从进程中识别病毒和木马
2007-04-18 17:09
218 查看
经长期验证结果显示,一般情况下病毒、木马在系统中是无法彻底与进程脱离关系的,有时只是采用了一些隐藏手段而已,但是仔细的人也是可以在进程分析中找到一些可疑的蛛丝马迹的。想要保护好自己的系统,就要学会怎么样去识别和分析系统中的进程。我们来了解一下系统进程以及病毒木马的隐藏手段吧。
手段一、视觉扰乱
熟悉计算机的人都知道,正常的系统进程一般有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等等。而病毒木马正是利用这些进程名的不易察觉性,制造一个视觉上的混乱,以假乱真。你是否发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe等等。仔细一看是不是发现不对了?这就是病毒木马在进程中存在的一种常见形式。切记,在查看进程时要多留意一眼,也许在你的细心之下,病毒木马就无所遁形了。
手段二、冒名顶替
看起来好像和手段一没什么区别是吗?其实差别很大,这种手段算是比较高明了。我们来看一个进程:svchost.exe,是否和正常的系统进程名一模一样呢?通常这样大家都会觉得那就没问题了,应该没有病毒木马了。如果你这样认为的话,那你就有可能中招了!其实它只是利用了“任务管理器”中没有查看进程对应可执行文件这一功能而来一个冒名顶替而已。svchost.exe进程所对应的可执行文件应该位于以下目录下:“C:/WINDOWS/system32”(在2000系统下则是位于C:/WINNT/system32目录下)。这种手段的操作原理是:病毒木马将自身复制到“C:/WINDOWS/”目录中,并改名为“svchost.exe”,一次运行之后,我们在“任务管理器”中看到的就是新的一个svchost.exe进程了。所以在进程管理中若发现同名的进程很多,你就要小心了,坏家伙在作怪了。
手段三、借腹产子
这是病毒木马赖以生存的终极手段。这种手段的原理是:病毒木马采用进程植入技术,将运行所需的dll文件植入到正常的系统进程中,表面上基本看不出什么,实际上系统进程已经被控制了,除了借助专业的进程分析工具进行深度分析,一般很难对其进行识别和处理。
关于系统进程的分析,本博中有相关文章介绍了,这里就不再阐述了,希望有需要的人可以去参阅一下。下面我们一起看看常见被病毒木马利用作为它们使坏的对象吧。
1、svchost.exe
这个进程常被改名混淆的形式如下:svch0st.exe、schvost.exe、scvhost.exe。为了节省系统资源,WINDOWS系统将一些服务做成共享形式,都交由svchost.exe进程来启动。而系统服务又是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由它来调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:/WINDOWS/system32/clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:/WINDOWS/system32/svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:/WINDOWS/system32/svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实是多了系统服务而已。
在2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:/WINDOWS/system32”目录外,那么就可以判定是病毒了。
2、explorer.exe
这个进程常被改名混淆的形式如下:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:/Windows”目录,除此之外则为病毒。
3、iexplore.exe
这个进程常被改名混淆的形式如下:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。iexplore.exe进程对应的可执行程序位于C:/ProgramFiles/InternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,出现这种情况时最好是用杀毒软件进行查毒。
4、rundll32.exe
这个进程常被改名混淆的形式如下:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:/Windows/system32”,在别的目录则可以判定是病毒。
5、spoolsv.exe
这个进程常被改名混淆的形式如下:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果刷新系统进程还存在spoolsv.exe进程,这就一定是病毒木马了,不要留情,杀掉它!
