任何病毒和木马都存在于系统中,不可能完全脱离进程。即使采用了隐藏技术,仍然可以从过程中发现线索。因此,检查系统中的活动进程成为我们检测病毒木马最直接的方法。但是系统中同时运行着这么多进程,哪些是正常的系统进程,哪些是木马进程,那些经常被病毒木马假冒的系统进程在系统中扮演着什么角色?
病毒进程隐藏的三种方法
当我们确认系统中有病毒,但通过‘任务管理器’查看系统中的进程却找不到任何奇怪的进程时,说明病毒采取了一些隐藏措施。有三种方法可以总结:
1.伪造事实
系统中的正常流程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等。也许你在系统中发现了这样的过程:svch0st.exe,explore.exe,iexplorer.exe,winlogin.exe。比较一下,找出区别?这是病毒经常用来迷惑用户的伎俩。通常他们会把系统中正常的进程名中的O改成0,L改成I,I改成J,然后变成自己的进程名。区别只是一个字,意义却完全不同。或者多一个字母或者少一个字母。例如,explorer.exe和iexplore.exe很容易混淆,如果出现另一个iexplorer.exe,情况会更加混乱。如果用户不小心,一般会被忽略,病毒的过程就逃逸了。
2.偷梁换柱
如果用户很小心,那么上面的招数就没用了,病毒会被当场执行。结果病毒也学会了聪明,懂得偷梁换柱的把戏。如果一个进程的名字是svchost.exe,它就和一个正常的系统进程的名字完全一样。那么这个过程安全吗?不是,其实只是利用了任务管理器无法查看进程对应的可执行文件的缺陷。我们知道svchost.exe进程对应的可执行文件位于‘C:\ WINDOWS \ system32’目录下(在Windows2000中是C:\WINNT\system32目录)。如果病毒将自己复制到‘C:\ WINDOWS’并改名为svchost.exe,运行后,我们会在‘任务管理器’中看到svchost.exe,这是正常的。你能说出哪一个是病毒的过程吗?
3.从死亡中重生
除了以上两种方法,病毒还有另一个终极方案,——,让死人复活。所谓复活,就是病毒采用进程插入技术,将病毒运行所需的dll文件插入到正常的系统进程中。表面上看,并没有什么可疑的情况。本质上,系统进程已经被病毒控制了。除非使用专业的进程检测工具,否则很难发现隐藏在其中的病毒。
& & &如果我们平时检查流程的时候发现了可疑的地方,只要根据两点来判断就可以了:
1.仔细检查进程的文件名;
2.检查它的路径。
