(神华准格尔能源有限公司 选煤厂,内蒙古 呼和浩特 010300)
摘 要:介绍了进行程管理中容易被计算机病毒侵犯和伪装的程序,从进程管理方面谈了病毒的预防和查杀。
关键词: 病毒;进程;动态链接库
中图分类号:TP309.5 文献标识码:A 文章编号:1007—6921(2008)08—0073—01
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件的攻击,所以网上信息的安全和保密是一个至关重要的问题。
1 进程的概念
进程的概念是60年代初首先由麻省理工学院的MULTICS系统和IBM公司的CTSS/360系统引入的。进程是一个具有独立功能的程序关于某个数据集合的一次运行活动。它可以申请和拥有系统资源,是一个动态的概念,是一个活动的实体。它不只是程序的代码,还包括当前的活动,通过程序计数器的值和处理寄存器的内容来表示。进程是操作系统中最基本、重要的概念。是多道程序系统出现后,为了刻画系统内部出现的动态情况,描述系统内部各道程序的活动规律引进的一个概念,所有多道程序设计操作系统都建立在进程的基础上。
进程为应用程序的运行实例,是应用程序的一次动态执行。看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。
2 Windows XP 常见的进程列表
这些进程是最基本的系统进程,是系统运行的基本条件,有了这些进程,系统才能正常运行。
SMSS.EXE Session Manager
CSRSS.EXE 子系统服务器进程
WINLOGON.EXE 管理用户登录
SERVICES.EXE 包含很多系统服务
LSASS.EXE 管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。(系统服务)产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
SVCHOST.EXE 包含很多系统服务
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
EXPLORER.EXE 资源管理器
INTERNAT.EXE 托盘区的拼音图标
WINMGMT.EXE 提供系统管理信息(系统服务)。
3 病毒木马喜欢伪装的一些最常见进程
知道病毒经常冒充系统文件,让你防不胜防,所以,认识一些进程中的病毒常用的、迷惑大家的一些进程程序。
3.1 SVCHOST.EXE
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。
随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由svchost调用相应服务的动态链接库来启动服务。 我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:\ WINDOWS \ system32 \ clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:\ WINDOWS \ system32 \ svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:\ WINDOWS \ system32 \ svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。 在WindowsXP中,一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如冰刃icesword.exe的进程管理功能,查看模块信息,显示实时路径即可得到病毒所在地,手动删除,查看svchost.exe的可执行文件路径,如果在“C:\ WINDOWS \ system32”目录外,那么就可以判定是病毒了。
3.2 EXPLORER.EXE
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。 explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\ Windows”目录,除此之外则为病毒。
3.3 IEXPLORE.EXE
常被病毒冒充的进程名有:iexplorer.exe、iexploer.exe、iexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。
iexplore.exe进程对应的可执行程序位于C:\ ProgramFiles \ InternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:①病毒假冒iexplore.exe进程名。②病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。
3.4 RUNDLL32.EXE
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\ Windows \ system32”,在别的目录则可以判定是病毒。
3.5 SPOOLSV.EXE
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。
如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
这里对常见病毒喜欢冒充的进程就介绍到这里,我们平时在检查进程的时候如果发现有可疑,就要做出相应的判断:首先要仔细检查进程的文件名;然后再检查它的路径。通过这两点,一般的病毒进程肯定会露出马脚。