如何找出藏匿的电脑病毒
系统中同时执行的程序那么多,哪些是正常的系统程序,哪些是木马的程序,而经常被病毒木马假冒的系统程序在系统中又扮演着什么角色呢?下面由我给你做出详细的找出藏匿电脑病毒方法介绍!希望对你有帮助!
找出藏匿电脑病毒方法介绍:
病毒程序隐藏三法
当我们确认系统中存在病毒,但是通过“工作管理员”检视系统中的程序时又找不出异样的程序,这说明病毒采用了一些隐藏措施,总结出来有三法:
1.以假乱真
系统中的正常程序有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的程序:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑使用者的眼睛。通常它们会将系统中正常程序名的o改为0,l改为i,i改为j,然后成为自己的程序名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果使用者不仔细,一般就忽略了,病毒的程序就逃过了一劫。
2.偷梁换柱
如果使用者比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个程序的名字为svchost.exe,和正常的系统程序名分毫不差。那么这个程序是不是就安全了呢?非也,其实它只是利用了“工作管理员”无法检视程序对应可执行档案这一缺陷。我们知道svchost.exe程序对应的可执行档案位于“C:\WINDOWS\system32”目录下Windows2000则是C:\WINNT\system32目录,如果病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,执行后,我们在“工作管理员”中看到的也是svchost.exe,和正常的系统程序无异。你能辨别出其中哪一个是病毒的程序吗?
3.借尸还魂
除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了程序插入技术,将病毒执行所需的dll档案插入正常的系统程序中,表面上看无任何可疑情况,实质上系统程序已经被病毒控制了,除非我们借助专业的程序检测工具,否则要想发现隐藏在其中的病毒是很困难的。
系统程序解惑
上文中提到了很多系统程序,这些系统程序到底有何作用,其执行原理又是什么?下面我们将对这些系统程序进行逐一讲解,相信在熟知这些系统程序后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
svchost.exe
常被病毒冒充的程序名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe程序来启动。而系统服务是以动态连结库DLL形式实现的,它们把可执行程式指向scvhost,由cvhost呼叫相应服务的动态连结库来启动服务。我们可以开启“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行档案路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行档案路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”,而“Server”服务的可执行档案路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这种呼叫,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
在Windows2000系统中一般存在2个svchost.exe程序,一个是RPCSSRemoteProcedureCall服务程序,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务程序。如果svchost.exe程序的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些程序管理工具,例如Windows优化大师的程序管理功能,检视svchost.exe的可执行档案路径,如果在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。
explorer.exe
常被病毒冒充的程序名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“工作管理员”中将explorer.exe程序结束,那么包括工作列、桌面、以及开启的档案都会统统消失,单击“工作管理员”→“档案”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe程序的作用就是让我们管理计算机中的资源。
explorer.exe程序预设是和系统一起启动的,其对应可执行档案的路径为“C:\Windows”目录,除此之外则为病毒。
iexplore.exe
常被病毒冒充的程序名有:iexplorer.exe、iexploer.exeiexplorer.exe程序和上文中的explorer.exe程序名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的程序,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe程序名的开头为“ie”,就是IE浏览器的意思。
iexplore.exe程序对应的可执行程式位于C:\ProgramFiles\InternetExplorer目录中,存在于其他目录则为病毒,除非你将该资料夹进行了转移。此外,有时我们会发现没有开启IE浏览器的情况下,系统中仍然存在iexplore.exe程序,这要分两种情况:1.病毒假冒iexplore.exe程序名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用防毒软体进行查杀吧。
rundll32.exe
常被病毒冒充的程序名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL档案中的内部函式,系统中存在多少个Rundll32.exe程序,就表示Rundll32.exe启动了多少个的DLL档案。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll档案,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登入介面了。rundll32.exe的路径为“C:\Windows\system32”,在别的目录则可以判定是病毒。
spoolsv.exe
常被病毒冒充的程序名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程式,其作用是管理所有本地和网路列印伫列及控制所有列印工作。如果此服务被停用,计算机上的列印将不可用,同时spoolsv.exe程序也会从计算机上消失。如果你不存在印表机装置,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe程序,这就一定是病毒伪装的了。
限于篇幅,关于常见程序的介绍就到这里,我们平时在检查程序的时候如果发现有可疑,只要根据两点来判断:
1.仔细检查程序的档名;
2.检查其路径。
通过这两点,一般的病毒程序肯定会露出马脚。
绛旓細2銆 d:\System Volume Information\_...鈥滅郴缁熷嵎鏍囦俊鎭濈敤浜庡瓨鏀锯滅郴缁熻繕鍘熲濆浠芥枃浠躲佷絾閫氬父涔熸槸钘忓尶鐥呮瘨/鏈ㄩ┈鐨勫満鎵銆佸彲浠ュ叧闂滅郴缁熻繕鍘熲濆氨鑳借嚜鍔ㄦ竻闄ら噷闈㈢殑鐥呮瘨浜嗐佺劧鍚庡啀鎵撳紑鈥滅郴缁熻繕鍘熲 鍗冲彲銆佸叧闂郴缁熻繕鍘熸硶锛氭闈㈠彸鍑烩滄垜鐨勭數鑴鈥---灞炴---绯荤粺杩樺師---鍦ㄤ笅闈 鈥滃湪鎵鏈夐┍鍔ㄥ櫒涓婂叧闂郴缁熻繕鍘...
