電腦病毒隱藏揪出方法介紹
在千千萬萬的網(wǎng)民中,相信每個人都或多或少遭受過病毒de侵襲,雖然大多de用戶都安裝有殺毒軟件,但是目前病毒de發(fā)展趨勢是首先針對殺毒軟件,一旦判斷出殺毒軟件第一步就是先干掉殺毒軟件。下面由學(xué)習(xí)啦小編給你做出詳細(xì)的電腦病毒隱藏揪出方法介紹!希望對你有幫助!
電腦病毒隱藏揪出方法介紹:
電腦病毒隱藏揪出方法一、
首先描述下最基本de系統(tǒng)進(jìn)程,也就是說,這些進(jìn)程是系統(tǒng)運(yùn)行de基本條件,有了這些進(jìn)程,系統(tǒng)就能正常運(yùn)行。
smss.exe:Windows操作系統(tǒng)de一部分。該進(jìn)程調(diào)用對話管理子系統(tǒng)和負(fù)責(zé)操作你系統(tǒng)de對話(系統(tǒng)服務(wù));
alg.exe:Windows操作系統(tǒng)自帶de程序。它用于處理微軟Windows網(wǎng)絡(luò)連接共享和網(wǎng)絡(luò)連接防火墻(系統(tǒng)服務(wù));
csrss.exe:微軟客戶端/服務(wù)端運(yùn)行時子系統(tǒng)。該進(jìn)程管理Windows圖形相關(guān)任務(wù)(系統(tǒng)服務(wù));
winlogon.exe:Windows登陸管理器,用于處理系統(tǒng)de登陸和登陸過程(系統(tǒng)服務(wù));
services.exe:是Windows操作系統(tǒng)de一部分。用于管理啟動和停止服務(wù)。該進(jìn)程也會處理在計算機(jī)啟動和關(guān)機(jī)時運(yùn)行de服務(wù)(系統(tǒng)服務(wù));
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動程序。(系統(tǒng)服務(wù)) 產(chǎn)生會話密鑰以及授予用于交互式客戶/服務(wù)器驗證de服務(wù)憑據(jù)(ticket)。(系統(tǒng)服務(wù));
svchost.exe:是一個屬于微軟Windows操作系統(tǒng)de系統(tǒng)程序,包含很多系統(tǒng)服務(wù),用于執(zhí)行DLL文件(系統(tǒng)服務(wù))。系統(tǒng)中根據(jù)啟動de服務(wù)多少,該進(jìn)程數(shù)量也會不同,一般在4-5個左右。
spoolsv.exe:用于將Windows打印機(jī)任務(wù)發(fā)送給本地打印機(jī).(學(xué)習(xí)電腦技術(shù),計算機(jī)網(wǎng)絡(luò)技術(shù),電腦入門請到http://www.woaidiannao.com)
explorer.exe:Windows程序管理器或者Windows資源管理器,它用于管理Windows圖形殼,包括開始菜單、任務(wù)欄、桌面和文件管理;
rundll32.exe:用于在內(nèi)存中運(yùn)行DLL文件,它們會在應(yīng)用程序中被使用;
internat.exe:Windows多語言輸入程序,托盤區(qū)de拼音圖標(biāo),附加de系統(tǒng)進(jìn)程(這些進(jìn)程不是必要de,你可以根據(jù)需要通過服務(wù)管理器來增加或減少);
ctfmon.exe:Microsoft Office產(chǎn)品套裝de一部分。它可以選擇用戶文字輸入程序,和微軟Office XP語言條。這不是純粹de系統(tǒng)程序,但是如果終止它,可能會導(dǎo)致不可知de問題;
mdm.exe:indows進(jìn)程除錯程序。用于使用可視化腳本工具對Internet Explorer除錯(系統(tǒng)服務(wù));
mstask.exe Windows計劃任務(wù)程序。它用于管理計劃任務(wù),包括備份和更新,定時運(yùn)行。如果你刪除該進(jìn)程,計劃任務(wù)將無法運(yùn)行(系統(tǒng)服務(wù));
