系统安全:如何巧妙从进程信息中 判断病毒和木马+ T3 T G# F& S& [& u" R3 ~
$ S. u7 J6 B9 {! z1 w2 Y* M
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
& f3 s. `, Z: ^9 [1 [/ `( J0 \/ ~) f
病毒进程隐藏三法 Q3 y, L5 g7 m9 ]
1.以假乱真 7 V9 t D" B# k# w3 l8 R
" ~: J( f! K/ r' a5 e
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
* E# o/ T7 T! l( |# x" N5 b8 p. s
7 |' @1 N- I# p/ n( t3 C2.偷梁换柱 " b) ^- j0 C+ a, g6 Y
- |8 _+ H( y; e8 E3 B
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录),如果病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
0 V; t4 T/ w1 {; J/ q
$ W9 y% ]. S5 n$ l# L( Z$ }- a1 [) [3.借尸还魂 7 I' B3 ]% c( a
+ Y; I5 A* h( m' \
除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。
2 T$ G$ c4 g, A- ~$ b) B% O
- @! F1 K0 V, W% j: k- ~; M, a系统进程解惑 5 a5 e/ X# j+ _/ i2 c6 d4 @+ ]9 f
上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
" X/ V: _. U1 j/ l/ F1 f
9 b8 l3 b1 Q5 x$ Z/ ~. hsvchost.exe
. ? \& o/ @2 A9 R) T: P& e; W, y2 f2 B6 ?% R
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。 * g$ a+ J) t) z+ W8 n
# g {7 W& V+ B/ Y/ v5 ^
在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。
+ `$ y" V2 `, c. ^+ V) L( w0 e4 G0 Z9 T
8 N- D, \2 E6 r1 I$ Q5 Z0 G( o Cexplorer.exe
* v3 B. }' F6 Z: t7 l* u# _$ w" h
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
( v( D% {# q r. _5 B. [# ?- @! p5 |8 ^
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。
( \0 L' g& z) w6 W- l/ b2 d8 u4 r7 H7 b6 g, Q) w
iexplore.exe
9 D) B* ?- ~6 z' T/ K( j4 i) ~5 A
2 t" h; o4 b4 c0 l7 K. _ ` 常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。 8 X0 \. k, f" C& m
( {: x5 [0 c; e+ A- W5 }3 {" o% i
iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。
7 L0 ~. Y2 v5 N/ Z% [6 l$ `9 Q. S0 A% @3 t% E& X/ r* G1 ]
rundll32.exe 0 h/ G% g9 [2 j+ H2 g$ x M
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”,在别的目录则可以判定是病毒。 & S1 C. @! B# K8 N1 m
- d! Y, S3 P2 e8 M$ M; x% A+ N4 ~) \# S: F
spoolsv.exe 7 ~7 y9 [8 [" B, y; K
4 V8 r0 [ Y" ~( v& U0 I5 ?
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
: Q! L$ Z3 z7 j) s1 A# j @/ ~9 H9 v' x8 j
限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:
& m- Q( Q0 n @2 c. y
9 g+ h% H' V/ G! ~1 _ 1.仔细检查进程的文件名; {+ {/ V4 y& g+ [3 i+ T9 N
, k- M& ]' B+ [+ B+ K- p2 Y 2.检查其路径。 3 e, Q, T# s+ q
! Y% ]2 k6 U; h6 q 通过这两点,一般的病毒进程肯定会露出马脚。
- x, f5 k6 L- K; a
) o5 N/ y' K. ?* V THE END
" e/ F0 K$ ?2 O: Z9 G+ a2 `0 U- P l; p1 m! v1 c
P.S.现在令人头疼的木马几乎无孔不入,希望这篇转帖能对大家有所帮助:水草舞: |
发表于 2007-8-11 13:22:21
