在千千萬萬的網民中,相信每個人都或多或少遭受過病毒de侵襲,雖然大多de用戶都安裝有殺毒軟件,但是目前病毒de發展趨勢是首先針對殺毒軟件,一旦判斷出殺毒軟件第一步就是先干掉殺毒軟件。面對這樣de情況,手動查殺病毒就不可避免了。而手動查殺病毒de前提就是要結束掉病毒de進程和服務,否則病毒程序根本無法刪除。那麼,什麼是病毒de進程呢,病毒de進程又具備哪些特點呢?了解了Windows系統進程之後,非系統de病毒進程就容易判斷了。在此,結合實例介紹Windows操作系統進程和基礎de病毒進程判斷。 一、首先描述下最基本de系統進程,也就是說,這些進程是系統運行de基本條件,有了這些進程,系統就能正常運行。
smss.exe:Windows操作系統de一部分。該進程調用對話管理子系統和負責操作你系統de對話(系統服務);
alg.exe:Windows操作系統自帶de程序。它用於處理微軟Windows網絡連接共享和網絡連接防火牆(系統服務);
csrss.exe:微軟客戶端/服務端運行時子系統。該進程管理Windows圖形相關任務(系統服務);
winlogon.exe:Windows登陸管理器,用於處理系統de登陸和登陸過程(系統服務);
services.exe:是Windows操作系統de一部分。用於管理啟動和停止服務。該進程也會處理在計算機啟動和關機時運行de服務(系統服務);
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統服務) 產生會話密鑰以及授予用於交互式客戶/服務器驗證de服務憑據(ticket)。(系統服務);
svchost.exe:是一個屬於微軟Windows操作系統de系統程序,包含很多系統服務,用於執行DLL文件(系統服務)。系統中根據啟動de服務多少,該進程數量也會不同,一般在4-5個左右。
spoolsv.exe:用於將Windows打印機任務發送給本地打印機.(學習電腦技術,計算機網絡技術,電腦入門請到http://.)
explorer.exe:Windows程序管理器或者Windows資源管理器,它用於管理Windows圖形殼,包括開始菜單、任務欄、桌面和文件管理;
rundll32.exe:用於在內存中運行DLL文件,它們會在應用程序中被使用;
internat.exe:Windows多語言輸入程序,托盤區de拼音圖標,附加de系統進程(這些進程不是必要de,你可以根據需要通過服務管理器來增加或減少);
ctfmon.exe:Microsoft Office產品套裝de一部分。它可以選擇用戶文字輸入程序,和微軟Office XP語言條。這不是純粹de系統程序,但是如果終止它,可能會導致不可知de問題;
mdm.exe:indows進程除錯程序。用於使用可視化腳本工具對Internet Explorer除錯(系統服務);
mstask.exe Windows計劃任務程序。它用於管理計劃任務,包括備份和更新,定時運行。如果你刪除該進程,計劃任務將無法運行(系統服務);
regsvc.exe:Windows服務集中de一個系統服務。它用於遠程計算機訪問本地注冊表。一些本地程序也能夠通過該服務編輯注冊表 (系統服務);
winmgmt.exe:提供系統管理信息(系統服務)。
inetinfo.exe:通過 Internet 信息服務de管理單元提供 FTP 連接和管理。(系統服務)
tlntsvr.exe:允許遠程用戶登錄到系統並且使用命令行運行控制台程序。(系統服務)
tftpd.exe:實現 TFTP Internet 標准。該標准不要求用戶名和密碼。遠程安裝服務de一部分。(系統服務)
termsrv.exe:提供多會話環境允許客戶端設備訪問虛擬de Windows 2000
dns.exe:應答對域名系統(DNS)名稱de查詢和更新請求(系統服務)。
二、以下服務很少會用到,如果不是必要de可以停止:
tcpsvcs.exe:提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows2000 Professional de能力(系統服務);
ismserv.exe 允許在 Windows Advanced Server 站點間發送和接收消息(系統服務);