regsvc.exe:Windows服務(wù)集中de一個系統(tǒng)服務(wù)。它用于遠(yuǎn)程計算機(jī)訪問本地注冊表。一些本地程序也能夠通過該服務(wù)編輯注冊表 (系統(tǒng)服務(wù));
winmgmt.exe:提供系統(tǒng)管理信息(系統(tǒng)服務(wù))。
inetinfo.exe:通過 Internet 信息服務(wù)de管理單元提供 FTP 連接和管理。(系統(tǒng)服務(wù))
tlntsvr.exe:允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺程序。(系統(tǒng)服務(wù))
tftpd.exe:實(shí)現(xiàn) TFTP Internet 標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)不要求用戶名和密碼。遠(yuǎn)程安裝服務(wù)de一部分。(系統(tǒng)服務(wù))
termsrv.exe:提供多會話環(huán)境允許客戶端設(shè)備訪問虛擬de Windows 2000
dns.exe:應(yīng)答對域名系統(tǒng)(DNS)名稱de查詢和更新請求(系統(tǒng)服務(wù))。
電腦病毒隱藏揪出方法二、
以下服務(wù)很少會用到,如果不是必要de可以停止:
tcpsvcs.exe:提供在 PXE 可遠(yuǎn)程啟動客戶計算機(jī)上遠(yuǎn)程安裝 Windows2000 Professional de能力(系統(tǒng)服務(wù));
ismserv.exe 允許在 Windows Advanced Server 站點(diǎn)間發(fā)送和接收消息(系統(tǒng)服務(wù));
ups.exe:管理連接到計算機(jī)de不間斷電源(UPS)(系統(tǒng)服務(wù));
wins.exe:為注冊和解析 NetBIOS 型名稱de TCP/IP 客戶提供 NetBIOS名稱服務(wù)(系統(tǒng)服務(wù));
llssrv.exe:Microsoft Windows Server版de一部分,用于許可登陸服務(wù)(系統(tǒng)服務(wù));
ntfrs.exe:在多個服務(wù)器間維護(hù)文件目錄內(nèi)容de文件同步(系統(tǒng)服務(wù));
RsSub.exe:控制用來遠(yuǎn)程儲存數(shù)據(jù)de媒體(系統(tǒng)服務(wù));
locator.exe:管理 RPC 名稱服務(wù)數(shù)據(jù)庫(系統(tǒng)服務(wù));
lserver.exe:注冊客戶端許可證(系統(tǒng)服務(wù));
dfssvc.exe:管理分布于局域網(wǎng)或廣域網(wǎng)de邏輯卷(系統(tǒng)服務(wù));
clipsrv.exe:支持“剪貼簿查看器”,以便可以從遠(yuǎn)程剪貼簿查閱剪貼頁面(系統(tǒng)服務(wù));
msdtc.exe:并列事務(wù),是分布于兩個以上de數(shù)據(jù)庫,消息隊列,文件系統(tǒng),或其它事務(wù)保護(hù)資源管理器(系統(tǒng)服務(wù));
faxsvc.exe:幫助您發(fā)送和接收傳真(系統(tǒng)服務(wù));
cisvc.exe:Windows操作系統(tǒng)自帶de程序。它用于監(jiān)測CIDAEMON.exe內(nèi)存使用狀態(tài),防止可用內(nèi)存過低問題(系統(tǒng)服務(wù));
dmadmin.exe:磁盤管理請求de系統(tǒng)管理服務(wù)(系統(tǒng)服務(wù));
mnmsrvc.exe:允許有權(quán)限de用戶使用 NetMeeting 遠(yuǎn)程訪問 Windows 桌面(系統(tǒng)服務(wù));
netdde.exe:提供動態(tài)數(shù)據(jù)交換 (DDE) de網(wǎng)絡(luò)傳輸和安全特性(系統(tǒng)服務(wù));