绛旓細2.鎵惧嚭浣鐨勭梾姣鏂囦欢鍚嶇О,鍒扮櫨搴﹁创鍚т笂鎼滅储涓涓,鑲畾鏈変綘瑕佺殑鏉姣掓柟娉曟垨涓撴潃杞欢 濡備綍浠庢敞鍐岃〃涓煡鐪嬬鍙e彿 鍦璁$畻鏈瀹夊叏瀛︿腑,鐗规礇浼婃湪椹槸鎸囦竴绉嶈绠楁満绋嬪簭,琛ㄩ潰涓婃垨瀹為檯涓婃湁鏌愮鏈夌敤鐨勫姛鑳,鑰屽惈鏈夐殣钘忕殑鍙互鎺у埗鐢ㄦ埛璁$畻鏈虹郴缁熴佸嵄瀹崇郴缁熷畨鍏ㄧ殑鍔熻兘,鍙兘閫犳垚鐢ㄦ埛璧勬枡鐨勬硠婕忋佺牬鍧忔垨鏁翠釜绯荤粺鐨勫穿婧冦傚湪涓瀹氱▼搴︿笂,鏈ㄩ┈...
绛旓細鎴鐨勭數鑴涓簡涓绉鐥呮瘨,瀹冨ソ鍍忚兘鑷姩鍏抽棴鏉姣掕蒋浠跺拰闃绘鏉姣掕蒋浠剁殑瀹夎,鐢ㄩ瓟娉曞厰瀛愭壂鎻忔敞鍐岃〃閿欒鐨勭被,濂藉儚鏄壂鍒板畠浜,榄旀硶鍏斿瓙闅忎箣涔熻嚜鍔ㄥ叧闂,浣嗘湁鏃跺欒兘瑁呬笂鏉姣掕蒋浠,榄旀硶鍏斿瓙涔熻兘鎵弿,浣嗕粈涔堢梾姣掑拰閿欒閮戒笉鑳藉彂鐜,涓嶄竴浼氳繖绉嶇梾姣掑氨鍙堝嚭鏉ヤ簡,瑁呯郴缁熶篃涓嶈,C銆丏銆丒銆丗杩欏洓涓洏閲屽潎鏈変竴涓淪ystem Volume Infor...
绛旓細闂涓:娓呴櫎璁$畻鏈虹梾姣鐨勪笁绉嶆柟娉 绗竴涓柟娉曠敤鏉姣掕蒋浠;绗簩涓柟娉曢噸瑁呮搷浣滅郴缁;绗笁涓柟娉曞垹闄よ绠楁満鐥呮瘨鏂囦欢 闂浜:濡備綍褰诲簳娓呴櫎鐢佃剳鐥呮瘨? 鏈変簺鐥呮瘨闈炲父鐨勯〗鍥,鍦ㄥ垹闄ゅ悗绛変綘閲嶅惎鐢佃剳,瀹冨張鏉ヤ簡,鍦ㄦ,鏈枃鏁欎綘鍑犱釜灏忔柟娉,杞绘澗褰诲簳鍦版秷鐏綘绯荤粺涓殑鐥呮瘨銆備竴銆佹竻绌 Internet Explorer (IE) 涓存椂鏂囦欢鏉姣掕蒋浠舵姤鍛...
绛旓細鎮ㄥソ锛氬ぇ閮ㄥ垎鐢佃剳鐥呮瘨閮戒細瀵勫瓨浜嶤鐩樹腑锛屼慨鏀规敞鍐岃〃銆備富瑕佹敾鍑荤殑灏辨槸纾佺洏锛屽洜涓烘湁鐨勭梾姣掑氨鏄负浜嗙牬鍧忔暟鎹殑锛屾墍浠ヤ細瀵圭鐩橀犳垚褰卞搷銆傝鎮ㄧ湅鎴浘锛屽ぇ澶氭暟鐥呮瘨鍠滄钘忓尶鐨浣嶇疆锛氳吘璁數鑴戠瀹朵紒涓氬钩鍙帮細http://zhidao.baidu.com/c/guanjia/
绛旓細鍦ㄤ竴瀹氱▼搴︿笂,鏈ㄩ┈涔熷彲浠ョО涓烘槸璁$畻鏈虹梾姣銆 鐢变簬寰堝浣跨敤鑰呭鐢佃剳淇濆畨闂浜嗚В涓嶅,鎵浠ュ苟涓嶇煡閬撹嚜宸鐨勮绠楁満鏄惁涓簡鏈ㄩ┈鎴栬濡備綍鍒犻櫎鏈ㄩ┈銆傝櫧鐒剁幇鍦ㄥ競闈笂鏈夊緢澶氭柊鐗堥槻姣掕蒋浣撻兘绉板彲浠ヨ嚜鍔ㄦ竻闄ゆ湪椹梾姣,浣嗗畠浠苟涓嶈兘闃茶寖鏂板嚭鐜扮殑鏈ㄩ┈鐥呮瘨鍝曞浼犱笂绉版湁鏌ユ潃鏈煡鐥呮瘨鐨勫姛鑳姐傝屼笖瀹為檯鐨勪娇鐢ㄦ晥鏋滀篃骞朵笉鐞嗘兂銆傛瘮濡傜敤鏌愪簺...
