熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows系統管理 >> 正文

分析進程識別病毒木馬隱匿之術

2013-11-11 21:30:50  來源: Windows系統管理 

  年是木馬眾多的一年其不論從危害上還是隱藏性上都較以前的木馬有更大改進這對網民來說是個壞消息但正是木馬的改進推動了安全技術的進步其實無論木馬藏匿在計算機中何處都有其形可查再狡猾的木馬都無法將自身完全淹沒在進程中那麼利用查找進程發現木馬將是防馬殺馬的開始

  系統常見進程
    Windows XP系統中常用的進程有taskmgrexeWindows任務管理器是Windows任務管理執行者這是任務管理器的系統進程在正常情況下是沒有的只有當你使用 Ctrl+Alt+del組合鍵以後才能激活的系統進程explorerexeWindows Explorer用於控制Windows圖形Shell包括開始菜單任務欄桌面和文件管理該進程主要負責顯示系統桌面上的圖標以及任務欄spoolsvexeWindows打印任務控制程序svchostexeService Host Process是一個標准的動態連接庫主機處理服務lsassexe本地安全權限服務控制Windows安全機制servicesexe管理Windows服務winlogonexeWindows NT用戶登陸程序csrssexe客戶端服務子系統用以控制Windows圖形相關子系統systemWindows頁面內存管理進程smssexe該進程為會話管理子系統用以初始化系統變量MSDOS驅動名稱類似LPT以及COM調用Win殼子系統和運行在Windows登陸過程以上這些即為windows xp常用的系統進程

  病毒藏身方式
    查看進程的方式為CTRL+ALT+DELETE(打開任務管理器)打開後很多網民會發現裡面進程項目太多根本無法識別出哪些是正常的系統進程哪些是木馬改裝的進程這該如何是好?面對如此情況只有在了解系統對各種進程的需求與病毒常見的隱藏方式即可對症下藥手到馬除

  一系統進程偽裝svchostexeexplorerexeiexploreexewinlogonexe等如果在任務管理器中發現如下進程則需小心提防並進行分析svchstexeexploreexeiexplorerexewinloginexe等其都利用了偽裝法將系統中正常進程名的o改為l改為ii改為j然後成為自己的進程名以達以假亂真讓用戶無法識別的目的

  二進程插入技術此類病毒技術在系統進程中無法識別其將病毒自知運行所需的dll文件插入正常的系統進程中表面上看無任何可疑情況實質上系統進程已經被病毒控制了除非借助專業的進程檢測工具否則要想發現隱藏在其中的病毒是很困難的

  三進程替換法例如當一個病毒木馬潛身到計算機後將其名改為正常的系統文件名如svchostexe雖然與系統文件不在同一個目錄下但其運行後在系統進程中將與svchost系統文件同名與正常的系統進程名一模一樣此時用戶無法識別 

  部分進程詳解
    了解了病毒木馬進駐系統後是如何藏身的方法後這裡可對症下藥一步一步將病毒揪出系統而了解每個系統進程的作與運行原理將在很大程度上提高識別病毒木馬進程的精確度

  一svchostexe
    由於系統服務是以動態鏈接庫(DLL)形式實現的它們把可執行程序指向scvhost由cvhost調用相應服務的動態鏈接庫來啟動服務病毒常以此進程文件偽裝的有svchstexeschvostexescvhostexe等一個字符大小寫的變化即可以生存多種形態

  系統調用查看這裡可以依次打開控制面板管理工具→服務雙擊其中ClipBook服務在其屬性面板中可以發現對應的可執行文件路徑為C:\WINDOWS\system\clipsrvexe再雙擊Alerter服務可以發現其可執行文件路徑為C:\WINDOWS\system\svchostexe k LocalServiceServer服務的可執行文件路徑為C:\WINDOWS\system\svchostexe k netsvcs(圖一)

  

  

  當svchostexe的可執行文件路徑位於C:\WINDOWS\system目錄外那麼就可以判定是病毒偽裝

  系統進程線數Windows系統中一般存在個svchostexe進程一個是RPCSS(RemoteProcedureCall)服務進程另外一個則是由很多服務共享的一個svchostexeWindowsXP中則一般有到五個svchostexe服務進程如果svchostexe進程的數量多於此時用戶就要小心了很可能是病毒假冒的

  二explorerexe
    explorerexe進程的作用就是管理計算機中的資源其常被病毒冒充的進程名有iexplorerexeexpiorerexeexploreexeexplorerexe等

  系統進程停用後果如在[任務管理器]中將explorerexe進程結束那麼包括任務欄桌面以及打開的文件都會統統消失單擊任務管理器文件新建任務輸入explorerexe消失的界面將會重新回來 (圖二)

  

  

  系統調用查看explorerexe進程默認是和系統一起啟動的其對應可執行文件的路徑為C:\Windows目錄除此之外則為病毒 

  三iexploreexe
    iexplorerexe是Microsoft Internet Explorer所產生的進程即平常使用的IE浏覽器常被病毒冒充的進程名有iexplorerexeiexploerexeiexplorerexe等

  系統調用查看iexploreexe進程對應的可執行程序位於C:\ProgramFiles\InternetExplorer目錄中存在於其他目錄則為病毒除非用戶將該文件夾進行了轉移(圖三)

  

  

  系統中毒線程情況有時在沒有打開IE浏覽器的情況下會發現系統資源管理器中仍然存在iexploreexe進程此時用戶需注意此iexploreexe進程可能是病毒偽裝

  四rundllexe
    rundllexe在系統中的作用是執行DLL文件中的內部函數其可以控制系統中的一些dll文件常被病毒冒充的進程名有rundlexerundlexe

  系統調用查看命令提示符中輸入rundllexe userdllLockWorkStation回車後系統就會快速切換到登錄界面了(圖四)

  

  

  rundllexe的路徑為C:\Windows\system
 

  五spoolsvexe
    spoolsvexe是系統服務Print Spooler所對應的可執行程序其作用是治理所有本地和網絡打印隊列及控制所有打印工作常被病毒冒充的進程名有spoosvexespolsvexe

  系統服務停止後果假如此服務被停用計算機上的打印功能將不可用同時spoolsvexe進程也會從計算機上消失這裡建議停止該服務如果該服務停止後系統中還存在spoolsvexe進程那肯定就是病毒木馬在作怪(圖五)

  

  

  第三方檢測方案
    其實發現從進程中發現木馬病毒很簡單第一檢查進程的文件名第二檢查其路徑即可發現如果通過其系統平台無法查出其文件所在路徑那麼就需要通過第三方軟件來實現這裡以RogueCleanerexe惡意軟件清除助理為例打開該軟件利用左側的欄目中[系統進程清理]查看當前系統平台下所有進程項目的所在位置(圖六)
 
  

  

  對比上述的系統常用進程如發現其文件位置有所移動則應立即作出查殺處理或將其不能明確的進程輸入到各大搜索引擎中查看其結果可得知當前的進程是否違規

  編者按面對形形色色的系統進程網民只要多在留意那麼再狡猾的病毒木馬也難逃慧眼其最終將被趕出操作平台


From:http://tw.wingwit.com/Article/os/xtgl/201311/8633.html
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.