任何病毒和木马都存在于系统中,不可能完全脱离进程。即使采用了隐藏技术,我们仍然可以从过程中找到线索。因此,检查系统中的活动进程就成了我们检测病毒木马最直接的方法。但是系统中同时运行的进程太多了,
什么是正常的系统进程和特洛伊进程,经常被病毒木马冒充的系统进程在系统中起什么作用?
病毒进程隐藏的三种方法
当我们确认系统中有病毒,但是通过任务管理器查看系统中的进程,却找不到任何异常的进程,说明病毒采取了一些隐藏的措施,总结起来有三种方式:
1.以假乱真
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,
也许你在系统中发现了这样的过程:svch0st.exe,explore.exe,iexplorer.exe,winlogin.exe。通过对比,你发现区别了吗?这是病毒经常使用的伎俩。
目的是迷惑用户的眼睛。通常他们会把系统中正常进程名的O改成0,L改成I,I改成J,然后变成自己的进程名,只差一个字,但意义完全不同。或者多一个字母或者少一个字母,
例如,Explorer.exe和iexplore.exe很容易被混淆,而另一个iexplorer.exe会更加令人困惑。如果用户不小心,一般会忽略掉,病毒的过程就逃脱了。
偷梁换柱
如果用户很谨慎,那么上面的招数就没用了,病毒会被当场执行。结果病毒也学会了聪明,学会了偷柱的招数。如果一个进程的名字是svchost.exe,它就和一个正常的系统进程的名字完全一样。
那么这个过程安全吗?不是,其实只是利用了任务管理器无法查看进程对应的可执行文件的缺陷。
我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000是C:\WINNT\system32目录)。
如果病毒把自己复制到“C:\WINDOWS”并改名为svchost.exe,运行后我们也会在任务管理器中看到svchost.exe,这和正常的系统进程没什么区别。
你能说出哪一个是病毒的过程吗?
3.再生
除了以上两种方法,病毒还有一个终极解决方案:——重生。所谓借尸还魂,就是病毒利用进程插入技术,将病毒运行所需的dll文件插入到正常的系统进程中。表面上看,并没有什么可疑的情况。
事实上,系统的进程已经被病毒控制了。除非使用专业的进程检测工具,否则很难发现隐藏在其中的病毒。
& & &如果我们平时在检查过程中发现什么可疑的地方,只能根据两点来判断:
1.仔细检查进程的文件名;
2.检查它的路径。
