当前位置:操作系统 > 玩转网络 >>

如何在电脑任务管理器中的进程里看病毒

朋友告诉我电脑一般进程都是二十多个,有的一看就是病毒,让我删掉,可我是个初级者,到底怎么才能看出来啊?看哪儿?

 通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同,经过这两点,普通的病毒进程一定会显露马脚,explorer,exe进程的作用就是让我们管理计算机中的资源,
  限于篇幅,关于罕见进程的引见就到这里,我们平时在反省进程的时分假设发现有可疑,只需依据两点来判别:1,细心反省进程的文件名;2,反省其途径,rundll32,exe的途径为“C:\Windows\system32”,在别的目录则可以判定是病毒,再双击“Alerter”效劳,可以发现其可执行文件途径为“C:\WINDOWS\system32\svchost,exe-kLocalService”,而“Server”效劳的可执行文件途径为“C:\WINDOWS\system32\svchost,exe-knetsvcs”,假设在“义务管理器”中将explorer,exe进程完毕,那么包括义务栏、桌面、以及翻开的文件都会统统消逝,单击“义务管理器”→“文件”→“新建义务”,输入“explorer,exe”后,消逝的东西又重新回来了,对比一下,发现区别了么?这是病毒经常运用的手段,目的就是迷惑用户的眼睛,我们引见过的系统进程svchost,exe、winlogon,exe等都附属于“SystemIdleProcess”,假设你在“explorer,exe”中发现了svchost,exe,那么不用说,一定是病毒冒充的,
  explorer,exe进程默许是和系统一同启动的,其对应可执行文件的途径为“C:\Windows”目录,除此之外则为病毒,随着Windows系统效劳不时增多,为了节省系统资源,微软把很多效劳做成共享方式,交由svchost,exe进程来启动,我们可以翻开“控制面板”→“管理工具”→效劳,双击其中“ClipBook”效劳,在其属性面板中可以发现对应的可执行文件途径为“C:\WINDOWS\system32\clipsrv,exe”,
  2,移花接木
  假设用户比拟心细,那么下面这招就没用了,病毒会被就地正法,我们知道svchost,exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录),假设病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost,exe,运转后,我们在“义务管理器”中看到的也是svchost,exe,和正常的系统进程无异,假设用户不细心,普通就疏忽了,病毒的进程就逃过了一劫,spoolsv,exe是系统效劳“PrintSpooler”所对应的可执行顺序,其作用是管理一切本地和网络打印队列及控制一切打印任务,其实rundll32,exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32,exeuser32,dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了,
  在Windows2000系统中普通存在2个svchost,exe进程,一个是RPCSS(RemoteProcedureCall)效劳进程,另外一个则是由很多效劳共享的一个svchost,exe;而在WindowsXP中,则普通有4个以上的svchost,exe效劳进程,此外,有时我们会发现没有翻开IE阅读器的状况下,系统中依然存在iexplore,exe进程,这要分两种状况:1,病毒冒充iexplore,exe进程名,正是经过这种调用,可以省下不少系统资源,因此系统中出现多个svchost,exe,其实只是系统的效劳而已,于是乎,病毒也学聪明了,懂得了移花接木这一招,
  rundll32,exe
  常被病毒冒充的进程名有:rundl132,exe、rundl32,exe,中止并封锁效劳后,假设系统中还存在spoolsv,exe进程,这就一定是病毒伪装的了,假设svchost,exe进程的数量多于5个,就要小心了,很能够是病毒冒充的,检测方法也很复杂,运用一些进程管理工具,例如Windows优化巨匠的进程管理功用,检查svchost,exe的可执行文件途径,假设在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了,explorer,exe就是我们经常会用到的“资源管理器”,
  系统进程解惑
  上文中提到了很多系统进程,这些系统进程究竟有何作用,其运转原理又是什么?下面我们将对这些系统进程停止逐一解说,置信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“移花接木”了,
  小贴士:在软件的主界面我们能够看不到进程名和进程所对应的可执行文件,我们可以点击其“检查”菜单→“选择列”,勾选“进程称号”和“映像途径”,确定保管即可,又或许多一个字母或少一个字母,例如explorer,exe和iexplore,exe原本就容易搞混,再出现个iexplorer,exe就愈加混乱了,
  iexplore,exe
  常被病毒冒充的进程名有:iexplorer,exe、iexploer,exeiexplorer,exe进程和上文中的explorer,exe进程名很相像,因此比拟容易搞混,其实iexplorer,exe是MicrosoftInternetExplorer所发生的进程,也就是我们平时运用的IE阅读器,你能区分出其中哪一个是病毒的进程吗?
  3,借尸还魂
  除了上文中的两种方法外,病毒还有一招终极易做图——借尸还魂,假设一个进程的名字为svchost,exe,和正常的系统进程名分毫不差,
  找个管理进程的好帮手
  系统内置的“义务管理器”功用太弱,一定不适宜查杀病毒,因此我们可以运用专业的进程管理工具,例如Procexp,所谓的借尸还魂就是病毒采用了进程拔出技术,将病毒运转所需的dll文件拔出正常的系统进程中,外表上看无任何可疑状况,实质上系统进程曾经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的,那么这个进程是不是就平安了呢?非也,其实它只是应用了“义务管理器”无法检查进程对应可执行文件这一缺陷,2,病毒偷偷在后台经过iexplore,exe干坏事,Procexp可以区分系统进程和普通进程,并且以不同的颜色停止区分,让冒充系统进程的病毒进程无处可藏,知道作用后识别起来应该就比拟容易了,iexplorer,exe进程名的扫尾为“ie”,就是IE阅读器的意思,假设你不存在打印机设备,那么就把这项效劳封锁吧,可以节省系统资源,因此出现这种状况还是赶快用杀毒软件停止查杀吧,rundll32,exe在系统中的作用是执行DLL文件中的外部函数,系统中存在多少个Rundll32,exe进程,就表示Rundll32,exe启动了多少个的DLL文件,
  explorer,exe
  常被病毒冒充的进程名有:iexplorer,exe、expiorer,exe、explore,exe,假设此效劳被停用,计算机上的打印将不可用,同时spoolsv,exe进程也会从计算机上消逝,而系统效劳是以静态链接库(DLL)方式完成的,它们把可执行顺序指向scvhost,由cvhost调用相应效劳的静态链接库来启动效劳,
  至于病毒采用的“借尸还魂”易做图——dll拔出技术,我们曾解说过破解方法,经过检查其dll文件的签名即可,这点异样可以在Procexp中做到,在此不再论述,
  运转Procexp后,进程会被分为两大块,“SystemIdleProcess”下属的进程属于系统进程,
  explorer,exe”下属的进程属于普通进程,
,病毒进程隐藏三法
  当我们确认系统中存在病毒,但是经过“义务管理器”检查系统中的进程时又找不出异常的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
  1,以假乱真
  系统中的正常进程有:svchost,exe、explorer,exe、iexplore,exe、winlogon,exe等,能够你发现过系统中存在这样的进程:svch0st,exe、explore,exe、iexplorer,exe、winlogin,exe,
  spoolsv,exe
  常被病毒冒充的进程名有:spoo1sv,exe、spolsv,exe,
  iexplore,exe进程对应的可执行顺序位于C:\ProgramFiles\InternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹停止了转移,
  svchost,exe
  常被病毒冒充的进程名有:svch0st,exe、schvost,exe、scvhost,exe

CopyRight © 2022 站长资源库 编程知识问答 zzzyk.com All Rights Reserved
部分文章来自网络,