首页 > 范文大全 > 正文

“脆弱”的系统进程

开篇:润墨网以专业的文秘视角,为您筛选了一篇“脆弱”的系统进程范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!

病毒、木马的伎俩之一就是攻击系统进程,或是伪装或是注入,降低人们的警惕性。如果能对常用的进程有些初步了解,就能掌握判断恶意进程的基本手段。

自从家里上网后,小蔡中过几次木马病毒,每次请高手来检查,都看到他先按下“Ctrl+Alt+Del”键,打开任务管理器查看进程。两三次后小蔡就学会了,可是当他自己打开以后,哇,这么多奇奇怪怪的名字,都是些什么啊(图1)?

看来啊,这个高手还不是那么容易当的。还有两个问题小蔡也想不明白,用户名为SYSTEM的就是系统进程了吧,为什么病毒木马经常盯着它们呢?它们为什么那么“脆弱”,一招就死?

小蔡打开任务管理器之后,虽然看不大明白,但也努力去熟悉。怎么有两个SVCHOST.EXE,不对,是三个……他点了一下按映像名称排序(图2),哗,一共是5个SVCHOST.EXE。这太奇怪了!

小蔡还注意到名称一样的“SVCHOST.EXE”对应的“用户名”却不相同,又增加了一些可疑。那么,SVCHOST.EXE到底是哪路神仙?是正常的系统进程还是感染了木马、病毒呢?

放服务的CD机

赶忙打个电话给高手,没想到他哈哈大笑,然后给小蔡慢慢说明。其实,SVCHOST.EXE是Windows 2000/XP/2003等操作系统中独有的进程,它是Service Host(服务宿主)的缩写。

在系统中有很多被称作“服务”的模块,当操作系统正常运行时,各个功能都是由这些“服务”合作完成的。这些“服务”是一些扩展名为DLL的动态链接库文件,它们不像可执行程序(*.exe、*.bat等)那样能够直接运行,而是要一个专用的程序来启动,这个程序就是SVCHOST.EXE了。

如果还不容易理解,你可以把系统中的每个服务比喻成一张音乐CD或是VCD光盘,而要想播放这些光盘,就需要相应的播放机,SVCHOST.EXE就是专门用来播放这些光盘(服务)的播放机了。

各司其职

原来如此,小蔡有些明白了,第一个问题解决。那么为什么会同时出现这么多个SVCHOST.EXE?

系统会运行多个SVCHOST.EXE,分别来负责不同性质的服务。就好比光盘分为音乐CD、VCD、SVCD、DVD等,播放这些不同格式的光盘就需要具备相应功能的播放机。这些SVCHOST.EXE相互分工很明确。

打开“ 开始”“ 运行” 输入r e g e d i t,打开注册表编辑器,依次展开“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”,在左侧窗口便可以看到6个键值项,每个都代表一组服务,这样的每组服务启动时都会通过单独的SVCHOST.EXE进程来装载(图3)。

这么说来,Windows XP中应该可以看到6个SVCHOST.EXE了,怎么只有5个呢?这6组服务通常并不都是启动状态的,WindowsXP会有4~6个SVCHOST.EXE进程,而Windows 2000通常会有两个。

顺藤摸瓜 小蔡决定多了解点关于服务的知识,现在知道了6组服务,那么能查看这么服务做什么吗?不要再看注册表了啊,那个吓人,看得头晕。

通过注册表查看服务确实麻烦点,但能查到服务具体的文件。要简单的方法也有,单击“开始运行”,输入“services.msc”并回车即可打开服务管理器(图4)。

既然想刨根问底,就推荐你用一款软件参看。用《全能助手Windows服务管理专家》可以看到更详细的信息,比如运行文件名,服务文件名、版本号、服务作用以及发行公司。在这里可以清楚地看到运行这些服务的是SVCHOST.EXE(图5)。

不能放松警惕

虽然了解了SVCHOST.EXE的来龙去脉,但它和病毒也不是完全没有关系哦。由于它可以启动服务,所以黑客们也挖空心思地借用它入侵、破坏电脑,将自己编写的病毒、木马程序伪装成SVCHOST.EXE迷惑用户,或者自身伪装成服务欺骗SVCHOST.EXE。

如果怀疑系统可能感染了病毒,SVCHOST.EXE异常,可以在系统中搜索一下“SVCHOST.EXE”,该文件只存在于“C:\Windows\System32”目录下,如果在其他目录下也找到了,那就十分可疑了,最好立即用杀毒软件扫描系统。

要辨别伪装成服务的病毒也很方便,对了,就是使用上面介绍的软件来查看,发行公司、服务作用不明的十有八九是病毒。

还有一个出现很多数量的进程

小蔡想起来还看过有两个相似的进程,很可疑,现在就有一个“explorer.exe”的进程,以前还看到过iexplore.exe进程,也是同时出现过好几个。它俩长得如此像,是兄弟吗?

其实,iexplore.exe是MicrosoftInternet Explorer的主程序,打开IE浏览器后,在进程列表中便可以看到它。它的个数与当前打开的IE浏览器窗口数目一致。例如,如果你同时打开5个IE浏览器窗口,在进程列表中就会有5个“iexplore.exe”进程(图6)。

而与它长得相似的“explorer.exe”则是系统资源管理器对应的进程。它专门负责Windows系列系统中的开始菜单、任务栏、桌面和文件管理的,只有它正常运行时,才能系统的桌面。如果禁用该进程后,Windows桌面就无法使用,它是系统自动加载的。

因此,iexplore.exe与explorer.exe虽然长得非常相似,但它们却各自负责着不同的功能,一个是IE浏览器的程序,一个是资源管理器程序。

辨别真伪

这两个进程是系统中常驻的进程,因此,病毒制造者们也将目标瞄准了它们,如何判断它们是否为病毒的伪装呢?

方法一

仔细核对进程名称

很多病毒都使用了障眼法,将它们的名称更换一个非常相似的字母,例如,将字母“o”更换成数字“0”,将“i”更换为“l”等,如果不细心地看,肯定看不出它们之间的区别,除了使用字母更换伪装外,一些病毒则使用大、小写字母的手段来达到迷惑的目的,将“explorer.exe”更改成“EXPLORER.EXE”,甚至还有些病毒根据人们的语感习惯用“iexplorer.exe”。

如果看到进程列表中有疑似进程,首先,仔细地对照其名称,如果有上述情况之一,那个进程肯定是病毒进程。另外,如果你没有开启IE浏览器程序,在进程列表中存在外表类似“iexplore.exe”的进程,那百分之百是病毒程序的进程。

方法二

查看系统资源占用情况及文件所在位置

通常,病毒程序一旦运行后会疯狂地占用系统的资源,如果发现某个可疑进程占用了系统资源(CPU、内存)非常大,可以初步判定其为病毒进程。

正常情况下,iexplore.exe通常占用的内存大小为5MB左右,explorer.exe占用约12MB,这个数据会随着系统运行的软件多少而上下浮动,可以作为参考。

另外,iexplore.exe进程对应的可执行程序在IE安装目录(通常为C:\Program Files\Internet Explorer),如果感觉系统不对劲时,可以使用搜索功能来搜索,如果在其他文件夹中搜索出多个可疑的类似名称的程序,则说明有可能是病毒程序。

相应的,e x p l o r e r . e x e 通常位于C: \WINDOWS目录中,也可以通过这个方法来判断。

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文