进程中的斗法:病毒藏身36记如果从系统的表现怀疑系统存在病毒，但通过任务管理器查看进程一眼看去又没有 发现异样，这可能说明病毒采用了一些隐藏措施，总结出来有三点：1．以假乱真系统中的正常进程有：svchost．exe、explorer.exe，iexplore.exe、winlogon.exe等，可能你 发现过系统中存在这样的进程：svchOst.exe、explore.exe、iexplorer.exe、winlogin.exeo仔细认 读字母，就会恍然大悟——伪装！这正是病毒经常使用的伎俩，目的是迷惑用户的眼睛。保山三佳电脑维修中心 专业维修：笔记本电脑维修，台式机维修，POS机维修，一体机维修，平板电脑维修，医疗设备维修，工控机维修，平板电脑维修，手机维修，液晶电视维修（保山市区上门维修）。通 常它们会模仿系统中的正常进程，将其中的o改为O，l改为i，i改为j，并以此作为自己的 进程名，虽有一字之差，却似是而非。又或者多一个字母或少一个字母，例如explorer.exe 和iexplore.exe，本来就容易搞混，再出现个iexplorer.exe就更加混乱了。用户一不仔细，病 毒就逃过一劫。2．偷梁换柱如果用户比较心细，上面这招就没用了。于是病毒又学会了变通，使出了偷梁换柱 一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差，那么这个进程是 不是就安全了呢？非也，病毒利用低版本系统的任务管理器无法查看进程对应的可执行 文件这一缺陷，混在其中滥竽充数。svchost.exe进程对应的可执行文件位于 c:\wNDOWS\system32目录下，如果病毒将自身复制到C:\WINDOWS\中，并改名为 svchost.exe，在任务管理器虽然也显示为svchost.exe，但目标程序的路径却不对。这种情 况，只能通过查看目标程序的位置来判断。综上，甄别病毒进程，首看文件名，再查文件路径，二者都对才可放心。3．借尸还魂除上面提到的两种方法外，病毒还有一招借尸还魂。所谓的借尸还魂，就是病毒 采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可 疑之处，实质上系统进程已经被病毒控制了，除非借助专业的进程检测工具，否则想发现隐 藏其中的病毒是很难的。这时，仅使用任务管理器已经不够，需要使用第三方工具软件。对于花样百出的病毒，与其斗法，需学会一些技巧：(1)针对svchost.exe进程。经常冒充的病毒进程有：svchOst.exe、schvost.exe、scvhost.exe。 随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。Windows XP中则一般有4个以上的svchost.exe腋务进程。如果 svchost．exe进程的数量多于5个，就要小心了。判断方法很简单，使用进程管理工具查看 svchost.exe的可执行文件路径，如果位置在C:\WINDOWS\system32目录之外，那么就可 以判定是病毒了。(2)针对iexplore.exe进程。经常冒充的病毒进程有：iexplorer.exe、expiorer.exe、explore.exe。 iexplore．exe进程默认是和系统一起启动的，其对应可执行文件的路径为windows所在目录， 除此之外则为病毒。有时，我们发现没有打开IE浏览器的情况下，系统中仍然存在iexplore.exe 进程，这要分两种情况：一是病毒假冒iexplore.exe进程名；二是病毒正在后台通过iexplore.exe 做事。出现这种情况最好尽快用杀毒软件查杀。(3)针对Rund1132.exe进程。经常冒充的病毒进程有：rund1132.exe、rund132.exe，rund1132.exe 在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rund1132.exe进程，就表 示Rund1132.exe启动了多少个DLL丈件。其实rund1132.exe是会经常用到的，它可以控制系 统中的一些dll文件，举例，在命令提示符中输入rund1132.exeuser32.dll，LockWorkStation， 按LEnter]键后，系统就会快速切换到登录界面。rund1132.exe的路径为：C:\Windows\system32， 如果是在别的目录则可以判定为病毒。如果任务管理器无法终结病毒进程，可使用这个命令：ntsd -c q-p PIDo其中PID为进 程号，可通过任务管理器查看。进程中的斗法:病毒藏身36记来自：保山电脑维修网