教你安全用电脑 识别进程中的隐藏木马
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
任何病毒和木马存在于电脑系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看病毒进程隐藏三法,他就能告诉您。
当我们确认系统中存在病毒,但是通过"任务管理器"查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
发现隐藏的木马进程直接手工删除病毒
一.以假乱真
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
常见系统进程解惑:
进程文件:svchost 或svchost.exe
进程描述:svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库(DLL) 中运行的服务的通用主机进程名称。这个程序对你系统的正常运行是非常重要,而且是不能被结束的。因为svchost进程启动各种服务,所
以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,但如果你的svchost.exe进程不是在C:\windows\system32\这个目录下的话,那么就要当心了。
进程文件:explorer 或explorer.exe
进程全称:Microsoft Windows Explorer
中文名称:微软windows资源管理器
进程描述:Windows 资源管理器,可以说是Windows 图形界面外壳程序,它是一个有用的系统进程。注意它的正常路径是C:\Windows 目录,否则可能是W32.Codered 或
W32.mydoom.b@mm 病毒。explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。
进程文件:iexplore 或iexplore.exe
进程名称:Microsoft Internet Explorer
进程描述:iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒,该病毒会终止你的反病毒软件,和一些Windows系统工具。
进程文件:winlogon 或winlogon.exe
进程名称:Microsoft Windows Logon Process
进程描述:Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。该进程的正常路径应是C:\Windows\System32 且是以SYSTEM 用户运行,若不是以上路径且不以SYSTEM 用户运行,则可能是sky.D@mm 蠕虫病毒,该病毒通过EMail 邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建SMTP 引擎在受害者的计算机上,群发邮件进行传播。
二.偷梁换柱
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了"任务管理器"无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于
"C:\WINDOWS\system32"目录下(Windows2000则是C:\WINNT\system32目录),如果病毒将自身复制到"C:\WINDOWS\"中,并改名为svchost.exe,运行后,我们在"任务管理器"中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
此时需要借助第三方软件来查看进程的所在目录,比较重要的系统进程,如:svchost.exe、winlogon.exe等,正常路径是C:\Windows\System32,如果不是那么就要小心了。
另外需要提醒大家注意的是,在选择用来查看进程或实现其它辅助功能的第三方软件时也要谨慎,不要随便安装一些不知名的小软件或系统插件,因为木马和病毒也往往会隐藏在
其中。目前大部分的知名杀毒软件或与杀软配套的安全助手类工具,都具备基本的系统维护功能,如垃圾文件清理、进程管理、系统修复、启动项管理等。
以瑞星卡卡安全助手为例,在进程管理功能中可以看到每个进程的对应命令行,安全助手已将所有进程进行了安全级别划分,智能识别出哪些是安全可靠的系统进程,哪些是无法判断的可疑进程和危险进程。
使用瑞星卡卡安全助手查看电脑进程
这样一来,面对众多进程就不会感到无从下手了,我们可以跳过所有安全进程,主要关注那些未被识别的进程,判断与其对应的可执行文件是否为已知程序。
三.借尸还魂
除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。
什么是进程插入技术?
在Windows中,每个进程都有自己的私有内存地址空间,当使用指针(一种访问内存的机制)访问内存时,一个进程无法访问另一个进程的内存地址空间,比如QQ在内存中存放了一张图片的数据,而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性,如果你的进程存在一个错误,改写了一个随机地址上的内存,这个错误不会影响另一个进程使用的内存。
对于用户来说,独立的地址空间使操作系统将变得更加健壮,因为一个应用程序无法破坏另一个进程或操作系统的运行。但仍有很多种方法可以打破进程的界限,访问另一个进程的地址空间,那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后,就可以对另一个进程为所欲为,比如盗QQ。
普通情况下,一个应用程序所接收的键盘、鼠标操作,别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢?木马首先将1个DLL文件插入到QQ的进程