巧妙的从Windows进程中判断出病毒和木马的三点突破

任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。

病毒进程隐藏三法

当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:

1.以假乱真

系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。

2.偷梁换柱

如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:/WINDOWS/system32”目录下(Windows2000则是C:/WINNT/system32目录),如果病毒将自身复制到“C:/WINDOWS/”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?

3.借尸还魂

除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。

系统进程解惑

上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

svchost.exe

常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:/WINDOWS/system32/clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:/WINDOWS/system32/svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:/WINDOWS/system32/svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。

在Windows2000系统中正常存在svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果在xp和之前的系统中svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的。但是到了Vista和Windows7时代,8-12个svchost进程都是正常的!是否为系统正常进程的检测方法也很简单,使用一些进程管理工具,例如Vista优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:/WINDOWS/system32”目录外,那么就可以判定是病毒了。

分类:windows
时间:2013-05-16

巧妙的从Windows进程中判断出病毒和木马的三点突破的相关文章

可以巧妙从进程中判断出病毒和木马

任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法.但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文. 病毒进程隐藏三法 当我们确认系统中存在病毒,但是通过"任务管理器"查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法: 1.以假乱真 系统中的正常进程

怎么从进程中找出病毒和木马

任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法.但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文. 一.病毒进程隐藏三法 当我们确认系统中存在病毒,但是通过"任务管理器"查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法: 1.1 以假乱真 系统中的

从进程中找出病毒和木马

任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。

巧妙从进程中判断出病毒

当我们确认系统中存在病毒,但是通过"任务管理器"查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法: 1.以假乱真 系统中的正常进程有:svchost.exe.explorer.exe.iexplore.exe.winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe.explore.exe.iexplorer.exe.winlogin.exe.对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛.通常它们会

Windows 8 中显示出消失的休眠选项的方法(图文教程)

而使用Alt+F4在Aero界面下看到的关闭Windows选项,依然是没有有休眠的。 我们在Win7的情况下是有并且可以使用休眠的,难道是我的电脑太老了?还是默认的Win8不给提供休眠? 一般情况下微软的功能既然提供出来肯定是有开关的,我想到了万能的组策略,看看这里面是不是有什么选项。 Win+R输入 gpedit.msc 命令和Win7一致 然后进入组策略界面,依次选择“计算机配置”、“管理模板”、“Windows组件” 然后再次查找“Windows资源管理器”,在此分支中内有一项用英文标记的

windows下如何设别出病毒、木马等非法文件?

当今的互联网错综复杂,我们下载的很多文件,甚至图片,都有可能带有木马病毒,不法分子总想盗取你的钱财,个人信息,并且都喜欢借助比如单机游戏,视频,图片,外挂及辅助软件等途径把自己的病毒隐藏进去,当然小编不建议在网游使用外挂,不仅会中毒,还有可能导致自己的游戏帐号被封号哦。好的,回到正题,下面就由小编我给大家几个识别病毒的方法。

Windows 8中如何创建虚拟网卡 创建虚拟网卡的详细图文教程

在一些特殊情况下,我们需要Windows 系统中多出一块“虚拟网卡”来达到某些特定的工作环境,Windows 8的创建方式跟其他系统有些不同,本文则使用图片的方式来演示“虚拟网卡”的创建方式。 首先,在传统桌面下,鼠标移动到屏幕左下角,点击鼠标右键(或使用快捷Win+X),在打开的菜单中选择“计算机管理”; 在打开的“计算机管理”窗口中,先在左面选择“设备管理器”,然后在右面的窗口中,在主机名上点右键,然后选择“添加过时硬件”; 直接点击“下一步”; 如下图A-B顺序,选择“

Windows 8中如何创建虚拟网卡

在一些特殊情况下,我们需要Windows 系统中多出一块“虚拟网卡”来达到某些特定的工作环境,Windows 8的创建方式跟其他系统有些不同,本文则使用图片的方式来演示“虚拟网卡”的创建方式。 首先,在传统桌面下,鼠标移动到屏幕左下角,点击鼠标右键(或使用快捷Win+X),在打开的菜单中选择“计算机管理”; 在打开的“计算机管理”窗口中,先在左面选择“设备管理器”,然后在右面的窗口中,在主机名上点右键,然后选择“添加过时硬件”; 直接点击“下一步”; 如下图A-B顺序,选择“安装我手动从列表中选

windows任务管理器中隐藏进程的方法

在WinNT下 "真正隐藏进程 "这一说法,可以讲是根本不可能实现,只要我们的程序是以进程内核的形式运行,都是不可能逃离CTRL+ALT+DEL的法眼。那么奇怪了,这岂不是与我们的标题《WinNT & Win2K下实现进程的完全隐藏》相矛盾吗?是的,实际上应该是:以非进程方式执行目标代码,而逃避进程查看器的检查,从而达到 "进程隐藏 "的目的。 我们这里用的,是在宿主进程中,以线程的方式执行我们的代码。实现起来非常简单。首先,我们先建立一个不执行任何语句的线程 复制代码 代码如下: DW