|
- UID
- 56
- 帖子
- 49
- 精华
- 0
- 积分
- 151
- 金币
- 48
- 威望
- 2
- 贡献
- 0
|
如何从进程中判断病毒和木马
练就金睛火眼 从进程中判断病毒和木马2 v- G# H; X5 d; U/ ^* p
2 U$ V. `+ d6 N! j& x. f6 ~) @- W! h% s( T/ e! d7 ?$ R
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。* R* x# I. _3 t) X3 N$ Y2 L B
6 |; ?0 }7 B+ G X& Q
病毒进程隐藏三法
4 U9 |2 N- h7 G8 {" D3 ?' s: z
' \3 o0 E5 t( R7 J3 c, w# g 当我们确认系统中存在病毒,但是通过“任务治理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
; w2 H& \ d A+ a* l" Z, `6 x v- e0 J& K1 {9 K# h; X# O2 o5 R
1.以假乱真) T, R) O [' {3 r' Q2 i8 _: m! O; c3 M5 o
( j4 h" u- A9 w+ B S# c' |
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就轻易搞混,再出现个iexplorer.exe就更加混乱了。假如用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
8 y) P0 j6 E5 K! }3 u. l( C b0 R3 i* g5 w
2.偷梁换柱9 t) q: |$ `/ l: |8 N' a
! F) E. f1 C( h. p 假如用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。假如一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务治理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录),假如病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,运行后,我们在“任务治理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?0 Y+ A( P F1 T; J( Z5 K; L
2 J9 i0 k& q' `; j- M' D# z5 r
/ U, b; Q' K' |' L- u' @' ?; E9 M# z 3.借尸还魂
F3 }% m Z( S4 R& p; F" ?1 n
& K" Y' d% u, g; j: f7 r' l 除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,如卡卡助手中的功能,否则要想发现隐藏在其中的病毒是很困难的。 |
|
发表于 2008-3-25 17:12
|