“Windows照妖鏡”—讓隱藏病毒現形的Windows進程及服務

      在千千萬萬的網民中，相信每個人都或多或少遭受過病毒de侵襲，雖然大多de用戶都安裝有殺毒軟件，但是目前病毒de發展趨勢是首先針對殺毒軟件，一旦判斷出殺毒軟件第一步就是先干掉殺毒軟件。面對這樣de情況，手動查殺病毒就不可避免了。而手動查殺病毒de前提就是要結束掉病毒de進程和服務，否則病毒程序根本無法刪除。那麼，什麼是病毒de進程呢，病毒de進程又具備哪些特點呢?了解了Windows系統進程之後，非系統de病毒進程就容易判斷了。在此，結合實例介紹Windows操作系統進程和基礎de病毒進程判斷。　　一、首先描述下最基本de系統進程，也就是說，這些進程是系統運行de基本條件，有了這些進程，系統就能正常運行。

　　smss.exe：Windows操作系統de一部分。該進程調用對話管理子系統和負責操作你系統de對話(系統服務);
　　alg.exe：Windows操作系統自帶de程序。它用於處理微軟Windows網絡連接共享和網絡連接防火牆(系統服務);
　　csrss.exe：微軟客戶端/服務端運行時子系統。該進程管理Windows圖形相關任務(系統服務);
　　winlogon.exe：Windows登陸管理器，用於處理系統de登陸和登陸過程(系統服務);
　　services.exe：是Windows操作系統de一部分。用於管理啟動和停止服務。該進程也會處理在計算機啟動和關機時運行de服務(系統服務);
　　lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統服務) 產生會話密鑰以及授予用於交互式客戶/服務器驗證de服務憑據(ticket)。(系統服務);
　　svchost.exe：是一個屬於微軟Windows操作系統de系統程序，包含很多系統服務，用於執行DLL文件(系統服務)。系統中根據啟動de服務多少，該進程數量也會不同，一般在4-5個左右。
　　spoolsv.exe:用於將Windows打印機任務發送給本地打印機.（學習電腦技術，計算機網絡技術，電腦入門請到http://.）
　　explorer.exe：Windows程序管理器或者Windows資源管理器，它用於管理Windows圖形殼，包括開始菜單、任務欄、桌面和文件管理;
　　rundll32.exe：用於在內存中運行DLL文件，它們會在應用程序中被使用;
　　internat.exe：Windows多語言輸入程序，托盤區de拼音圖標，附加de系統進程(這些進程不是必要de，你可以根據需要通過服務管理器來增加或減少);
　　ctfmon.exe：Microsoft Office產品套裝de一部分。它可以選擇用戶文字輸入程序，和微軟Office XP語言條。這不是純粹de系統程序，但是如果終止它，可能會導致不可知de問題;
　　mdm.exe：indows進程除錯程序。用於使用可視化腳本工具對Internet Explorer除錯(系統服務);
　　mstask.exe Windows計劃任務程序。它用於管理計劃任務，包括備份和更新，定時運行。如果你刪除該進程，計劃任務將無法運行(系統服務);
　　regsvc.exe：Windows服務集中de一個系統服務。它用於遠程計算機訪問本地注冊表。一些本地程序也能夠通過該服務編輯注冊表 (系統服務);
　　winmgmt.exe：提供系統管理信息(系統服務)。
　　inetinfo.exe：通過 Internet 信息服務de管理單元提供 FTP 連接和管理。(系統服務)
　　tlntsvr.exe：允許遠程用戶登錄到系統並且使用命令行運行控制台程序。(系統服務)
　　tftpd.exe：實現 TFTP Internet 標准。該標准不要求用戶名和密碼。遠程安裝服務de一部分。(系統服務)
　　termsrv.exe：提供多會話環境允許客戶端設備訪問虛擬de Windows 2000
　　dns.exe：應答對域名系統(DNS)名稱de查詢和更新請求(系統服務)。
　　二、以下服務很少會用到，如果不是必要de可以停止：

