安全巧妙从进程中判断病毒木马永恒

任何病毒和木马存在于系统中，都无法彻协调历程脱离关系，即使采用了潜匿手艺，也仍是能够年夜历程中找到蛛丝马迹，是以，查看系统中勾当的历程成为我们检测病毒木马最直接的体例。可是系统中同时运行的历程那么多，哪些是正常的系统历程，哪些是木马的历程，而经常被病毒木马冒充的系统历程在系统中又饰演着什么脚色呢？请看本文。

病毒历程潜匿三法

当我们确认系统中存在病毒，可是经由过程使命打点器查看系统中的历程时又找不出异样的历程，这声名病毒采用了一些潜匿法子，总结出滥暌剐三法：

1.以假乱真

系统中的正常历程有：e、e、e、e等，可能你发现过系统中存在这样的历程：e、e、e、e。对比一下，发现区别了么？这是病毒经常使用的手法，目的就是迷惑用户的眼睛。凡是它们会将系统中正常历程名的o改为0，l改为i，i改为j，然后成为自己的历程名，仅仅一字之差，意义却完全分歧。又或者多一个字母或少一个字母，例如e和e原本就轻易搞混，再呈现个 e就加倍杂乱了。如不美观用户不细心，一般就忽略了，病毒的历程就逃过了一劫。

2.偷梁换柱

如不美观用户斗劲心细，那么膳缦沔这招就没用了，病毒会被就地处死。于是乎，病毒也学聪了然，懂得了偷梁换柱这一招。如不美观一个历程的名字为e，和正常的系统历程名分毫不差。那么这个历程是不是就平安了呢？非也，其实它只是操作了使命打点器无法查看历程对应可执行文件这一缺陷。我们知道e历程对应的可执行文件位于C:WINDOWSsystem32目录下（Windows2000 则是C:WINNTsystem32目录），如不美观病毒将自身复制到C:WINDOWS中，并更名为e，运行后，我们在 使命打点器中看到的也是e，和正常的系统历程无异。你能分辩出其中哪一个是病毒的历程吗？

将这2万元正能量奖金转捐给慈善事业 3.借尸还魂

[page] 除了上文中的两种体例外，病毒还有一招最终年夜法借尸还魂。所谓的借尸还魂就是病毒采用了历程插入手艺，将病毒运行所需的dll文件插入正常的系统历程中，概况上看无任何可疑情形，本色上系统历程已经被病毒节制了，除非我们借助专业的历程检测工具，否则要想发现潜匿在其中的病毒是很坚苦的。

系统历程解惑

上文中提到了良多系统历程，这些系统历程到底有何浸染，其运行事理又是什么？下面我们将对这些系统历程进行一一讲解，相信在熟知这些系统历程后，就能成功破解病毒的以假乱真和偷梁换柱了。

e

常被病毒假充的历程名有：e、e、e。跟着Windows系统处事不竭增多，为了节约系统资本，微软把良多处事做成共享体例，交由e历程来启动。而系统处事是以动态链接库（DLL）形式实现的，它们把可执行轨范指向scvhost，由cvhost挪用响应处事的动态链接库来启动处事。我们可以打开节制面板打点工具处事，双击其中 ClipBook处事，在其属性面板中可以发现对应的可执行文件路径为C:e。再双击 Alerter处事，可以发现其可执行文件路径为C:e -k LocalService，而Server处事的可执行文件路径为C:e -k netsvcs。恰是经由过程这种挪用，可以省下不少系统资本，是以系统中呈现多个e，其实只是系统的处事而已。

在Windows2000系统中正常存在e历程，一个是RPCSS（RemoteProcedureCall） 处事历程，此吐矣闽则是由良多处事共享的一个e；而在WindowsXP中，则一般有4个以上的e处事历程。如不美观在xp和之前的系统中e历程的数目多于5个，就要小心了，很可能是病毒冒充的。可是到了Vista和Windows7时代，个svchost历程都是正常的！是否为系统正常历程的检测体例也很简单，使用一些历程打点工具，例如Vista优化巨匠的历程打点功能，查看e的可执行文件路径，如不美观在C:WINDOWSsystem32目录窃噩那么就可以剖断是病毒了。