***特别提醒:系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具,例如Procexp。Procexp可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假冒系统进程的病毒进程无处可藏。***
手段一、视觉扰乱
熟悉计算机的人都知道,正常的系统进程一般有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等等。而病毒木马正是利用这些进程名的不易察觉性,制造一个视觉上的混乱,以假乱真。你是否发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe等等。仔细一看是不是发现不对了?这就是病毒木马在进程中存在的一种常见形式。切记,在查看进程时要多留意一眼,也许在你的细心之下,病毒木马就无所遁形了。
手段二、冒名顶替
看起来好像和手段一没什么区别是吗?其实差别很大,这种手段算是比较高明了。我们来看一个进程:svchost.exe,是否和正常的系统进程名一模一样呢?通常这样大家都会觉得那就没问题了,应该没有病毒木马了。如果你这样认为的话,那你就有可能中招了!其实它只是利用了“任务管理器”中没有查看进程对应可执行文件这一功能而来一个冒名顶替而已。svchost.exe进程所对应的可执行文件应该位于以下目录下:“C:/WINDOWS/system32”(在2000系统下则是位于C:/WINNT/system32目录下)。这种手段的操作原理是:病毒木马将自身复制到“C:/WINDOWS/”目录中,并改名为“svchost.exe”,一次运行之后,我们在“任务管理器”中看到的就是新的一个svchost.exe进程了。所以在进程管理中若发现同名的进程很多,你就要小心了,坏家伙在作怪了。
手段三、借腹产子
这是病毒木马赖以生存的终极手段。这种手段的原理是:病毒木马采用进程植入技术,将运行所需的dll文件植入到正常的系统进程中,表面上基本看不出什么,实际上系统进程已经被控制了,除了借助专业的进程分析工具进行深度分析,一般很难对其进行识别和处理。
关于系统进程的分析,本博中有相关文章介绍了,这里就不再阐述了,希望有需要的人可以去参阅一下。下面我们一起看看常见被病毒木马利用作为它们使坏的对象吧。
1、svchost.exe
这个进程常被改名混淆的形式如下:svch0st.exe、schvost.exe、scvhost.exe。为了节省系统资源,WINDOWS系统将一些服务做成共享形式,都交由svchost.exe进程来启动。而系统服务又是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由它来调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:/WINDOWS/system32/clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:/WINDOWS/system32/svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:/WINDOWS/system32/svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实是多了系统服务而已。
在2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:/WINDOWS/system32”目录外,那么就可以判定是病毒了。
2、explorer.exe
这个进程常被改名混淆的形式如下:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:/Windows”目录,除此之外则为病毒。
3、iexplore.exe
这个进程常被改名混淆的形式如下:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。iexplore.exe进程对应的可执行程序位于C:/ProgramFiles/InternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,出现这种情况时最好是用杀毒软件进行查毒。
4、rundll32.exe
这个进程常被改名混淆的形式如下:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:/Windows/system32”,在别的目录则可以判定是病毒。
5、spoolsv.exe
这个进程常被改名混淆的形式如下:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果刷新系统进程还存在spoolsv.exe进程,这就一定是病毒木马了,不要留情,杀掉它!
***特别提醒:系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具,例如Procexp。Procexp可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假冒系统进程的病毒进程无处可藏。***
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 如何巧妙从进程信息中判断病毒和木马
- 常见病毒、木马进程速查表
- 巧妙从进程中判断出病毒和木马
- 巧妙从进程中判断出病毒和木马
- 巧妙从进程中判断出病毒和木马
- 练就金睛火眼 从进程中判断病毒和木马
- 常见病毒、木马进程速查表
- 常见病毒、木马进程速查表
- 看透进程真面目——病毒、木马手到擒来
- 巧妙的从Windows进程中判断出病毒和木马的三点突破
- [转] 病毒、木马进程查询手册
- 从进程中巧妙判断出病毒与木马
- 练就金睛火眼 从进程中判断病毒和木马
- 巧妙从进程中判断出病毒和木马的方法
- 练就金睛火眼 从进程中判断病毒和木马
- 常见病毒 木马进程速查表
- 从进程中判断出病毒和木马
- 教你从进程中判断出病毒和木马
- 【根据PID进程号查杀病毒木马】
- 怎么从进程判断病毒和木马?