/ Z% B" \- o! T. G 系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就轻易搞混,再出现个iexplorer.exe就更加混乱了。假如用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。 ) }6 K; W3 k1 D + U! v; w l: U% g/ V6 V 2.偷梁换柱+ H) @8 }; j$ i
0 j4 o8 B$ P C 假如用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。假如一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务治理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录),假如病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,运行后,我们在“任务治理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗? 9 |' @; j" x. l' O& O$ Z 7 S; G3 T( F; T/ V! R- z 9 s" n" a% W; b: C8 T5 u* u 3.借尸还魂 ! b1 G# T" U3 W! A3 d: h0 ] ' F4 U* w; P- y/ \# u; a5 T 除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,如卡卡助手中的功能,否则要想发现隐藏在其中的病毒是很困难的。
