从进程寻找木马的痕迹
对于进程这个概念,许多电脑用户都没有赐与太多存眷。在许多人印象里,只晓得结束进程可以杀去世步伐,至于哪些进程对应哪些步伐,究竟什么样的进程该杀,什么样的进程不克不及杀这些题目很少思量。这里经过几个实例为大家揭开进程的秘密面纱。
实例一:和进程的“表演者”交个朋侪
许多时间,我们并没有细致到体系中到底有几多进程。如果想相识进程的秘密,起首就必需和一些罕见体系进程交个朋侪,一旦掌握了它们,就能像侦探一样敏捷从进程名单中发明可疑的家伙。
在Windows 2000/XP中,Ctrl+Shift+Esc组合键能快速调出使命管理器,而Windows 9X为Ctrl+Alt+Del组合键。
1.“主角”进程
起首来熟悉一下体系中的基本进程,它们是体系运转的基本条件,一般情况下不克不及封闭它们,否则会导致体系崩溃。
Windows 2000/XP:smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同时存在多个)、spoolsv.exe、explorer.exe、System Idle Process;
Windows 9x:msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。
你晓得吗
进程与步伐
简单地说,每启动一个步伐,就启动了一个进程。在Windows 3.x中,进程是最小运转单元。在Windows 9X/2000/XP中,每个进程还可以启动几个线程,比如每下载一个文件可以独自开一个线程。在Windows 9X/2000/XP中,线程是最小单元。步伐是永存的,进程是临时的。举一个例子说:如果步伐是剧本,那么表演过程便是进程;如果步伐是菜谱,那么烹调过程便是进程。
人鬼情未了——Svchost.exe
它位于体系目次的System32文件夹,是从静态链接库(DLL)运转办事的一般性宿主进程。在使命管理器中,可能会看到多个Svchost.exe在运转,不要大惊小怪,这可能是多个DLL文件在调用它。不过,正因为云云,它也成为了病毒利用的对象,以前的“蓝色代码”病毒便是一例。别的,如果熏染了打击波病毒,体系也会提示“Svchost.exe呈现错误”。
如果要查看哪些办事正在利用Svchost.exe,对于Windows 2000可从其安置光盘的SupportToolsSupport.cab压缩包中,将Tlist.exe解压缩至任意目次,接着在“下令提示符”中进入Tlist.exe地点目次,输入“tlist -s”并回车(“tlist pid”下令可看到细致信息)。而在Windows XP则间接输入“Tasklist /SVC”查看进程信息(“Tasklist /fi "PID eq processID"”则可看到细致信息)。
2.“配角”进程
这些体系进程固然不是体系运转必需的,但也经常在进程列表中出头出面。如internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe,它们都是正常的体系进程。
建议在安置完Windows后,点击“开始→步伐→附件→体系东西→体系信息”,在翻开的“体系信息”窗口中再点击“软件环境→正在运转使命”(在此进程列表中,可看到更细致的属性,其中步伐路径黑白常重要的信息),接着点击“操作→另存成文本文件”,当前体系呈现非常时则对照进行分析。别的,“优化大家”也提供了保存进程快照的功能。
实例二:查找木马的蛛丝马迹
许多木马和一些防护东西采用了双进程掩护手段,比方“Falling Star”木马就采用双进程形式,下面来看看如何发明它们。
第一步:翻开使命管理器。凭据和罕见进程比力,很显着会发明两个“熟悉的生疏人”(和体系基本进程名称相似,但不相同):“internet.exe”和“systemtray.exe”。请和上一实例中的”配角“进程比力。
第二步:翻开“体系信息”的“软件环境→正在运转使命”,查看路径信息,两者均指向WindowsSystem32目次,而且文件巨细、日期均相同,但从文件日期来看并不属于微软的体系文件。进入资源管理器查看其版本属性,固然公司标明为Microsoft,但与体系文件中的微软公司名称书写并不相同,基本可断定黑白法进程,而且为双进程形式。
第三步:在尝试结束进程时,第一次选择“systemtray.exe”来结束进程树,效果进程马上就再生了,使命管理器中又显示出这两个进程!于是再次选择“internet.exe”,然后结束进程树。进程没有再生,从而将木马进程从体系中清除。
实例三:真真假假体系进程
许多病毒和木马为制止从进程名称中发明它们的踪影,往往会采用“障眼法”,利用和体系文件或体系进程名称类似的进程名称。
1.文件名伪装
