快压

当前位置:首页 > 电脑技巧 > 正文

“Windows照妖镜”—让隐藏的病毒现形

浏览次数:|更新日期:2014年12月06日

  在千千万万的网民中,相信每个人都或多或少遭受过病毒de侵袭,虽然大多de用户都安装有杀毒软件,但是目前病毒de发展趋势是首先针对杀毒软件,一旦判断出杀毒软件第一步就是先干掉杀毒软件。面对这样de情况,手动查杀病毒就不可避免了。而手动查杀病毒de前提就是要结束掉病毒de进程和服务,否则病毒程序根本无法删除。那么,什么是病毒de进程呢,病毒de进程又具备哪些特点呢?了解了Windows系统进程之后,非系统de病毒进程就容易判断了。在此,结合实例介绍Windows操作系统进程和基础de病毒进程判断。一、首先描述下最基本de系统进程,也就是说,这些进程是系统运行de基本条件,有了这些进程,系统就能正常运行。
  smss.exe:Windows操作系统de一部分。该进程调用对话管理子系统和负责操作你系统de对话(系统服务);
  alg.exe:Windows操作系统自带de程序。它用于处理微软Windows网络连接共享和网络连接防火墙(系统服务);
  csrss.exe:微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务(系统服务);
  winlogon.exe:Windows登陆管理器,用于处理系统de登陆和登陆过程(系统服务);
  services.exe:是Windows操作系统de一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行de服务(系统服务);
  lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证de服务凭据(ticket)。(系统服务);
  svchost.exe:是一个属于微软Windows操作系统de系统程序,包含很多系统服务,用于执行DLL文件(系统服务)。系统中根据启动de服务多少,该进程数量也会不同,一般在4-5个左右。
  spoolsv.exe:用于将Windows打印机任务发送给本地打印机.(学习电脑技术,计算机网络技术,电脑入门请到)
  explorer.exe:Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理;
  rundll32.exe:用于在内存中运行DLL文件,它们会在应用程序中被使用;
  internat.exe:Windows多语言输入程序,托盘区de拼音图标,附加de系统进程(这些进程不是必要de,你可以根据需要通过服务管理器来增加或减少);
  ctfmon.exe:Microsoft Office产品套装de一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹de系统程序,但是如果终止它,可能会导致不可知de问题;
  mdm.exe:indows进程除错程序。用于使用可视化脚本工具对Internet Explorer除错(系统服务);
  mstask.exe Windows计划任务程序。它用于管理计划任务,包括备份和更新,定时运行。如果你删除该进程,计划任务将无法运行(系统服务);
  regsvc.exe:Windows服务集中de一个系统服务。它用于远程计算机访问本地注册表。一些本地程序也能够通过该服务编辑注册表 (系统服务);
  winmgmt.exe:提供系统管理信息(系统服务)。
  inetinfo.exe:通过 Internet 信息服务de管理单元提供 FTP 连接和管理。(系统服务)
  tlntsvr.exe:允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
  tftpd.exe:实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务de一部分。(系统服务)
  termsrv.exe:提供多会话环境允许客户端设备访问虚拟de Windows 2000
  dns.exe:应答对域名系统(DNS)名称de查询和更新请求(系统服务)。
  二、以下服务很少会用到,如果不是必要de可以停止:
  tcpsvcs.exe:提供在 PXE 可远程启动客户计算机上远程安装 Windows2000 Professional de能力(系统服务);
  ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息(系统服务);
  ups.exe:管理连接到计算机de不间断电源(UPS)(系统服务);
  wins.exe:为注册和解析 NetBIOS 型名称de TCP/IP 客户提供 NetBIOS名称服务(系统服务);
  llssrv.exe:Microsoft Windows Server版de一部分,用于许可登陆服务(系统服务);
  ntfrs.exe:在多个服务器间维护文件目录内容de文件同步(系统服务);
  RsSub.exe:控制用来远程储存数据de媒体(系统服务);
  locator.exe:管理 RPC 名称服务数据库(系统服务);
  lserver.exe:注册客户端许可证(系统服务);
  dfssvc.exe:管理分布于局域网或广域网de逻辑卷(系统服务);
  clipsrv.exe:支持剪贴簿查看器,以便可以从远程剪贴簿查阅剪贴页面(系统服务);
  msdtc.exe:并列事务,是分布于两个以上de数据库,消息队列,文件系统,或其它事务保护资源管理器(系统服务);
  faxsvc.exe:帮助您发送和接收传真(系统服务);
  cisvc.exe:Windows操作系统自带de程序。它用于监测CIDAEMON.exe内存使用状态,防止可用内存过低问题(系统服务);
  dmadmin.exe:磁盘管理请求de系统管理服务(系统服务);
  mnmsrvc.exe:允许有权限de用户使用 NetMeeting 远程访问 Windows 桌面(系统服务);
  netdde.exe:提供动态数据交换 (DDE) de网络传输和安全特性(系统服务);
  smlogsvc.exe:配置性能日志和警报(系统服务);
  rsvp.exe:为依赖质量服务(QoS)de程序和控制应用程序提供网络信号和本地通信控制安装功能(系统服务);
  RsEng.exe:协调用来储存不常用数据de服务和管理工具(系统服务);
  RsFsa.exe:管理远程储存de文件de操作(系统服务);
  grovel.exe:扫描零备份存储(SIS)卷上de重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(系统服务);
  SCardSvr.exe:对插入在计算机智能卡阅读器中de智能卡进行管理和访问控制(系统服务);
  snmp.exe:包含代理程序可以监视网络设备de活动并且向网络控制台工作站汇报(系统服务);
  snmptrap.exe:接收由本地或远程 SNMP 代理程序产生de陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序(系统服务);
  UtilMan.exe:从一个窗口中启动和配置辅助工具 (系统服务);
  msiexec.exe:依据 .MSI 文件中包含de命令来安装、修复以及删除软件(系统服务)。
  三、容易被病毒利用de进程
  Explorer.exe,svchost.exe,spoolsv.exe,winlogon.exe,rundll32.exe。这几个进程除了spoolsv.exe打印进程不是系统运行必须de之外,其他全部都是保证系统运行正常de进程,而就是这些进程也是最容易被病毒利用de。病毒大多建立跟上述进程名称类似de进程,来欺骗用户;或者将自身dedll模块嵌入到这些系统进程中。我们先从基础de病毒进程命名欺骗来着手,介绍下病毒进程命名欺骗de大体方式。
  以前一阶段流行并造成严重破坏后果de威金病毒为例,她de主要病毒程序为:rundl132.exe,logo_1.exe,vdll.dll,logo1_.exe,exp10rer.exe等,看到这里我们不难发现系统de进程为rundll32.exe,而病毒进程为rundl132.exe。,区别在于系统de进程是两个ll而病毒de进程是一个l一个数字1。另外一个系统进程为explorer.exe,病毒进程用数字1和0代替了系统进程de字母l和o。
  另外一个典型de例子是直到今天还在流行deU盘自动播放病毒,尽管这个病毒已经产生了无数de变种,生成deexe文件名千奇百怪,但是在最初,她de病毒文件命名还是具备欺骗de性质。她de病毒文件命名为svch0st.exe,通过上面de介绍,我们很容易就发现了她de欺骗方式:用数字0代替了系统进程de字母o。
  这里,我们介绍了一个最直观de病毒命名方式,通过第一步de肉眼观察,就能够发现很多病毒de藏身所在,掌握了系统进程de名称,就拥有了基础de病毒手动查杀能力。
  “Windows照妖镜”—让隐藏病毒现形的Windows进程及服务来自: