|
- UID
- 56
- 帖子
- 49
- 精华
- 0
- 积分
- 151
- 金币
- 48
- 威望
- 2
- 贡献
- 0
|
如何从进程中判断病毒和木马
练就金睛火眼 从进程中判断病毒和木马6 W4 @3 [2 R. F: d8 ]7 f" _
+ N' L! O. I& W0 K }0 q6 t, B" C+ B- K2 d
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
0 n: Q& Z( A+ K! z/ u2 }; O1 k, T) b
病毒进程隐藏三法) V5 b0 L. G' |: n/ }5 E9 M- ~
; E1 N7 ~ l- r6 D7 u 当我们确认系统中存在病毒,但是通过“任务治理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
$ }* A3 d1 u/ |
2 O+ [+ {- U) R* _9 l) A) u! J 1.以假乱真! j8 e2 q/ r4 W( _% {) r0 H6 w
! c$ H. t$ P6 h3 T0 q 系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就轻易搞混,再出现个iexplorer.exe就更加混乱了。假如用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
" Z m# h* E+ @( J# `1 Y1 u& z% H$ v$ M1 ~" v2 h3 W/ z
2.偷梁换柱
: M( L* p8 u* c5 d# x* v# L2 r
( t p9 f8 z9 c2 W9 X7 L B! ~ 假如用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。假如一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务治理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录),假如病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,运行后,我们在“任务治理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
x2 |) ? }2 L4 Q6 k: y6 ~* S
$ e( r2 r- H1 i) l3 l' D; R8 t
" q% W7 h+ u+ k( A% h3 A$ M* B 3.借尸还魂
8 l! D8 O. r2 W
- h- C2 R6 V |6 z _9 F" S6 Z$ m& w 除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,如卡卡助手中的功能,否则要想发现隐藏在其中的病毒是很困难的。 |
|
发表于 2008-3-25 17:12
|