　　tcpsvcs.exe：提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows2000 Professional de能力(系統服務);
　　ismserv.exe 允許在 Windows Advanced Server 站點間發送和接收消息(系統服務);
　　ups.exe：管理連接到計算機de不間斷電源(UPS)(系統服務);
　　wins.exe：為注冊和解析 NetBIOS 型名稱de TCP/IP 客戶提供 NetBIOS名稱服務(系統服務);
　　llssrv.exe：Microsoft Windows Server版de一部分，用於許可登陸服務(系統服務);
　　ntfrs.exe：在多個服務器間維護文件目錄內容de文件同步(系統服務);
　　RsSub.exe：控制用來遠程儲存數據de媒體(系統服務);
　　locator.exe：管理 RPC 名稱服務數據庫(系統服務);
　　lserver.exe：注冊客戶端許可證(系統服務);
　　dfssvc.exe：管理分布於局域網或廣域網de邏輯卷(系統服務);
　　clipsrv.exe：支持“剪貼簿查看器”，以便可以從遠程剪貼簿查閱剪貼頁面(系統服務);
　　msdtc.exe：並列事務，是分布於兩個以上de數據庫，消息隊列，文件系統，或其它事務保護資源管理器(系統服務);
　　faxsvc.exe：幫助您發送和接收傳真(系統服務);
　　cisvc.exe：Windows操作系統自帶de程序。它用於監測CIDAEMON.exe內存使用狀態，防止可用內存過低問題(系統服務);
　　dmadmin.exe：磁盤管理請求de系統管理服務(系統服務);
　　mnmsrvc.exe：允許有權限de用戶使用 NetMeeting 遠程訪問 Windows 桌面(系統服務);
　　netdde.exe：提供動態數據交換 (DDE) de網絡傳輸和安全特性(系統服務);
　　smlogsvc.exe：配置性能日志和警報(系統服務);
　　rsvp.exe：為依賴質量服務(QoS)de程序和控制應用程序提供網絡信號和本地通信控制安裝功能(系統服務);
　　RsEng.exe：協調用來儲存不常用數據de服務和管理工具(系統服務);
　　RsFsa.exe：管理遠程儲存de文件de操作(系統服務);
　　grovel.exe：掃描零備份存儲(SIS)卷上de重復文件，並且將重復文件指向一個數據存儲點，以節省磁盤空間(系統服務);
　　SCardSvr.exe：對插入在計算機智能卡閱讀器中de智能卡進行管理和訪問控制(系統服務);
　　snmp.exe：包含代理程序可以監視網絡設備de活動並且向網絡控制台工作站匯報(系統服務);
　　snmptrap.exe：接收由本地或遠程 SNMP 代理程序產生de陷阱消息，然後將消息傳遞到運行在這台計算機上 SNMP 管理程序(系統服務);
　　UtilMan.exe：從一個窗口中啟動和配置輔助工具 (系統服務);
　　msiexec.exe：依據 .MSI 文件中包含de命令來安裝、修復以及刪除軟件(系統服務)。
三、容易被病毒利用de進程
　　Explorer.exe，svchost.exe，spoolsv.exe，winlogon.exe，rundll32.exe。這幾個進程除了spoolsv.exe打印進程不是系統運行必須de之外，其他全部都是保證系統運行正常de進程，而就是這些進程也是最容易被病毒利用de。病毒大多建立跟上述進程名稱類似de進程，來欺騙用戶;或者將自身dedll模塊嵌入到這些系統進程中。我們先從基礎de病毒進程命名欺騙來著手，介紹下病毒進程命名欺騙de大體方式。
　　以前一階段流行並造成嚴重破壞後果de威金病毒為例，她de主要病毒程序為：rundl132.exe，logo_1.exe，vdll.dll，logo1_.exe，exp10rer.exe等，看到這裡我們不難發現系統de進程為rundll32.exe，而病毒進程為rundl132.exe。，區別在於系統de進程是兩個“ll”而病毒de進程是一個“l”一個數字“1”。另外一個系統進程為explorer.exe，病毒進程用數字“1”和“0”代替了系統進程de字母“l”和“o”。
　　另外一個典型de例子是直到今天還在流行deU盤自動播放病毒，盡管這個病毒已經產生了無數de變種，生成deexe文件名千奇百怪，但是在最初，她de病毒文件命名還是具備欺騙de性質。她de病毒文件命名為svch0st.exe，通過上面de介紹，我們很容易就發現了她de欺騙方式：用數字“0”代替了系統進程de字母“o”。
　　這裡，我們介紹了一個最直觀de病毒命名方式，通過第一步de肉眼觀察，就能夠發現很多病毒de藏身所在，掌握了系統進程de名稱，就擁有了基礎de病毒手動查殺能力。

“Windows照妖鏡”—讓隱藏病毒現形的Windows進程及服務.