绛旓細浣犵敤鏉姣掕蒋浠跺氨鍙互鑷姩娓呴櫎 鍦鐢佃剳閰嶇疆骞朵笉楂樼殑鏈哄瓙涓婏紝涓嶅畨瑁呮潃姣掕蒋浠惰偗瀹氭晥鐜囪楂樺緱澶氥傛湰浜轰袱骞村涓嶇敤鏉姣掕蒋浠朵篃骞舵病鏈鐥呮瘨鏌撹韩鐨勫師鍥犮傝鐧戒簡灏辨槸浠ョ敤鎴疯韩浠戒笂缃戯紒鑰屼笉鏄鐞嗗憳韬唤銆備笅闈㈣涓涓鎬庝箞浠ョ敤鎴锋柟寮忎笂缃戙1銆佸畨瑁呯郴缁熷悗锛堝寘鎷珿hostXP锛夛紝棣栧厛鎶婃墍鏈夊垎鍖洪兘杞寲鎴怤TFS鏍煎紡锛屽緢閲嶈鍝︺備笉瑕...
绛旓細鎴鐨勭數鑴涓簡鐗规礇浼婃湪椹鐥呮瘨,鐢ㄥ徃鏈鸿瘯浜嗘潃涓嶄簡,鍦ㄥ畨鍏ㄦā寮忎篃涔熶笉琛,鏈夎皝鍙互缁欐垜浠嬬粛涓嬬壒娲涗紛鏈ㄩ┈鍚?璇鎬庝箞鍔?... 鎴戠殑鐢佃剳涓簡鐗规礇浼婃湪椹梾姣,鐢ㄥ徃鏈鸿瘯浜嗘潃涓嶄簡,鍦ㄥ畨鍏ㄦā寮忎篃涔熶笉琛,鏈夎皝鍙互缁欐垜浠嬬粛涓嬬壒娲涗紛鏈ㄩ┈鍚?璇ユ庝箞鍔? 灞曞紑 鎴戞潵绛
绛旓細鍙︿竴绉嶇瓥鐣ユ槸浼鎴愬叾浠栨枃浠讹紝鍒╃敤浜轰滑閫氬父涓嶄細鏄剧ず鏂囦欢鍚庣紑鎴栨枃浠跺悕杩囬暱鐪嬩笉鍒板悗缂鐨勭枏蹇姐傛湁浜鐥呮瘨浼氭敼鍙樿嚜宸辩殑鍥炬爣锛屼娇鍏剁湅璧锋潵鍍忓父瑙佺殑鏂囦欢绫诲瀷锛岃浣跨敤鎴疯鎵撳紑銆傜梾姣掍篃鍙兘钘忓尶鍦ㄧ湅浼煎畨鍏ㄧ殑绯荤粺鏂囦欢澶逛腑锛屽浼鎴愬洖鏀剁珯鐨勬枃浠跺す銆傝繖绉嶉殣钘忓湪鐪嬩技鏃犲鐨勫湴鏂癸紝澧炲姞浜嗘娴嬬殑闅惧害銆傚埄鐢╓indows绯荤粺婕忔礊鏄...
绛旓細鏈浣崇瓟妗堟湪椹拰鐥呮瘨閮藉枩娆钘忓尶鍦ㄧ郴缁熺洏閲 涓鑸潵璇碈鐩樻槸绯荤粺鐩橈紝濂芥瘮鏄綘鐢佃剳鐨勫ぇ鑴戜竴鏍 浣犵殑鎵鏈夋搷浣滈兘瑕佺粡杩囩郴缁熺殑澶勭悊 鐥呮瘨鍜屾湪椹帶鍒朵簡浣犵殑绯荤粺锛堢數鑴戠殑澶ц剳锛夊氨瀹规槗杈惧埌鑷敱鏀厤绯荤粺鎿嶄綔绯荤粺鐨勭洰鐨 浣犳兂鎯崇湅锛屽氨濂芥瘮浣犵殑澶ц剳琚汉鎺у埗浜 浣犲氨鍙兘浠讳汉鎽嗗竷浜嗭紝鍛靛懙 涓嶄竴瀹氭墍鏈夌殑鏈ㄩ┈鐥呮瘨閮藉湪C鐩,鏈...
