|
- UID
- 56
- 帖子
- 49
- 精华
- 0
- 积分
- 151
- 金币
- 48
- 威望
- 2
- 贡献
- 0
|
如何从进程中判断病毒和木马
练就金睛火眼 从进程中判断病毒和木马
3 E8 g4 t3 V5 b% A7 g' V( H; f
* k7 X0 Y3 h3 L, n6 |' N# T: ?" C- ?' J7 L+ Q
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
g5 q; W" `4 n* h; y1 ~ B7 E1 s* i/ z5 k e/ }
病毒进程隐藏三法
3 M# O2 R& ~1 ~7 G: H2 W) {9 t2 p6 I& M2 l
当我们确认系统中存在病毒,但是通过“任务治理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
@1 c& ]& g; h0 z3 Z! e m n. P. S- D! y* F% F
1.以假乱真* z8 h7 `1 w( {
2 g- v7 T+ l9 m
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就轻易搞混,再出现个iexplorer.exe就更加混乱了。假如用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
9 e# y/ ?, [8 Y' b. M! Q2 h4 p& G9 w* `0 ]; w0 f4 l/ J
2.偷梁换柱
8 P; J: H$ e' F. y: E3 g1 h8 j( A' d+ h7 |2 y% v. c1 v
假如用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。假如一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务治理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录),假如病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,运行后,我们在“任务治理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
, h* y2 z4 X. `! z
p; F1 P- H6 a. u; t6 d+ Q" I7 ?) M" M3 f ]* v0 v
3.借尸还魂; L, P( A! w L/ e8 r
3 M u" l1 b6 B" X/ I
除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,如卡卡助手中的功能,否则要想发现隐藏在其中的病毒是很困难的。 |
|
发表于 2008-3-25 17:12
|