|
|
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,
+ v; j" ?/ m! N' y/ S6 ~- j也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒
% l! g* U+ ?; a6 P) C9 Q木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪 . l4 C3 q- l; O8 s G& y/ m
些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?
* u" t9 S% Z, }+ ]' m9 W/ D5 o请看本文。 7 x+ j% U5 Q% e9 }+ A- n" q: ~1 C
病毒进程隐藏三法 + ^ u" i/ F1 V) X( Q
当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出
, X+ E* W5 g5 b4 @7 q异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法: " j a4 T' R* S( b8 _" v, T
1.以假乱真 # I) ]' `4 p, L; W/ n
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe
$ g7 a& U& U, v等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer 1 R' Z6 P1 r" w% j; i
.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就
! c; r6 @% S- w8 t是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然 * Q9 Z }( X+ _) ?4 |, Z
后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个 9 q; j L8 i2 c2 [7 l3 Q
字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe , d! | w2 ]4 {' ]+ o7 Y/ t
就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。 ) P8 W" ^0 L- K1 y1 Y" T
2.偷梁换柱 6 z" I6 z1 K2 {
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学
& q- c! y4 O. ^/ @2 O聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系
; d0 o( B. O! Y& p2 n/ g- a" u: N统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任 5 B" R* d5 N( H& B
务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应 % X# b7 x z4 D4 |& b" v
的可执行文件位于“c:\windows\system32”目录下(windows2000则是c:\winnt\system32
" K' M3 Q* m1 J1 H目录),如果病毒将自身复制到“c:\windows\”中,并改名为svchost.exe,运行后 . ?, I( d6 w2 y$ v% e
,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能 8 l0 C( E% B Z. @- B1 u
辨别出其中哪一个是病毒的进程吗?
# }6 P1 e x: A5 m* B' H3.借尸还魂
1 n6 X7 Z1 x: ]0 w; o L; ?除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就 2 }! C! I9 G# \0 L% r+ f: U$ Y* x
是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表 ( B! P+ y. N9 L' n9 c3 v* ]$ \1 A) f6 l
面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进 0 h9 [* y. m) X$ @9 \+ U
程检测工具,否则要想发现隐藏在其中的病毒是很困难的。 6 R! h2 ]# G# H2 W- p
系统进程解惑 2 V4 |* Y# S* a0 X$ u U: W
上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下 - @+ k! T3 i) j' \- n
面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解
& E' u; G2 b v# ^( ?; k2 q0 C病毒的“以假乱真”和“偷梁换柱”了。
) D- ~4 w2 J- \. Z# xsvchost.exe
6 w$ Z, f% p L: o; T常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着windows , q( ]$ d8 K! d% Q, A3 L
系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost 3 E( g+ o- B% d* B+ w
.exe进程来启动。而系统服务是以动态链接库(dll)形式实现的,它们把可执行程序 4 F" o- `7 U- f9 k* {/ b3 q
指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控
. Y7 s8 K. d( _) h; \8 _8 u4 O制面板”→“管理工具”→服务,双击其中“clipbook”服务,在其属性面板中可以
* k! K, q" K8 q7 b# H! ~: ?发现对应的可执行文件路径为“c:\windows\system32\clipsrv.exe”。再双击“alerter
|; ~ H2 {* P& ?”服务,可以发现其可执行文件路径为“c:\windows\system32\svchost.exe -k localservice 5 i$ X+ u* i% P6 E
”,而“server”服务的可执行文件路径为“c:\windows\system32\svchost.exe -
: N0 k) M- A3 k% M) Z: {0 Pk netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost 0 j7 j( l) s1 Q8 }% ]
.exe,其实只是系统的服务而已。 9 x- F! K5 o0 M$ \& ]+ d+ _
在windows2000系统中一般存在2个svchost.exe进程,一个是rpcss(remoteprocedurecall 3 Q8 e; p$ ] V/ M) b
)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在windowsxp中,
7 C7 j! D% d ~% h/ O则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就
$ }- ]# T# t- S9 [2 D, b要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如 ( j) l' D1 N" G" N* h2 k
windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“c & [8 W' ?& [* {! C9 ?
