萬盛學電腦網

 萬盛學電腦網 >> 網絡應用技術 >> 應用教程 >> 進程中的斗法:病毒藏身36記

進程中的斗法:病毒藏身36記

進程中的斗法:病毒藏身36記
如果從系統的表現懷疑系統存在病毒,但通過“任務管理器”查看進程一眼看去又沒有 發現異樣,這可能說明病毒采用了一些隱藏措施,總結出來有三點:
進程中的斗法:病毒藏身36記

1.以假亂真
系統中的正常進程有:svchost.exe、explorer.exe,iexplore.exe、winlogon.exe等,可能你 發現過系統中存在這樣的進程:svchOst.exe、explore.exe、iexplorer.exe、winlogin.exeo仔細認 讀字母,就會恍然大悟——偽裝!這正是病毒經常使用的伎倆,目的是迷惑用戶的眼睛。通 常它們會模仿系統中的正常進程,將其中的o改為O,l改為i,i改為j,並以此作為自己的 進程名,雖有一字之差,卻“似是而非”。又或者多一個字母或少一個字母,例如explorer.exe 和iexplore.exe,本來就容易搞混,再出現個iexplorer.exe就更加混亂了。用戶一不仔細,病 毒就逃過一劫。
 

2.偷梁換柱
如果用戶比較心細,上面這招就沒用了。於是病毒又學會了變通,使出了“偷梁換柱” 一招。如果一個進程的名字為svchost.exe,和正常的系統進程名分毫不差,那麼這個進程是 不是就安全了呢?非也,病毒利用低版本系統的“任務管理器”無法查看進程對應的可執行 文件這一缺陷,混在其中濫竽充數。svchost.exe進程對應的可執行文件位於 “c:\wNDOWS\system32”目錄下,如果病毒將自身復制到“C:\WINDOWS\”中,並改名為 svchost.exe,在“任務管理器”雖然也顯示為svchost.exe,但目標程序的路徑卻不對。這種情 況,只能通過查看目標程序的位置來判斷。
綜上,甄別病毒進程,首看文件名,再查文件路徑,二者都對才可放心。
 

3.借屍還魂
除上面提到的兩種方法外,病毒還有一招“借屍還魂”。所謂的“借屍還魂”,就是病毒 采用了進程插入技術,將病毒運行所需的dll文件插入正常的系統進程中,表面上看無任何可 疑之處,實質上系統進程已經被病毒控制了,除非借助專業的進程檢測工具,否則想發現隱 藏其中的病毒是很難的。這時,僅使用任務管理器已經不夠,需要使用第三方工具軟件。
對於花樣百出的病毒,與其斗法,需學會一些技巧:
(1)針對svchost.exe進程。經常冒充的病毒進程有:svchOst.exe、schvost.exe、scvhost.exe。 隨著Windows系統服務不斷增多,為了節省系統資源,微軟把很多服務做成共享方式,交由 svchost.exe進程來啟動。Windows XP中則一般有4個以上的svchost.exe腋務進程。如果 svchost.exe進程的數量多於5個,就要小心了。判斷方法很簡單,使用進程管理工具查看 svchost.exe的可執行文件路徑,如果位置在“C:\WINDOWS\system32”目錄之外,那麼就可 以判定是病毒了。
(2)針對iexplore.exe進程。經常冒充的病毒進程有:iexplorer.exe、expiorer.exe、explore.exe。 iexplore.exe進程默認是和系統一起啟動的,其對應可執行文件的路徑為windows所在目錄, 除此之外則為病毒。有時,我們發現沒有打開IE浏覽器的情況下,系統中仍然存在iexplore.exe 進程,這要分兩種情況:一是病毒假冒iexplore.exe進程名;二是病毒正在後台通過iexplore.exe 做事。出現這種情況最好盡快用殺毒軟件查殺。
(3)針對Rund113

2.exe進程。經常冒充的病毒進程有:rund113

2.exe、rund13

2.exe,rund113

2.exe 在系統中的作用是執行DLL文件中的內部函數,系統中存在多少個Rund113

2.exe進程,就表 示Rund113

2.exe啟動了多少個DLL丈件。其實rund113

2.exe是會經常用到的,它可以控制系 統中的一些dll文件,舉例,在“命令提示符”中輸入“rund113

2.exeuser3

2.dll,LockWorkStation”, 按LEnter]鍵後,系統就會快速切換到登錄界面。rund113

2.exe的路徑為:C:\Windows\system32, 如果是在別的目錄則可以判定為病毒。
如果任務管理器無法終結病毒進程,可使用這個命令:ntsd -c q-p PIDo其中PID為進 程號,可通過任務管理器查看。

進程中的斗法:病毒藏身36記.
copyright © 萬盛學電腦網 all rights reserved