(1)修改罕见步伐或进程个别字符
比方,下面介绍的“Falling Star”木马的进程名称“internet.exe”就与输入法进程“internat.exe”非常相似。“WAY无赖小子”的办事端进程名称为“msgsvc.exe”,与体系基本进程“msgsrv32.exe”类似,另有Explorer.exe和Exp1orer.exe的区别,不仔细的话你能看出来吗?(数字“1”取代了字母“l”)
(2)修改扩展名
著名的冰河木马的办事端进程为Kernel32.exe,乍一看很熟悉,宛如是哪个体系进程,其实体系基础不存在这样一个文件,Windows 9x的基本进程中却有一个叫做“Kernel32.dll”的。诸云云类的另有“Shell32.exe”的木马进程是从“Shell32.dll”这个大家都很熟悉的文件“演化”而来的,实际在体系中都是不存在的。
2.路径伪装
Windows目次和System目次是体系焦点文件地点地,一般是“闲人免进”。因而,收支它们的文件一般都被人们认为是体系文件,而病毒和木马就借机将源文件放在这两个目次中。对于这类情况,一般只需要经过体系信息找到其源文件路径,翻开文件的属性,从日期(这个非常重要,可以看能否与体系文件日期一样)、版本、公司名称信息中即可看出破绽。没有哪个病毒、木马文件能计划得与体系文件完全一致。
实例四:优化体系从进程开始
除体系运转必需的基本进程外,每个步伐运转后都会在体系中天生进程,每个进程都会占用一定的CPU资源和内存资源。过多的进程和一些计划不良的进程就会导致体系变慢、功能降落,这时可对它们进行一下优化。
1.精简进程
体系中的一些进程并不是必需的,结束它们并不会对体系形成什么侵害。
比如:internat.exe(显示输入法图标)、systray.exe(显示体系托盘小喇叭图标)、ctfmon.exe(微软Office输入法)、mstask.exe(筹划使命)、sysexplr.exe(超级解霸伺服器)、winampa.exe(Winamp代理)、wzqkpick.exe(WinZip助手)等。
有一款叫做“进程杀手”的免费小东西,具备自动精简进程功能,可自动中断体系基本进程以外的所有进程。在猜疑电脑运转了某些黑客进程或病毒进程但又不克不及确定是哪一个时,该软件就可以有效清除那些非法进程。不过它只得当Windows 9x/Me。下载地点http://js-http.skycn.net:8080/down/prockiller_23.rar。
2.杀去世不良进程
有时你会发明体系运转速率特别慢,这时可翻开使命管理器,单击“进程”标签,点击“CPU”列标签让进程按CPU资源占用排序,可以很显着地看到资源占用最高的步伐。同样要领,可以点击“内存”列标签,查看那些内存占用大户,实时结束进程。
这里有一种情况比力特别:在查看CPU占用率时,一个叫做“System Idle Process”的进程会不停显示在90%左右。不用担忧,实际上它并没有占用这么多体系资源,单击“功能”标签可看到其实际的CPU资源占用情况。
★对于Windows 9x,利用使命管理器是无法像Windows 2000/XP那样看到所有进程以及CPU、内存占用情况,推荐利用Process Explorer(下载地点http://www.sysinternals.com/ntw2k/f...rocexp.shtml)。
★如果某个16位步伐影响了体系运转,而且去世活也关不掉,可进入使命管理器的进程选项卡,找到NTVDM.exe进程,将其关掉即可杀掉所有16位使用步伐,而不消重启。
3.优化软件或游戏功能
你还可以经过改变软件和游戏进程优先级来进步其功能,这样能使它们运转得更快,固然负作用便是可能影响到其他正在运转的进程。比如,为制止刻录缓存溢出题目形成刻录失败,可进入使命管理器的进程选项卡,找到并右击刻录软件的进程项,选择“设置优先级”,然后在弹出的子菜单中选择“高”。如果你不想每次都这样设置,可利用下面的要领。
第一步:翻开软件或游戏地点目次,比如:D:/game,在这里新建一个文本文件,在其中输入以下语句:
echo off
start /priority game.exe
说明:将priority更换为所需的CPU优先级,建议利用high(高)、abovenormal(高于尺度),因为它们的效果最好。将game.exe更换为软件或游戏的可实行文件名称,比如:stvoy.exe。
第二步:做完以上修改后将其保存为game.bat,现在就能经过这个文件来启动游戏或软件,而它将会使游戏或软件具有更高的CPU优先级。不过要细致的是,该文件必需要保存在游戏或软件地点目次 。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
