' u1 V |, p
会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省
8 F* A$ z( l8 w系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病
3 f* T: b2 z/ i! H$ k毒伪装的了。
; j: f* B6 R* ?. b限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可
- g1 ?) a. J: q' L- `疑,只要根据两点来判断:1.仔细检查进程的文件名;2.检查其路径。通过这两点, : ^" c* ]# S- K# f+ X1 O; k
一般的病毒进程肯定会露出马脚。 # y! L3 t$ Q& S( _
找个管理进程的好帮手 / n- H; `' C9 T h' M
系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业 , X! f* D, ~% _- u* ?- ]
的进程管理工具,例如procexp。procexp可以区分系统进程和一般进程,并且以不同 ) b! \( }0 @ |; f* j# ~4 C7 U
的颜色进行区分,让假冒系统进程的病毒进程无处可藏。 8 R9 H! K# b" f& g+ k
运行procexp后,进程会被分为两大块,“system idle process”下属的进程属于系 5 X% V$ \+ U* R+ J+ W
统进程, 4 \8 W3 y) |0 W5 \
explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon
. }) D) X* I2 F: G6 T& `4 d.exe等都隶属于“system idle process”,如果你在“explorer.exe”中发现了svchost
9 Y" z+ L9 Y8 ^ Y, Y* d2 y.exe,那么不用说,肯定是病毒冒充的。 8 s G) j( ^ ?( Z
至于病毒采用的“借尸还魂”大法——dll插入技术,我们曾讲解过破解方法,通过
/ @- [ S9 b! a/ A2 Y# }" N查看其dll文件的签名即可,这点同样可以在procexp中做到,在此不再阐述。
4 c/ a$ z! {% I6 Y0 O3 E小贴士:在软件的主界面我们可能看不到进程名和进程所对应的可执行文件,我们可 r: n& K: @( p, J% P( s# B6 w
以点击其“查看”菜单→“选择列”,勾选“进程名称”和“映像路径”,确定保存
5 ~, V9 R3 K; O: i* l/ [0 E即可。 |
|
IP卡
狗仔卡
发表于 2008-6-14 02:10:59
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2008-6-14 02:32:21
楼主