- 1、本文档共6页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
[从进程中查找木马
从进程中查找木马 对于进程这个概念,许多电脑用户都没有给予太多关注。在很多人印象里,只知道结束进程可以杀死程序,至于哪些进程对应哪些程序,究竟什么样的进程该杀,什么样的进程不能杀这些问题很少考虑。这里通过几个实例为大家揭开进程的神秘面纱。 实例一:和进程的“表演者”交个朋友 很多时候,我们并没有注意到系统中到底有多少进程。如果想了解进程的秘密,首先就必须和一些常见系统进程交个朋友,一旦掌握了它们,就能像侦探一样迅速从进程名单中发现可疑的家伙。 在Windows 2000/XP中,Ctrl+Shift+Esc组合键能快速调出任务管理器,而Windows 9X为Ctrl+Alt+Del组合键。 1.“主角”进程 首先来熟悉一下系统中的基本进程,它们是系统运行的基本条件,一般情况下不能关闭它们,否则会导致系统崩溃。 Windows 2000/XP:smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同时存在多个)、spoolsv.exe、explorer.exe、System Idle Process; Windows 9x:msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。 你知道吗 进程与程序 简单地说,每启动一个程序,就启动了一个进程。在Windows 3.x中,进程是最小运行单位。在Windows 9X/2000/XP中,每个进程还可以启动几个线程,比如每下载一个文件可以单独开一个线程。在Windows 9X/2000/XP中,线程是最小单位。程序是永存的,进程是暂时的。举一个例子说:如果程序是剧本,那么表演过程就是进程;如果程序是菜谱,那么烹调过程就是进程。 人鬼情未了——Svchost.exe 它位于系统目录的System32文件夹,是从动态链接库(DLL)运行服务的一般性宿主进程。在任务管理器中,可能会看到多个Svchost.exe在运行,不要大惊小怪,这可能是多个DLL文件在调用它。不过,正因为如此,它也成为了病毒利用的对象,以前的“蓝色代码”病毒就是一例。另外,如果感染了冲击波病毒,系统也会提示“Svchost.exe出现错误”。 如果要查看哪些服务正在使用Svchost.exe,对于Windows 2000可从其安装光盘的SupportToolsSupport.cab压缩包中,将Tlist.exe解压缩至任意目录,接着在“命令提示符”中进入Tlist.exe所在目录,输入“tlist -s”并回车(“tlist pid”命令可看到详细信息)。而在Windows XP则直接输入“Tasklist /SVC”查看进程信息(“Tasklist /fi PID eq processID”则可看到详细信息)。 2.“配角”进程 这些系统进程虽然不是系统运行必须的,但也经常在进程列表中抛头露面。如internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe,它们都是正常的系统进程。 建议在安装完Windows后,点击“开始程序附件系统工具系统信息”,在打开的“系统信息”窗口中再点击“软件环境正在运行任务”(在此进程列表中,可看到更详细的属性,其中程序路径是非常重要的信息),接着点击“操作另存成文本文件”,以后系统出现异常时则对照进行分析。另外,“优化大师”也提供了保存进程快照的功能●。 实例二:查找木马的蛛丝马迹 许多木马和一些防护工具采用了双进程保护手段,例如“Falling Star”木马就采用双进程模式,下面来看看如何发现它们。 第一步:打开任务管理器。根据和常见进程比较,很明显会发现两个“熟悉的陌生人”(和系统基本进程名称相似,但不相同):“internet.exe”和“systemtray.exe”。请和上一实例中的”配角“进程比较。 第二步:打开“系统信息”的“软件环境正在运行任务”,查看路径信息,两者均指向WindowsSystem32目录,而且文件大小、日期均相同,但从文件日期来看并不属于微软的系统文件。进入资源管理器查看其版本属性,虽然公司标明为Microsoft,但与系统文件中的微软公司名称书写并不相同,基本可断定是非法进程,并且为双进程模式。 第三步:在尝试结束进程时,第一次选择“systemtray.exe”来结束进程树,结果进程
您可能关注的文档
最近下载
- 仁爱英语八年级上册Unit2-Topic2-SectionC-教学设计.doc VIP
- 慢性粒细胞白血病治疗病例分享.pptx
- 《糖皮质激素类药物临床应用指导原则2023版》解读PPT课件.pptx VIP
- 《兽医临床诊疗技术》教学课件合集.pptx
- 山塘整治--塘坝除险整治技术指南.ppt
- 小学音乐四年级花城版《山》教学课件.ppt
- 巴黎奥运会潘展乐的飞鱼人生介绍PPT课件(图文).pptx
- 个人征信报告模板征信报告模板(2021简版带水印).docx
- 北师大版七年级上册数学 2.1 有理数 PPT课件.ppt
- 第4课 互联网创新发展 教学设计 2023—2024学年浙教版(2023)初中信息技术七年级上册.docx
文档评论(0)