如何從進程中判斷病毒木馬

   任何病毒和木馬存在於系統中，都無法徹協調歷程脫離關系，即使采用了潛匿手藝，也仍是能夠年夜歷程中找到蛛絲馬跡，是以，查看系統中勾當的歷程成為我們檢測病毒木馬最直接的體例。可是系統中同時運行的歷程那麼多，哪些是正常的系統歷程，哪些是木馬的歷程，而經常被病毒木馬冒充的系統歷程在系統中又飾演著什麼腳色呢？請看本文。

    病毒歷程潛匿三法

    當我們確認系統中存在病毒，可是經由過程“使命打點器”查看系統中的歷程時又找不出異樣的歷程，這聲名病毒采用了一些潛匿法子，總結出濫暌剮三法：

    1.以假亂真

    系統中的正常歷程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你發現過系統中存在這樣的歷程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe.對比一下，發現區別了麼？這是病毒經常使用的手法，目的就是迷惑用戶的眼睛。凡是它們會將系統中正常歷程名的o改為0，l改為i，i改為j，然後成為自己的歷程名，僅僅一字之差，意義卻完全分歧。又或者多一個字母或少一個字母，例如explorer.exe和iexplore.exe原本就輕易搞混，再呈現個 iexplorer.exe就加倍雜亂了。如不美觀用戶不細心，一般就忽略了，病毒的歷程就逃過了一劫。

    2.偷梁換柱

    如不美觀用戶斗勁心細，那麼膳缦沔這招就沒用了，病毒會被就地處死。於是乎，病毒也學聰了然，懂得了偷梁換柱這一招。如不美觀一個歷程的名字為svchost.exe，和正常的系統歷程名分毫不差。那麼這個歷程是不是就平安了呢？非也，其實它只是操作了“使命打點器”無法查看歷程對應可執行文件這一缺陷。我們知道svchost.exe歷程對應的可執行文件位於“C：WINDOWSsystem32”目錄下（Windows2000 則是C：WINNTsystem32目錄），如不美觀病毒將自身復制到“C：WINDOWS”中，並更名為svchost.exe，運行後，我們在“ 使命打點器”中看到的也是svchost.exe，和正常的系統歷程無異。你能分辯出其中哪一個是病毒的歷程嗎？

    3.借屍還魂

    除了上文中的兩種體例外，病毒還有一招最終年夜法——借屍還魂。所謂的借屍還魂就是病毒采用了歷程插入手藝，將病毒運行所需的dll文件插入正常的系統歷程中，概況上看無任何可疑情形，本色上系統歷程已經被病毒節制了，除非我們借助專業的歷程檢測工具，否則要想發現潛匿在其中的病毒是很堅苦的。

    系統歷程解惑

    上文中提到了良多系統歷程，這些系統歷程到底有何浸染，其運行事理又是什麼？下面我們將對這些系統歷程進行一一講解，相信在熟知這些系統歷程後，就能成功破解病毒的“以假亂真”和“偷梁換柱”了。