本站原创病毒、木马的伎俩之一就是攻击系统进程,或是伪装或是注入,降低人们的警惕性.如果能对常用的进程有些初步了解,就能掌握判断恶意进程的基本手段.
自从家里上网后,小蔡中过几次,每次请高手来检查,都看到他先按下“Ctrl+Alt+Del”键,打开任务管理器查看进程.两三次后小蔡就学会了,可是当他自己打开以后,哇,这么多奇奇怪怪的名字,都是些什么啊(图1)?
看来啊,这个高手还不是那么容易当的.还有两个问题小蔡也想不明白,用户名为SYSTEM的就是系统进程了吧,为什么病毒木马经常盯着它们呢?它们为什么那么“脆弱”,一招就死?
小蔡打开任务管理器之后,虽然看不大明白,但也努力去熟悉.怎么有两个SVCHOST.EXE,不对,是三个等他点了一下按映像名称排序(图2),哗,一共是5个SVCHOST.EXE.这太奇怪了!
小蔡还注意到名称一样的“SVCHOST.EXE”对应的“用户名”却不相同,又增加了一些可疑.那么,SVCHOST.EXE到底是哪路神仙?是正常的系统进程还是感染了木马、病毒呢?
放怎么写作的CD机
赶忙打个给高手,没想到他哈哈大笑,然后给小蔡慢慢说明.其实,SVCHOST.EXE是Windows 2000/XP/2003等操作系统中独有的进程,它是Service Host(怎么写作宿主)的缩写.
在系统中有很多被称作“怎么写作”的模块,当操作系统正常运行时,各个功能都是由这些“怎么写作”合作完成的.这些“怎么写作”是一些扩展名为DLL的动态链接库文件,它们不像可执行程序(*.exe、*.bat等)那样能够直接运行,而是要一个专用的程序来启动,这个程序就是SVCHOST.EXE了.
如果还不容易理解,你可以把系统中的每个怎么写作比喻成一张音乐CD或是VCD光盘,而要想播放这些光盘,就需要相应的播放机,SVCHOST.EXE就是专门用来播放这些光盘(怎么写作)的播放机了.
各司其职
原来如此,小蔡有些明白了,第一个问题解决.那么为什么会同时出现这么多个SVCHOST.EXE?
系统会运行多个SVCHOST.EXE,分别来负责不同性质的怎么写作.就好比光盘分为音乐CD、VCD、SVCD、DVD等,播放这些不同格式的光盘就需要具备相应功能的播放机.这些SVCHOST.EXE相互分工很明确.
打开“ 开始”→“ 运行” 输入r e g e d i t,打开注册表编辑器,依次展开“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”,在左侧窗口便可以看到6个键值项,每个都代表一组怎么写作,这样的每组怎么写作启动时都会通过单独的SVCHOST.EXE进程来装载(图3).
这么说来,Windows XP中应该可以看到6个SVCHOST.EXE了,怎么只有5个呢?这6组怎么写作通常并不都是启动状态的,WindowsXP会有4~6个SVCHOST.EXE进程,而Windows 2000通常会有两个.
顺藤摸瓜 小蔡决定多了解点关于怎么写作的知识,现在知道了6组怎么写作,那么能查看这么怎么写作做什么吗?不要再看注册表了啊,那个吓人,看得头晕.
通过注册表查看怎么写作确实麻烦点,但能查到怎么写作具体的文件.要简单的方法也有,单击“开始→运行”,输入“services.msc”并回车即可打开怎么写作管理器(图4).
既然想刨根问底,就推荐你用一款软件参看.用《全能助手Windows怎么写作管理专家》可以看到更详细的信息,比如运行文件名,怎么写作文件名、版本号、怎么写作作用以及发行公司.在这里可以清楚地看到运行这些怎么写作的是SVCHOST.EXE(图5).
不能放松警惕
虽然了解了SVCHOST.EXE的来龙去脉,但它和病毒也不是完全没有关系哦.由于它可以启动怎么写作,所以们也挖空心思地借用它入侵、破坏电脑,将自己编写的病毒、木马程序伪装成SVCHOST.EXE迷惑用户,或者自身伪装成怎么写作欺骗SVCHOST.EXE.
如果怀疑系统可能感染了病毒,SVCHOST.EXE异常,可以在系统中搜索一下“SVCHOST.EXE”,该文件只存在于“C:\Windows\System32”目录下,如果在其他目录下也找到了,那就十分可疑了,最好立即用杀毒软件扫描系统.
要辨别伪装成怎么写作的病毒也很方便,对了,就是使用上面介绍的软件来查看,发行公司、怎么写作作用不明的十有是病毒.
还有一个出现很多数量的进程
小蔡想起来还看过有两个相似的进程,很可疑,现在就有一个“explorer.exe”的进程,以前还看到过iexplore.exe进程,也是同时出现过好几个.它俩长得如此像,是兄弟吗?
其实,iexplore.exe是MicrosoftInter Explorer的主程序,打开IE浏览器后,在进程列表中便可以看到它.它的个数与当前打开的IE浏览器窗口数目一致.例如,如果你同时打开5个IE浏览器窗口,在进程列表中就会有5个“iexplore.exe”进程(图6).
而与它长得相似的“explorer.exe”则是系统资源管理器对应的进程.它专门负责Windows系列系统中的开始菜单、任务栏、桌面和文件管理的,只有它正常运行时,才能系统的桌面.如果禁用该进程后,Windows桌面就无法使用,它是系统自动加载的.
因此,iexplore.exe与explorer.exe虽然长得非常相似,但它们却各自负责着不同的功能,一个是IE浏览器的程序,一个是资源管理器程序.
辨别真伪
这两个进程是系统中常驻的进程,因此,病毒制造者们也将目标瞄准了它们,如何判断它们是否为病毒的伪装呢?
方法一
仔细核对进程名称
很多病毒都使用了障眼法,将它们的名称更换一个非常相似的字母,例如,将字母“o”更换成数字“0”,将“i”更换为“l”等,如果不细心地看,肯定看不出它们之间的区别,除了使用字母更换伪装外,一些病毒则使用大、小写字母的手段来达到迷惑的目的,将“explorer.exe”更改成“EXPLORER.EXE”,甚至还有些病毒根据人们的语感习惯用“iexplorer.exe”.
如果看到进程列表中有疑似进程,首先,仔细地对照其名称,如果有上述情况之一,那个进程肯定是病毒进程.另外,如果你没有开启IE浏览器程序,在进程列表中存在外表类似“iexplore.exe”的进程,那百分之百是病毒程序的进程.
方法二
查看系统资源占用情况及文件所在位置
通常,病毒程序一旦运行后会疯狂地占用系统的资源,如果发现某个可疑进程占用了系统资源(CPU、内存)非常大,可以初步判定其为病毒进程.
正常情况下,iexplore.exe通常占用的内存大小为5MB左右,explorer.exe占用约12MB,这个数据会随着系统运行的软件多少而上下浮动,可以作为参考.
另外,iexplore.exe进程对应的可执行程序在IE安装目录(通常为C:\Program Files\Inter Explorer),如果感觉系统不对劲时,可以使用搜索功能来搜索,如果在其他文件夹中搜索出多个可疑的类似名称的程序,则说明有可能是病毒程序.
相应的,e x p l o r e r . e x e 通常位于C: \WINDOWS目录中,也可以通过这个方法来判断.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文.
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文