|
- UID
- 56
- 帖子
- 49
- 精华
- 0
- 积分
- 151
- 金币
- 48
- 威望
- 2
- 贡献
- 0
|
如何从进程中判断病毒和木马
练就金睛火眼 从进程中判断病毒和木马4 D' M- ]3 k. T2 x% M+ _
! q* o8 z! R- q9 e* E4 b1 H! Q$ J+ ^. `- o# _! @2 p* u p
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
5 c U1 v5 a2 t; J" y' y9 T- d+ G
& @' a7 w) s$ r0 J 病毒进程隐藏三法0 _5 F5 R, ?- e- J/ g6 u6 X
0 T/ D7 C# { k2 W 当我们确认系统中存在病毒,但是通过“任务治理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:9 e8 o& W6 C0 {; y8 w& d) v
$ \. j' h2 B; B* | 1.以假乱真
5 F4 s) F- z! q* b, J3 k* R7 ^5 R3 v/ B0 k
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就轻易搞混,再出现个iexplorer.exe就更加混乱了。假如用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。: D/ S( W7 R, o
& K C* u; z' ^1 t3 K* j" ?" _ 2.偷梁换柱0 R1 u& p& u" X$ W8 g2 ]
3 B# h9 z' I$ P' E 假如用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。假如一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务治理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录),假如病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,运行后,我们在“任务治理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
* o1 Z4 x% {9 G8 k! Z/ F7 B; H% B: C2 A5 p6 w5 s9 ?$ P; P
& Z+ w1 C# w! _# e. D' [! t+ w7 J3 }& A 3.借尸还魂0 @6 e; F4 Z) q. x2 z6 j1 i
( d' C) s: `' V 除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,如卡卡助手中的功能,否则要想发现隐藏在其中的病毒是很困难的。 |
|
发表于 2008-3-25 17:12
|