|
|
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术, + K* @# a0 r; t. d% C' U# C
也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒 2 e( D/ b/ ]; e+ a# A
木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪
" a2 c/ W8 C p; D些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?
) Y& m2 s- a3 U! g. E请看本文。 3 ~5 u8 m# g6 ` Y
病毒进程隐藏三法
- q( W2 C8 w$ u- d& ~5 }8 L当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出 : H7 }3 o% x( X" R, T6 z' I
异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
, P" V" s" z- A9 L3 z1.以假乱真 , @" X6 `7 l: v- ?9 k
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe + a% |% M- ?/ c" _7 h" P. L) O4 E
等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer 1 P5 ?7 `. H3 D! d' N
.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就 : [) R0 K7 l& q8 A+ ]: m$ t$ @
是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然 & s9 G9 {2 c2 l2 H& B' T
后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个 - N( `# h/ V6 P' i6 l" X+ }- ? n
字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe 1 H# {0 d* P1 `& m5 u2 L+ W
就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。 + h9 J& z; u6 \1 ~ }2 A6 A
2.偷梁换柱
1 g/ T+ h+ R" W. ?$ r# }如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学
( ~/ y/ z, V; b' e0 ]聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系
6 a, \/ \! E2 P! ]统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任 $ P/ q' q& j* `: `# [4 A- F$ ?
务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应
% J6 S- ^9 t2 u的可执行文件位于“c:\windows\system32”目录下(windows2000则是c:\winnt\system32 " W1 B9 e7 O4 a% O5 ]# z z" m
目录),如果病毒将自身复制到“c:\windows\”中,并改名为svchost.exe,运行后
. F7 l; a% H, W8 G8 u,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能
. V6 q) K" [& x2 b辨别出其中哪一个是病毒的进程吗?
# L+ k, W8 N5 ~* G! o3.借尸还魂
! g' ^- i8 P& C% D# E6 W除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就
& h/ I& d7 A0 |1 {& S( M9 S是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表 " Q9 n3 l; m: a# W
面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进 0 P) z E+ `0 _9 t4 h& D& G
程检测工具,否则要想发现隐藏在其中的病毒是很困难的。 ' d$ j1 F6 }( _5 b
系统进程解惑
. q/ a2 z. B$ _7 g8 @; Q上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下 ; y" K" y0 u$ @6 H8 R3 N5 i
面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解
6 N; F8 ~; H! y1 ?病毒的“以假乱真”和“偷梁换柱”了。
6 X2 |7 w! N( t* c0 _: D# Tsvchost.exe
9 z3 X( w! t3 F2 y' P# W常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着windows
% ] f: G4 S* ^- \$ l系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost ) V( M3 H" x5 W, D% d! Q/ r
.exe进程来启动。而系统服务是以动态链接库(dll)形式实现的,它们把可执行程序
0 Q u: `4 s9 l指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控 4 p. F. o0 }. k3 @ s
制面板”→“管理工具”→服务,双击其中“clipbook”服务,在其属性面板中可以
, | Y9 |2 M. @发现对应的可执行文件路径为“c:\windows\system32\clipsrv.exe”。再双击“alerter 3 `) V4 k# d' t5 m
”服务,可以发现其可执行文件路径为“c:\windows\system32\svchost.exe -k localservice 4 K! M7 ^" v a* ?
”,而“server”服务的可执行文件路径为“c:\windows\system32\svchost.exe -
6 R% u8 x8 s8 V' D$ X) |k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost 3 d- Y/ D4 X9 a: B
.exe,其实只是系统的服务而已。
: \) \9 |- O" s0 ` ^在windows2000系统中一般存在2个svchost.exe进程,一个是rpcss(remoteprocedurecall
5 ~5 D Y% ?* z4 M; S)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在windowsxp中,
% }. x5 Q' A2 A0 }4 f" C则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就
2 c& h4 I1 L* T6 l& u要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如
7 g' u* o* `* C! O; F; d2 qwindows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“c # J# a1 I" A8 N* S' S
:\windows\system32”目录外,那么就可以判定是病毒了。 2 z6 n* p! g0 G `9 v
explorer.exe + D6 E* z2 G' ~9 i
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer
3 J9 |* O; \3 m; e# h.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer. 8 d8 |0 |! G$ }+ a. E
exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务 . t+ O' \& A* n: J
管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新 7 t5 e0 i. \7 y: V/ }5 u
回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
* f& f$ M" m( U6 Hexplorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“c:\windows ! ^: b) P# [3 ?