:\windows\system32”目录外,那么就可以判定是病毒了。
; a8 }6 p0 C9 C: nexplorer.exe 8 Q6 r6 I0 s+ Y
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer / k7 X5 _$ f/ u5 q7 U
.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer. , T9 G! x# b# w/ |. ]/ Q/ C
exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务
( a! d! C6 E4 d) \* F管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新
% A$ E. D8 l5 a. M回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
9 `+ L- o, a B* bexplorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“c:\windows
! J9 t# f: Z ~2 K7 a”目录,除此之外则为病毒。
: A1 w) ^4 f) `4 ^: [- W, Oiexplore.exe
: q; F( a0 d% \4 b, e常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文
( s6 d- F/ `# e8 R- o/ y中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是microsoft
& O, W6 I' D1 V( o' r% G0 w0 K4 Z% g internet explorer所产生的进程,也就是我们平时使用的ie浏览器。知道作用后辨 $ ]. V* j- r% B# j
认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是ie浏览器的
X) \! r1 h* f# t4 L2 ~) w& x意思。
( e* M! C: v c7 Diexplore.exe进程对应的可执行程序位于c:\programfiles\internetexplorer目录中 + L1 F; q; S4 O1 a1 U
,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现 . Y7 F: E* o' j9 m
没有打开ie浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况: $ `; {9 T! b# _3 h
1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此 : o4 D5 g5 C* |3 {& g
出现这种情况还是赶快用杀毒软件进行查杀吧。 + Y/ S/ v& R3 F/ x9 I, e
rundll32.exe 2 X3 q; K3 X0 t8 }% Q( p
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的
8 ~! b6 P5 z. Q. R作用是执行dll文件中的内部函数,系统中存在多少个rundll32.exe进程,就表示rundll32 4 d" Z$ E* s+ E
.exe启动了多少个的dll文件。其实rundll32.exe我们是会经常用到的,他可以控制 " R- g+ A1 M' }! M! u! G
系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32
+ w$ T; W* J9 U6 f: ?, m# [.dll,lockworkstation”,回车后,系统就会快速切换到登录界面了。rundll32.exe 4 s% P0 }' N1 c7 p0 V$ ^7 S8 O
的路径为“c:\windows\system32”,在别的目录则可以判定是病毒。 . c7 U5 I$ J7 R7 a0 k# E3 o
spoolsv.exe
9 J* S4 O/ ]" i4 J! t- c0 j常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“print " u* P# V+ l4 e+ I F
spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有
: _3 ^) A( E1 ^# Z+ H1 Z打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也
# n+ k7 Y8 G. l# Y9 q( k会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省
) g: W5 G/ J. W4 _! H( |# R系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病
' B3 o& t$ w+ a毒伪装的了。 * b9 c8 C0 b3 O7 c5 ^, e
限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可 9 I. u1 x/ P3 ]7 W. H! i* D5 a
疑,只要根据两点来判断:1.仔细检查进程的文件名;2.检查其路径。通过这两点, ) b6 d, _) @& V3 W
一般的病毒进程肯定会露出马脚。
3 h8 o3 E3 s- b' i8 p5 [6 x5 i找个管理进程的好帮手 ; N& S" W$ m7 _# S5 s9 i
系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业
+ q& k: y% R7 i* {& A的进程管理工具,例如procexp。procexp可以区分系统进程和一般进程,并且以不同 % t# W4 q6 {; p& q% _3 ]2 ~
的颜色进行区分,让假冒系统进程的病毒进程无处可藏。
7 p; B; A+ ?# Q2 I9 M运行procexp后,进程会被分为两大块,“system idle process”下属的进程属于系
, Y, n% d+ o( W, [) b统进程,
) L+ u: v* K9 i4 uexplorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon T/ q T0 ~; F2 e
.exe等都隶属于“system idle process”,如果你在“explorer.exe”中发现了svchost " k3 |/ A% s2 s/ h: f
.exe,那么不用说,肯定是病毒冒充的。 " z# I8 o& R/ ?6 d" U: J( M3 }0 b5 Y
至于病毒采用的“借尸还魂”大法——dll插入技术,我们曾讲解过破解方法,通过
9 x* o" l: {# C: i: K5 T r+ Q0 v查看其dll文件的签名即可,这点同样可以在procexp中做到,在此不再阐述。
' [, x- F. h+ F小贴士:在软件的主界面我们可能看不到进程名和进程所对应的可执行文件,我们可
5 R. t3 U& k$ L$ K/ g9 u以点击其“查看”菜单→“选择列”,勾选“进程名称”和“映像路径”,确定保存 0 H2 A8 S1 E7 j0 C4 s" N* h
即可。 |
|
IP卡
狗仔卡
发表于 2008-6-14 02:10:59
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2008-6-14 02:32:21
楼主