任何病毒和木马存在于系统中,都无法彻协调历程脱离关系,即使采用了潜匿手艺,也仍是能够年夜历程中找到蛛丝马迹,是以,查看系统中勾当的历程成为我们检测病毒木马最直接的体例。可是系统中同时运行的历程那么多,哪些是正常的系统历程,哪些是木马的历程,而经常被病毒木马冒充的系统历程在系统中又饰演着什么脚色呢?请看本文。1 `% v; G/ X1 r+ V' N
病毒历程潜匿三法8 J7 S4 e3 E1 I9 f d! \4 U
当我们确认系统中存在病毒,可是经由过程“使命打点器”查看系统中的历程时又找不出异样的历程,这声名病毒采用了一些潜匿法子,总结出滥暌剐三法:7 o& H0 Y# o$ ?; n( i+ C, v. K
1.以假乱真
. n% Z3 r J4 W) Y, J 系统中的正常历程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的历程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的手法,目的就是迷惑用户的眼睛。凡是它们会将系统中正常历程名的o改为0,l改为i,i改为j,然后成为自己的历程名,仅仅一字之差,意义却完全分歧。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe原本就轻易搞混,再呈现个 iexplorer.exe就加倍杂乱了。如不美观用户不细心,一般就忽略了,病毒的历程就逃过了一劫。: T. P* ^. b- X% u7 C4 I2 j; k) _
2.偷梁换柱( f, m( C ^& n2 f0 i. {
如不美观用户斗劲心细,那么膳缦沔这招就没用了,病毒会被就地处死。于是乎,病毒也学聪了然,懂得了偷梁换柱这一招。如不美观一个历程的名字为svchost.exe,和正常的系统历程名分毫不差。那么这个历程是不是就平安了呢?非也,其实它只是操作了“使命打点器”无法查看历程对应可执行文件这一缺陷。我们知道svchost.exe历程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000 则是C:WINNTsystem32目录),如不美观病毒将自身复制到“C:WINDOWS”中,并更名为svchost.exe,运行后,我们在“ 使命打点器”中看到的也是svchost.exe,和正常的系统历程无异。你能分辩出其中哪一个是病毒的历程吗?6 s0 g' K/ r! B3 G
3.借尸还魂
' W ], R5 f( u0 ?. } 除了上文中的两种体例外,病毒还有一招最终年夜法——借尸还魂。所谓的借尸还魂就是病毒采用了历程插入手艺,将病毒运行所需的dll文件插入正常的系统历程中,概况上看无任何可疑情形,本色上系统历程已经被病毒节制了,除非我们借助专业的历程检测工具,否则要想发现潜匿在其中的病毒是很坚苦的。
/ e# n, y: f8 b" z 系统历程解惑- C/ v- U7 r/ U% D" g9 f
上文中提到了良多系统历程,这些系统历程到底有何浸染,其运行事理又是什么?下面我们将对这些系统历程进行一一讲解,相信在熟知这些系统历程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
8 r. a8 F# Y ]0 V8 `1 c' w' ~ svchost.exe) Q L; t9 @+ b1 s# c% b- i. u4 ]
常被病毒假充的历程名有:svch0st.exe、schvost.exe、scvhost.exe。跟着Windows系统处事不竭增多,为了节约系统资本,微软把良多处事做成共享体例,交由svchost.exe历程来启动。而系统处事是以动态链接库(DLL)形式实现的,它们把可执行轨范指向scvhost,由cvhost挪用响应处事的动态链接库来启动处事。我们可以打开“节制面板”→“打点工具”→处事,双击其中 “ClipBook”处事,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击 “Alerter”处事,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”处事的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。恰是经由过程这种挪用,可以省下不少系统资本,是以系统中呈现多个svchost.exe,其实只是系统的处事而已。
# H4 O0 m; ^; ?4 s7 I+ n 在Windows2000系统中正常存在svchost.exe历程,一个是RPCSS(RemoteProcedureCall) 处事历程,此吐矣闽则是由良多处事共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe处事历程。如不美观在xp和之前的系统中svchost.exe历程的数目多于5个,就要小心了,很可能是病毒冒充的。可是到了Vista和Windows7时代,8-12个svchost历程都是正常的!是否为系统正常历程的检测体例也很简单,使用一些历程打点工具,例如Vista优化巨匠的历程打点功能,查看svchost.exe的可执行文件路径,如不美观在“C:WINDOWSsystem32”目录窃噩那么就可以剖断是病毒了。 |
发表于 2012-8-3 00:11:48