ups.exe:管理連接到計算機de不間斷電源(UPS)(系統服務);
wins.exe:為注冊和解析 NetBIOS 型名稱de TCP/IP 客戶提供 NetBIOS名稱服務(系統服務);
llssrv.exe:Microsoft Windows Server版de一部分,用於許可登陸服務(系統服務);
ntfrs.exe:在多個服務器間維護文件目錄內容de文件同步(系統服務);
RsSub.exe:控制用來遠程儲存數據de媒體(系統服務);
locator.exe:管理 RPC 名稱服務數據庫(系統服務);
lserver.exe:注冊客戶端許可證(系統服務);
dfssvc.exe:管理分布於局域網或廣域網de邏輯卷(系統服務);
clipsrv.exe:支持“剪貼簿查看器”,以便可以從遠程剪貼簿查閱剪貼頁面(系統服務);
msdtc.exe:並列事務,是分布於兩個以上de數據庫,消息隊列,文件系統,或其它事務保護資源管理器(系統服務);
faxsvc.exe:幫助您發送和接收傳真(系統服務);
cisvc.exe:Windows操作系統自帶de程序。它用於監測CIDAEMON.exe內存使用狀態,防止可用內存過低問題(系統服務);
dmadmin.exe:磁盤管理請求de系統管理服務(系統服務);
mnmsrvc.exe:允許有權限de用戶使用 NetMeeting 遠程訪問 Windows 桌面(系統服務);
netdde.exe:提供動態數據交換 (DDE) de網絡傳輸和安全特性(系統服務);
smlogsvc.exe:配置性能日志和警報(系統服務);
rsvp.exe:為依賴質量服務(QoS)de程序和控制應用程序提供網絡信號和本地通信控制安裝功能(系統服務);
RsEng.exe:協調用來儲存不常用數據de服務和管理工具(系統服務);
RsFsa.exe:管理遠程儲存de文件de操作(系統服務);
grovel.exe:掃描零備份存儲(SIS)卷上de重復文件,並且將重復文件指向一個數據存儲點,以節省磁盤空間(系統服務);
SCardSvr.exe:對插入在計算機智能卡閱讀器中de智能卡進行管理和訪問控制(系統服務);
snmp.exe:包含代理程序可以監視網絡設備de活動並且向網絡控制台工作站匯報(系統服務);
snmptrap.exe:接收由本地或遠程 SNMP 代理程序產生de陷阱消息,然後將消息傳遞到運行在這台計算機上 SNMP 管理程序(系統服務);
UtilMan.exe:從一個窗口中啟動和配置輔助工具 (系統服務);
msiexec.exe:依據 .MSI 文件中包含de命令來安裝、修復以及刪除軟件(系統服務)。
三、容易被病毒利用de進程
Explorer.exe,svchost.exe,spoolsv.exe,winlogon.exe,rundll32.exe。這幾個進程除了spoolsv.exe打印進程不是系統運行必須de之外,其他全部都是保證系統運行正常de進程,而就是這些進程也是最容易被病毒利用de。病毒大多建立跟上述進程名稱類似de進程,來欺騙用戶;或者將自身dedll模塊嵌入到這些系統進程中。我們先從基礎de病毒進程命名欺騙來著手,介紹下病毒進程命名欺騙de大體方式。
以前一階段流行並造成嚴重破壞後果de威金病毒為例,她de主要病毒程序為:rundl132.exe,logo_1.exe,vdll.dll,logo1_.exe,exp10rer.exe等,看到這裡我們不難發現系統de進程為rundll32.exe,而病毒進程為rundl132.exe。,區別在於系統de進程是兩個“ll”而病毒de進程是一個“l”一個數字“1”。另外一個系統進程為explorer.exe,病毒進程用數字“1”和“0”代替了系統進程de字母“l”和“o”。
另外一個典型de例子是直到今天還在流行deU盤自動播放病毒,盡管這個病毒已經產生了無數de變種,生成deexe文件名千奇百怪,但是在最初,她de病毒文件命名還是具備欺騙de性質。她de病毒文件命名為svch0st.exe,通過上面de介紹,我們很容易就發現了她de欺騙方式:用數字“0”代替了系統進程de字母“o”。
這裡,我們介紹了一個最直觀de病毒命名方式,通過第一步de肉眼觀察,就能夠發現很多病毒de藏身所在,掌握了系統進程de名稱,就擁有了基礎de病毒手動查殺能力。