[从进程中查找木马.doc

从进程中查找木马 对于进程这个概念，许多电脑用户都没有给予太多关注。在很多人印象里，只知道结束进程可以杀死程序，至于哪些进程对应哪些程序，究竟什么样的进程该杀，什么样的进程不能杀这些问题很少考虑。这里通过几个实例为大家揭开进程的神秘面纱。 　　实例一：和进程的“表演者”交个朋友 　　很多时候，我们并没有注意到系统中到底有多少进程。如果想了解进程的秘密，首先就必须和一些常见系统进程交个朋友，一旦掌握了它们，就能像侦探一样迅速从进程名单中发现可疑的家伙。 　　在Windows 2000/XP中，Ctrl+Shift+Esc组合键能快速调出任务管理器，而Windows 9X为Ctrl+Alt+Del组合键。 　　1.“主角”进程 　　首先来熟悉一下系统中的基本进程，它们是系统运行的基本条件，一般情况下不能关闭它们，否则会导致系统崩溃。 　　Windows 2000/XP：smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同时存在多个)、spoolsv.exe、explorer.exe、System Idle Process； 　　Windows 9x：msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。 　　你知道吗 　　进程与程序 　　简单地说，每启动一个程序，就启动了一个进程。在Windows 3.x中，进程是最小运行单位。在Windows 9X/2000/XP中，每个进程还可以启动几个线程，比如每下载一个文件可以单独开一个线程。在Windows 9X/2000/XP中，线程是最小单位。程序是永存的，进程是暂时的。举一个例子说：如果程序是剧本，那么表演过程就是进程；如果程序是菜谱，那么烹调过程就是进程。 　　人鬼情未了——Svchost.exe 　　它位于系统目录的System32文件夹，是从动态链接库(DLL)运行服务的一般性宿主进程。在任务管理器中，可能会看到多个Svchost.exe在运行，不要大惊小怪，这可能是多个DLL文件在调用它。不过，正因为如此，它也成为了病毒利用的对象，以前的“蓝色代码”病毒就是一例。另外，如果感染了冲击波病毒，系统也会提示“Svchost.exe出现错误”。 　　如果要查看哪些服务正在使用Svchost.exe，对于Windows 2000可从其安装光盘的SupportToolsSupport.cab压缩包中，将Tlist.exe解压缩至任意目录，接着在“命令提示符”中进入Tlist.exe所在目录，输入“tlist -s”并回车(“tlist pid”命令可看到详细信息)。而在Windows XP则直接输入“Tasklist /SVC”查看进程信息(“Tasklist /fi PID eq processID”则可看到详细信息)。 　　2.“配角”进程 　　这些系统进程虽然不是系统运行必须的，但也经常在进程列表中抛头露面。如internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe，它们都是正常的系统进程。 　　建议在安装完Windows后，点击“开始程序附件系统工具系统信息”，在打开的“系统信息”窗口中再点击“软件环境正在运行任务”(在此进程列表中，可看到更详细的属性，其中程序路径是非常重要的信息)，接着点击“操作另存成文本文件”，以后系统出现异常时则对照进行分析。另外，“优化大师”也提供了保存进程快照的功能●。 　　实例二：查找木马的蛛丝马迹 　　许多木马和一些防护工具采用了双进程保护手段，例如“Falling Star”木马就采用双进程模式，下面来看看如何发现它们。 　　第一步：打开任务管理器。根据和常见进程比较，很明显会发现两个“熟悉的陌生人”(和系统基本进程名称相似，但不相同)：“internet.exe”和“systemtray.exe”。请和上一实例中的”配角“进程比较。 　　第二步：打开“系统信息”的“软件环境正在运行任务”，查看路径信息，两者均指向WindowsSystem32目录，而且文件大小、日期均相同，但从文件日期来看并不属于微软的系统文件。进入资源管理器查看其版本属性，虽然公司标明为Microsoft，但与系统文件中的微软公司名称书写并不相同，基本可断定是非法进程，并且为双进程模式。 　　第三步：在尝试结束进程时，第一次选择“systemtray.exe”来结束进程树，结果进程