分析进程 识别病毒木马隐匿之术

    2007年是木马众多的一年，其不论从危害上还是隐藏性上都较以前的木马有更大改进，这对网民来说是个坏消息。但正是木马的改进推动了安全技术的进步，其实无论木马藏匿在计算机中何处，都有其形可查，再狡猾的木马都无法将自身完全淹没在进程中，那么利用查找进程发现木马将是防马杀马的开始。

    系统常见进程
    Windows XP系统中常用的进程有：taskmgr.exe：Windows任务管理器，是Windows任务管理执行者，这是任务管理器的系统进程，在正常情况下是没有的，只有当你使用 Ctrl+Alt+del组合键以后才能激活的系统进程；explorer.exe：Windows Explorer用于控制Windows图形Shell，包括开始菜单、任务栏，桌面和文件管理，该进程主要负责显示系统桌面上的图标以及任务栏；spoolsv.exe：Windows打印任务控制程序；svchost.exe：Service Host Process是一个标准的动态连接库主机处理服务；lsass.exe：本地安全权限服务控制Windows安全机制；services.exe：管理Windows服务；winlogon.exe：Windows NT用户登陆程序；csrss.exe：客户端服务子系统，用以控制Windows图形相关子系统；system：Windows页面内存管理进程；smss.exe：该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。以上这些即为windows xp常用的系统进程。

    病毒藏身方式
    查看进程的方式为CTRL+ALT+DELETE（打开任务管理器），打开后很多网民会发现里面进程项目太多，根本无法识别出哪些是正常的系统进程，哪些是木马改装的进程，这该如何是好？面对如此情况，只有在了解系统对各种进程的需求与病毒常见的隐藏方式即可对症下药手到马除。

    一、系统进程伪装：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，如果在任务管理器中发现如下进程则需小心提防并进行分析：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe等，其都利用了伪装法，将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，以达以假乱真让用户无法识别的目的。

    二、进程插入技术：此类病毒技术在系统进程中无法识别，其将病毒自知运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

    三、进程替换法：例如当一个病毒木马潜身到计算机后将其名改为正常的系统文件名如：svchost.exe虽然与系统文件不在同一个目录下，但其运行后在系统进程中将与svchost系统文件同名，与正常的系统进程名一模一样，此时用户无法识别。 

[1] [2] [3] [4] [5] [6] [7] 下一页

【责编:Zenghui】