進程中的斗法:病毒藏身36記

進程中的斗法:病毒藏身36記
如果從系統的表現懷疑系統存在病毒，但通過“任務管理器”查看進程一眼看去又沒有 發現異樣，這可能說明病毒采用了一些隱藏措施，總結出來有三點：

1．以假亂真
系統中的正常進程有：svchost．exe、explorer.exe，iexplore.exe、winlogon.exe等，可能你 發現過系統中存在這樣的進程：svchOst.exe、explore.exe、iexplorer.exe、winlogin.exeo仔細認 讀字母，就會恍然大悟——偽裝！這正是病毒經常使用的伎倆，目的是迷惑用戶的眼睛。通 常它們會模仿系統中的正常進程，將其中的o改為O，l改為i，i改為j，並以此作為自己的 進程名，雖有一字之差，卻“似是而非”。又或者多一個字母或少一個字母，例如explorer.exe 和iexplore.exe，本來就容易搞混，再出現個iexplorer.exe就更加混亂了。用戶一不仔細，病 毒就逃過一劫。
 

2．偷梁換柱
如果用戶比較心細，上面這招就沒用了。於是病毒又學會了變通，使出了“偷梁換柱” 一招。如果一個進程的名字為svchost.exe，和正常的系統進程名分毫不差，那麼這個進程是 不是就安全了呢？非也，病毒利用低版本系統的“任務管理器”無法查看進程對應的可執行 文件這一缺陷，混在其中濫竽充數。svchost.exe進程對應的可執行文件位於 “c:\wNDOWS\system32”目錄下，如果病毒將自身復制到“C:\WINDOWS\”中，並改名為 svchost.exe，在“任務管理器”雖然也顯示為svchost.exe，但目標程序的路徑卻不對。這種情 況，只能通過查看目標程序的位置來判斷。
綜上，甄別病毒進程，首看文件名，再查文件路徑，二者都對才可放心。
 

3．借屍還魂
除上面提到的兩種方法外，病毒還有一招“借屍還魂”。所謂的“借屍還魂”，就是病毒 采用了進程插入技術，將病毒運行所需的dll文件插入正常的系統進程中，表面上看無任何可 疑之處，實質上系統進程已經被病毒控制了，除非借助專業的進程檢測工具，否則想發現隱 藏其中的病毒是很難的。這時，僅使用任務管理器已經不夠，需要使用第三方工具軟件。
對於花樣百出的病毒，與其斗法，需學會一些技巧：
(1)針對svchost.exe進程。經常冒充的病毒進程有：svchOst.exe、schvost.exe、scvhost.exe。 隨著Windows系統服務不斷增多，為了節省系統資源，微軟把很多服務做成共享方式，交由 svchost.exe進程來啟動。Windows XP中則一般有4個以上的svchost.exe腋務進程。如果 svchost．exe進程的數量多於5個，就要小心了。判斷方法很簡單，使用進程管理工具查看 svchost.exe的可執行文件路徑，如果位置在“C:\WINDOWS\system32”目錄之外，那麼就可 以判定是病毒了。
(2)針對iexplore.exe進程。經常冒充的病毒進程有：iexplorer.exe、expiorer.exe、explore.exe。 iexplore．exe進程默認是和系統一起啟動的，其對應可執行文件的路徑為windows所在目錄， 除此之外則為病毒。有時，我們發現沒有打開IE浏覽器的情況下，系統中仍然存在iexplore.exe 進程，這要分兩種情況：一是病毒假冒iexplore.exe進程名；二是病毒正在後台通過iexplore.exe 做事。出現這種情況最好盡快用殺毒軟件查殺。
(3)針對Rund113

2.exe進程。經常冒充的病毒進程有：rund113

2.exe、rund13

2.exe，rund113

2.exe 在系統中的作用是執行DLL文件中的內部函數，系統中存在多少個Rund113

2.exe進程，就表 示Rund113

2.exe啟動了多少個DLL丈件。其實rund113

2.exe是會經常用到的，它可以控制系 統中的一些dll文件，舉例，在“命令提示符”中輸入“rund113

2.exeuser3

2.dll，LockWorkStation”， 按LEnter]鍵後，系統就會快速切換到登錄界面。rund113

2.exe的路徑為：C:\Windows\system32， 如果是在別的目錄則可以判定為病毒。
如果任務管理器無法終結病毒進程，可使用這個命令：ntsd -c q-p PIDo其中PID為進 程號，可通過任務管理器查看。

進程中的斗法:病毒藏身36記.