版块导航: 正在加载中...

登录注册

应《网络安全法》要求，自2017年10月1日起，未进行实名认证将不得使用互联网跟帖服务。为保障您的帐号能够正常使用，请尽快对帐号进行手机号验证，感谢您的理解与支持！

24小时热门版块排行榜

北京石油化工学院2026年研究生招生接收调剂公告

返回列表

当前主题已经存档。

当前只显示满足指定条件的回帖，点击这里查看本话题的所有回帖

jssunyz

至尊木虫 (文坛精英)

应助: 4 (幼儿园)
金币: 63551.5
红花: 18
沙发: 1
帖子: 31201
在线: 461.1小时
虫号: 323034
注册: 2007-03-12
性别: GG
专业: 会计与审计

[交流] 巧妙从进程中判断出病毒和木马【已搜索无重复】

任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看本文。

　　病毒进程隐藏三法

　　当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：

　　1.以假乱真

　　系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

　　2.偷梁换柱

　　如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下（Windows2000则是C:\WINNT\system32目录），如果病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？

　　3.借尸还魂

　　除了上文中的两种方法外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

　　系统进程解惑

　　上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

　　svchost.exe

　　常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”，而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。

　　在Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe；而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“C:\WINDOWS\system32”目录外，那么就可以判定是病毒了。

　　explorer.exe

　　常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建任务”，输入“explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。

　　explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:\Windows”目录，除此之外则为病毒。

　　iexplore.exe

　　常被病毒冒充的进程名有：iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像，因此比较容易搞混，其实iexplorer.exe是Microsoft Internet Explorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了，iexplorer.exe进程名的开头为“ie”，就是IE浏览器的意思。

　　iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中，存在于其他目录则为病毒，除非你将该文件夹进行了转移。此外，有时我们会发现没有打开IE浏览器的情况下，系统中仍然存在iexplore.exe进程，这要分两种情况：1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。

　　rundll32.exe

　　常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”，在别的目录则可以判定是病毒。

　　spoolsv.exe

　　常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序，其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，计算机上的打印将不可用，同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统资源。停止并关闭服务后，如果系统中还存在spoolsv.exe进程，这就一定是病毒伪装的了。

　　限于篇幅，关于常见进程的介绍就到这里，我们平时在检查进程的时候如果发现有可疑，只要根据两点来判断：

　　1.仔细检查进程的文件名；

　　2.检查其路径。

　　通过这两点，一般的病毒进程肯定会露出马脚。

　　找个管理进程的好帮手

　　系统内置的“任务管理器”功能太弱，肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具，例如Procexp。Procexp可以区分系统进程和一般进程，并且以不同的颜色进行区分，让假冒系统进程的病毒进程无处可藏。

　　运行Procexp后，进程会被分为两大块，“System Idle Process”下属的进程属于系统进程，

　　explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“System Idle Process”，如果你在“explorer.exe”中发现了svchost.exe，那么不用说，肯定是病毒冒充的。

回复此楼

» 猜你喜欢

327求调剂已经有8人回复
307求调剂已经有14人回复
283分求调剂已经有14人回复
一志愿211，0703化学305分求调剂已经有16人回复
环境专硕调剂已经有13人回复
293调剂已经有5人回复
338求调剂已经有8人回复
求材料调剂，一志愿郑州大学289分已经有17人回复
一志愿华南师范大学0702物理学305调剂已经有5人回复
求调剂已经有30人回复

1楼 2007-07-30 15:58:17

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

qla6008

金虫 (正式写手)

应助: 0 (幼儿园)
金币: 1403.3
帖子: 544
在线: 1.5小时
虫号: 294710
注册: 2006-11-11
性别: MM
专业: 临床药学、制剂、药检

谢谢楼主，学习了，但是专业的进程管理工具，例如Procexp；而Procexp进程管理工具在哪里下载？如何使用？

赞一下

回复此楼

3楼2007-07-30 21:21:50

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

查看全部 4 个回答

gxsddxj

木虫 (正式写手)

应助: 15 (小学生)
金币: 3190.2
红花: 4
帖子: 811
在线: 270.5小时
虫号: 409601
注册: 2007-06-22
性别: MM
专业: 无机材料化学

不错,学习了

回复此楼

莹儿认识你们是缘分.让我们共同提高

2楼2007-07-30 18:27:52

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

查看全部 4 个回答

最具人气热帖推荐 [查看全部]		作者	回/看	最后发表

[考研] 机械工程264学硕求调剂 +3	qiushangxian 2026-04-06	3/150	2026-04-08 01:53 by Linzejun
[考研] 273求调剂 +36	麦小叮当 2026-04-06	43/2150	2026-04-08 01:20 by 1018329917
[考研] 一志愿吉大化学327求调剂 +10	王王白石 2026-04-06	11/550	2026-04-07 23:54 by JourneyLucky
[考研] 计算机11408 287 求调剂 +3	LiLe5 2026-04-07	3/150	2026-04-07 23:15 by shanqishi
[考研] 一志愿哈工大，初试329，求环境科学与工程调剂！ +10	余未辛 2026-04-06	10/500	2026-04-07 15:44 by 上岸快快
[考研] 材料工程302分求调剂 +13	zyx上岸！ 2026-04-04	13/650	2026-04-07 11:14 by 诗与自由
[考研] 一志愿太原理工大学计算机技术专硕348，求调剂指导 +3	nexious 2026-04-05	3/150	2026-04-07 08:19 by jp9609
[考研] 考研调剂 +7	15615482637 2026-04-04	7/350	2026-04-06 22:56 by chenzhimin
[考研] 考研调剂 +3	Wwwwwww哇 2026-04-06	3/150	2026-04-06 20:55 by lbsjt
[考研] 一志愿南航，数一英一学硕317求调剂！！ +6	Acaciad 2026-04-04	6/300	2026-04-06 12:13 by 考研学校招点人
[考研] 调剂 +5	好好读书。 2026-04-01	5/250	2026-04-05 17:54 by liucky
[考研] 材料求调剂 +10	呢呢妮妮 2026-04-01	10/500	2026-04-04 23:12 by 无际的草原
[考研] 292求调剂 +11	2022080213 2026-04-04	13/650	2026-04-04 18:38 by macy2011
[考研] 334求调剂 +8	曾仰之 2026-04-03	8/400	2026-04-04 11:16 by w_xuqing
[考研] 338求调剂 +4	zzz，，r 2026-04-03	4/200	2026-04-03 16:39 by lijunpoly
[硕博家园] 求老师收留 +9	lllq123 2026-04-03	9/450	2026-04-03 13:48 by 呼吸都是减肥
[考研] 专硕 351 086100 也是考的材科基本科也是材料 +8	202451007219 2026-04-02	8/400	2026-04-03 09:50 by 蓝云思雨
[考研] 312 化工或制药调剂 +8	小小墨123 2026-04-02	9/450	2026-04-03 09:12 by zhouxiaoyu
[考博] 申博求助 +3	Reee1Llll 2026-04-01	3/150	2026-04-02 22:29 by 这是一个无聊的�
[考研] 266求调剂 +4	学员97LZgn 2026-04-02	4/200	2026-04-02 13:03 by yulian1987