”目录,除此之外则为病毒。
& M7 |( `) n' v& Piexplore.exe
6 x# y! n: {2 \常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文
# Q6 x$ W/ E- |& t$ q中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是microsoft - b6 t! G) U# s+ ]) m' z
internet explorer所产生的进程,也就是我们平时使用的ie浏览器。知道作用后辨
5 d' C- J; S8 D6 O3 d5 E3 w认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是ie浏览器的 ( }' E1 O! `# ?) o# H! b
意思。
& T4 r# g$ ]9 k- v5 ^ {# Ziexplore.exe进程对应的可执行程序位于c:\programfiles\internetexplorer目录中 8 V: e$ v" k+ _7 s# v: {
,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现
' [0 t( I( ~3 q没有打开ie浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况: : C9 d4 u8 k" P) x( W% w
1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此
, N T6 X. m2 r出现这种情况还是赶快用杀毒软件进行查杀吧。
. A3 O9 S) f, ]rundll32.exe
/ S6 |: c4 q, G" _常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的 ' l2 a L1 [: T, l. ]
作用是执行dll文件中的内部函数,系统中存在多少个rundll32.exe进程,就表示rundll32
) r- P9 h2 ~$ B. C7 g! Q.exe启动了多少个的dll文件。其实rundll32.exe我们是会经常用到的,他可以控制 : x& d* V; Z3 i* P
系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32 * \3 L; E; R5 }+ }3 M8 c
.dll,lockworkstation”,回车后,系统就会快速切换到登录界面了。rundll32.exe
3 f. B- a3 R6 J: a; w' Y4 c的路径为“c:\windows\system32”,在别的目录则可以判定是病毒。
6 w4 r1 T0 O6 x2 m; S f; k! F; h Espoolsv.exe 0 E$ X7 b5 t4 i" F+ x
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“print
( F/ m3 h# t+ c+ F spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有
. _: k8 Z, {+ v% e. t打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也 . u8 {: r0 L: v/ c$ m1 R
会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省
& Y- b2 M7 [) g系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病 3 F" Q T, g y
毒伪装的了。 # o8 p1 R& A, U @8 k' W* e6 ], ]
限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可
6 h7 |/ f: i% O( q* [" G疑,只要根据两点来判断:1.仔细检查进程的文件名;2.检查其路径。通过这两点, ' T( }5 q% t, s% U' A. }, ^
一般的病毒进程肯定会露出马脚。
' O7 i! T4 u7 L* a3 S找个管理进程的好帮手
9 }2 ]) d5 c+ \/ g6 d系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业 ; E- q5 b$ q3 y$ v; V
的进程管理工具,例如procexp。procexp可以区分系统进程和一般进程,并且以不同 # J, q" s5 d6 ?2 a' I2 J" Q
的颜色进行区分,让假冒系统进程的病毒进程无处可藏。
, `9 Q/ C H8 E" n$ M- f' D运行procexp后,进程会被分为两大块,“system idle process”下属的进程属于系 & ]+ X5 P3 t$ T1 j B/ u
统进程, . Z" L6 T6 e# @( S! l4 v
explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon
, L! j5 d/ ?; Q( ^.exe等都隶属于“system idle process”,如果你在“explorer.exe”中发现了svchost . p5 Y" T# L, c' }8 Q- F: c
.exe,那么不用说,肯定是病毒冒充的。
6 u, m8 f) f6 g至于病毒采用的“借尸还魂”大法——dll插入技术,我们曾讲解过破解方法,通过
7 Q/ T7 `$ I# `/ w+ @2 y* U查看其dll文件的签名即可,这点同样可以在procexp中做到,在此不再阐述。 - w$ ~; J, s/ b9 Z8 Q) Q
小贴士:在软件的主界面我们可能看不到进程名和进程所对应的可执行文件,我们可 / O$ u+ E. z, ?1 H: K
以点击其“查看”菜单→“选择列”,勾选“进程名称”和“映像路径”,确定保存 ) E& q. K2 `7 L# h& q0 C+ T
即可。 |
|
IP卡
狗仔卡
发表于 2008-6-14 02:10:59
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2008-6-14 02:32:21
楼主