设为首页收藏本站

龙城玩家网论坛-户外求生-文玩鉴赏-太原论坛-山西论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

微信扫码登录

使用验证码登录

用百度帐号登录

只需两步,快速登录

搜索
查看: 2166|回复: 0
打印 上一主题 下一主题

教你识别病毒喜欢伪装的一些进程

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-21 21:05:01 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  知道病毒经常冒充系统文件,让你防不胜防,所以,我们一定要认识进程里面病毒常用的、迷惑大家的一些进程程序,做到有所防,也要有所知才行。下面举的几个小例子也是常见的几种病毒喜欢的系统文件,不管怎么样,如果发现电脑出现异常先查看你的进程有没有出现问题,我有一篇文章教你从进程分析电脑是否中毒,相信你应该有所获。

  svchost.exe

  常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由 cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。

  在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall) 服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。

  explorer.exe

  常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。

  explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。

  iexplore.exe

  常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。

  iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1. 病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。

  rundll32.exe

  常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为 “C:\Windows\system32”,在别的目录则可以判定是病毒。

  spoolsv.exe

  常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时 spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。

  这里对进程的一些常见的病毒喜欢的也就介绍就到这里,我们平时在检查进程的时候如果发现有可疑,就要做出相应的判断:首先要仔细检查进程的文件名;然后再检查它的路径。通过这两点,一般的病毒进程肯定会露出马脚。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 用百度帐号登录

本版积分规则

小黑屋|手机版|Archiver|龙城玩家网 ( 晋ICP备12002025号-1 )|晋公网安备 14010702070511号   

GMT+8, 2024-11-27 14:23 , Processed in 0.139942 second(s), 22 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表