smlogsvc.exe:配置性能日志和警報(系統(tǒng)服務(wù));
rsvp.exe:為依賴質(zhì)量服務(wù)(QoS)de程序和控制應(yīng)用程序提供網(wǎng)絡(luò)信號和本地通信控制安裝功能(系統(tǒng)服務(wù));
RsEng.exe:協(xié)調(diào)用來儲存不常用數(shù)據(jù)de服務(wù)和管理工具(系統(tǒng)服務(wù));
RsFsa.exe:管理遠(yuǎn)程儲存de文件de操作(系統(tǒng)服務(wù));
grovel.exe:掃描零備份存儲(SIS)卷上de重復(fù)文件,并且將重復(fù)文件指向一個數(shù)據(jù)存儲點(diǎn),以節(jié)省磁盤空間(系統(tǒng)服務(wù));
SCardSvr.exe:對插入在計算機(jī)智能卡閱讀器中de智能卡進(jìn)行管理和訪問控制(系統(tǒng)服務(wù));
snmp.exe:包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備de活動并且向網(wǎng)絡(luò)控制臺工作站匯報(系統(tǒng)服務(wù));
snmptrap.exe:接收由本地或遠(yuǎn)程 SNMP 代理程序產(chǎn)生de陷阱消息,然后將消息傳遞到運(yùn)行在這臺計算機(jī)上 SNMP 管理程序(系統(tǒng)服務(wù));
UtilMan.exe:從一個窗口中啟動和配置輔助工具 (系統(tǒng)服務(wù));
msiexec.exe:依據(jù) .MSI 文件中包含de命令來安裝、修復(fù)以及刪除軟件(系統(tǒng)服務(wù))。
電腦病毒隱藏揪出方法三、
容易被病毒利用de進(jìn)程
Explorer.exe,svchost.exe,spoolsv.exe,winlogon.exe,rundll32.exe。這幾個進(jìn)程除了spoolsv.exe打印進(jìn)程不是系統(tǒng)運(yùn)行必須de之外,其他全部都是保證系統(tǒng)運(yùn)行正常de進(jìn)程,而就是這些進(jìn)程也是最容易被病毒利用de。病毒大多建立跟上述進(jìn)程名稱類似de進(jìn)程,來欺騙用戶;或者將自身dedll模塊嵌入到這些系統(tǒng)進(jìn)程中。我們先從基礎(chǔ)de病毒進(jìn)程命名欺騙來著手,介紹下病毒進(jìn)程命名欺騙de大體方式。
以前一階段流行并造成嚴(yán)重破壞后果de威金病毒為例,她de主要病毒程序為:rundl132.exe,logo_1.exe,vdll.dll,logo1_.exe,exp10rer.exe等,看到這里我們不難發(fā)現(xiàn)系統(tǒng)de進(jìn)程為rundll32.exe,而病毒進(jìn)程為rundl132.exe。,區(qū)別在于系統(tǒng)de進(jìn)程是兩個“ll”而病毒de進(jìn)程是一個“l”一個數(shù)字“1”。另外一個系統(tǒng)進(jìn)程為explorer.exe,病毒進(jìn)程用數(shù)字“1”和“0”代替了系統(tǒng)進(jìn)程de字母“l”和“o”。
另外一個典型de例子是直到今天還在流行deU盤自動播放病毒,盡管這個病毒已經(jīng)產(chǎn)生了無數(shù)de變種,生成deexe文件名千奇百怪,但是在最初,她de病毒文件命名還是具備欺騙de性質(zhì)。她de病毒文件命名為svch0st.exe,通過上面de介紹,我們很容易就發(fā)現(xiàn)了她de欺騙方式:用數(shù)字“0”代替了系統(tǒng)進(jìn)程de字母“o”。
這里,我們介紹了一個最直觀de病毒命名方式,通過第一步de肉眼觀察,就能夠發(fā)現(xiàn)很多病毒de藏身所在,掌握了系統(tǒng)進(jìn)程de名稱,就擁有了基礎(chǔ)de病毒手動查殺能力。
看了“電腦病毒隱藏揪出方法介紹”文章的還看了: