萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 如何從進程中判斷病毒木馬

如何從進程中判斷病毒木馬

   任何病毒和木馬存在於系統中,都無法徹協調歷程脫離關系,即使采用了潛匿手藝,也仍是能夠年夜歷程中找到蛛絲馬跡,是以,查看系統中勾當的歷程成為我們檢測病毒木馬最直接的體例。可是系統中同時運行的歷程那麼多,哪些是正常的系統歷程,哪些是木馬的歷程,而經常被病毒木馬冒充的系統歷程在系統中又飾演著什麼腳色呢?請看本文。

    病毒歷程潛匿三法

    當我們確認系統中存在病毒,可是經由過程“使命打點器”查看系統中的歷程時又找不出異樣的歷程,這聲名病毒采用了一些潛匿法子,總結出濫暌剮三法:

    1.以假亂真

    系統中的正常歷程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你發現過系統中存在這樣的歷程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe.對比一下,發現區別了麼?這是病毒經常使用的手法,目的就是迷惑用戶的眼睛。凡是它們會將系統中正常歷程名的o改為0,l改為i,i改為j,然後成為自己的歷程名,僅僅一字之差,意義卻完全分歧。又或者多一個字母或少一個字母,例如explorer.exe和iexplore.exe原本就輕易搞混,再呈現個 iexplorer.exe就加倍雜亂了。如不美觀用戶不細心,一般就忽略了,病毒的歷程就逃過了一劫。

    2.偷梁換柱

    如不美觀用戶斗勁心細,那麼膳缦沔這招就沒用了,病毒會被就地處死。於是乎,病毒也學聰了然,懂得了偷梁換柱這一招。如不美觀一個歷程的名字為svchost.exe,和正常的系統歷程名分毫不差。那麼這個歷程是不是就平安了呢?非也,其實它只是操作了“使命打點器”無法查看歷程對應可執行文件這一缺陷。我們知道svchost.exe歷程對應的可執行文件位於“C:WINDOWSsystem32”目錄下(Windows2000 則是C:WINNTsystem32目錄),如不美觀病毒將自身復制到“C:WINDOWS”中,並更名為svchost.exe,運行後,我們在“ 使命打點器”中看到的也是svchost.exe,和正常的系統歷程無異。你能分辯出其中哪一個是病毒的歷程嗎?

    3.借屍還魂

    除了上文中的兩種體例外,病毒還有一招最終年夜法——借屍還魂。所謂的借屍還魂就是病毒采用了歷程插入手藝,將病毒運行所需的dll文件插入正常的系統歷程中,概況上看無任何可疑情形,本色上系統歷程已經被病毒節制了,除非我們借助專業的歷程檢測工具,否則要想發現潛匿在其中的病毒是很堅苦的。

    系統歷程解惑

    上文中提到了良多系統歷程,這些系統歷程到底有何浸染,其運行事理又是什麼?下面我們將對這些系統歷程進行一一講解,相信在熟知這些系統歷程後,就能成功破解病毒的“以假亂真”和“偷梁換柱”了。

copyright © 萬盛學電腦網 all rights reserved