[转帖] 从进程判断病毒和木马

从进程判断病毒和木马

　　http://my.jingyan.qihoo.com/u/4558498/article_6939822.html
　　任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看本文。
　　病毒进程隐藏三法
　　当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：
　　1.以假乱真
　　系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。
　　2.偷梁换柱
　　如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“c:\windows\system32”目录下（windows2000则是c:\winnt\system32目录），如果病毒将自身复制到“c:\windows\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？
　　3.借尸还魂
　　除了上文中的两种方法外，病毒还有一招终极a——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。
　　系统进程解惑
　　上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
　　svchost.exe
　　常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(dll)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“clipbook”服务，在其属性面板中可以发现对应的可执行文件路径为“c:\windows\system32\clipsrv.exe”。再双击“alerter”服务，可以发现其可执行文件路径为“c:\windows\system32\svchost.exe-klocalservice”，而“server”服务的可执行文件路径为“c:\windows\system32\svchost.exe-knetsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。
　　在windows2000系统中一般存在2个svchost.exe进程，一个是rpcss(remoteprocedurecall)服务进程，另外一个则是由很多服务共享的一个svchost.exe；而在windowsxp中，则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“c:\windows\system32”目录外，那么就可以判定是病毒了。
　　explorer.exe
　　常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建任务”，输入“explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
　　explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“c:\windows”目录，除此之外则为病毒。
　　iexplore.exe
　　常被病毒冒充的进程名有：iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像，因此比较容易搞混，其实iexplorer.exe是microsoftinternetexplorer所产生的进程，也就是我们平时使用的ie浏览器。知道作用后辨认起来应该就比较容易了，iexplorer.exe进程名的开头为“ie”，就是ie浏览器的意思。
　　iexplore.exe进程对应的可执行程序位于c:\programfiles\internetexplorer目录中，存在于其他目录则为病毒，除非你将该文件夹进行了转移。此外，有时我们会发现没有打开ie浏览器的情况下，系统中仍然存在iexplore.exe进程，这要分两种情况：1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。
　　rundll32.exe
　　常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行dll文件中的内部函数，系统中存在多少个rundll32.exe进程，就表示rundll32.exe启动了多少个的dll文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在“命令提示符”中输入“rundll32.exeuser32.dll,lockworkstation”，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为“c:\windows\system32”，在别的目录则可以判定是病毒。
　　spoolsv.exe
　　常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“printspooler”所对应的可执行程序，其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，计算机上的打印将不可用，同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统资源。停止并关闭服务后，如果系统中还存在spoolsv.exe进程，这就一定是病毒伪装的了。
　　限于篇幅，关于常见进程的介绍就到这里，我们平时在检查进程的时候如果发现有可疑，只要根据两点来判断：
　　1.仔细检查进程的文件名；
　　2.检查其路径。
　　通过这两点，一般的病毒进程肯定会露出马脚。
　　找个管理进程的好帮手
　　系统内置的“任务管理器”功能太弱，肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具，例如procexp。procexp可以区分系统进程和一般进程，并且以不同的颜色进行区分，让假冒系统进程的病毒进程无处可藏。
　　运行procexp后，进程会被分为两大块，“systemidleprocess”下属的进程属于系统进程，explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“systemidleprocess”，如果你在“explorer.exe”中发现了svchost.exe，那么不用说，肯定是病毒冒充的。
　　（转帖）

　　　　电脑中毒六招急救
　　　　2008.2.18.《市场报》2008.2.22.每周文摘转
　　一、正在上网的用户，发现异常应首先马上断开连接
　　如果你发现 ie 经常询问你是否运行某些activex控件，或是生成莫明其妙的文件、询问调试脚本什么的，一定要警惕了，你可能已经中招了。典型的上网被入侵有两种情况：
　　1、是浏览某些带恶意代码的网页时被修改了浏览器的默认主页或是标题，这算是轻的；还有就是遇到可以格式化硬盘或是令你的windows不断打开窗口，直到耗尽资源死机，你未保存和已经放在硬盘上的数据都可能会受到部分或全部损失。
　　2、是黑客的潜在的木马发作，或是蠕虫类病毒发作，让你的机器不断地向外界发送你的隐私或是利用你的名义和邮件地址发送垃圾，进一步传播病毒；还有就是黑客的手工入侵，窥探你的隐私或是删除破坏你的文件。
　　处理办法：马上断开连接，这样能将自己的损失降低的同时，也避免了病毒向更多的在线电脑传播。请先不要马上重新启动系统或是关机，进一步的处理措施请参看后文。
　　二、中毒后，应马上备份转移文档和邮件等
　　中毒后运行杀毒软件清除，但为了防止杀毒软件误杀或是删掉你还未处理完的文档和重要的邮件，你应该首先将它们转移备份到其他储存媒体上。有些长文件名的文件和未处理的邮件要求在windows下备份，所以第一点建议先不要退出windows。
　　不管这些文件是否带毒了，你都应该备份，用标签纸标记为待查即可。等你清除完硬盘内的病毒后，再来慢慢分析处理这些额外备份的文件较为妥善。
　　三、需要在windows下先运行一下杀cih类病毒的软件
　　如果是发现了cih类病毒的，要注意不能完全按平时报刊和手册建议的措施，先关机、冷启动用系统盘来引导再杀毒，应在带毒的环境下也运行一次专杀cih的软件。这样做，杀毒软件可能会报告某些文件在受读写保护无法清理，但带毒运行的实际目的不在于完全清除病毒，而是在于把cih下次开机时候的破坏减到最低，以防它再次开机破坏主板的bios硬件，那么就会黑屏，让你的下一步杀毒无法进行。
　　四、需要干净的dos启动盘和dos下面的杀毒软件
　　关机后冷启动，用一张干净的dos启动盘引导；由于中毒后可能windows已被破坏了部分关键文件，会频繁地非法操作，所以windows下的杀毒软件可能会无法运行。请也备一个dos下面的杀毒软件以防万一。
　　即使能在windows下运行杀毒软件的，也请用两种以上工具交叉清理。在多数情况下windows可能要重装。
　　五、如果有ghost和分区表、引导区的备份，用之来恢复一次最保险。
　　如果你在平时作了windows的ghost备份，用之来镜像一次，得到的操作系统是最保险的。这样连潜在的未杀光的木马程序也顺便清理了，当然，这要求你的ghost备份是绝对可靠的。
　　六、再次恢复系统后，更改你的网络相关密码
　　包括登录网络的用户名、密码，邮箱的密码和qq等，防止黑客已在上次入侵过程中知道了你的密码。另外因为很多蠕虫病毒发作会向外随机发送你的信息，适当的更改是必要的。
　　（转帖）