网站首页/电脑学习列表/内容

病毒进程隐藏三法:偷梁换柱的三个法_病毒安全_

电脑学习2023-07-10阅读
随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。

系统中存在的任何病毒和木马都无法与进程完全分开。即使使用了隐藏技术,在此过程中仍然可以找到线索。因此,查看系统中的活动进程成为我们检测病毒和木马的最直接方法。方法。但是,系统中同时运行着许多进程,这些进程是正常的系统进程,是木马进程,并且经常被病毒木马伪造的系统进程在系统中扮演什么角色?请阅读这篇文章。

三种隐藏病毒过程的方法

当我们确认系统中存在病毒,但通过“任务管理器”检查系统中的进程时,我们找不到异常进程,这表明该病毒已采取了一些隐藏措施。总结起来有三种方法:

qq木马病毒_木马病毒_木马病毒杀毒方法

1.是伪造的

系统中的正常进程包括:svchost.exe,explorer.exe,iexplore.exe,winlogon.exe等。您可能已在系统中找到以下进程:svch0st.exe,explorer.exe,iexplorer.exe ,winlogin.exe。比较一下,您发现区别了吗?这是病毒经常使用的一种技巧,目的是使用户的眼睛迷惑。通常,他们将系统中正常流程名称的o更改为0,将l更改为i,然后将i更改为j,然后将其更改为自己的流程名称。只是一个词的不同,但是含义是完全不同的。可能会有一个或多个字母。例如,explorer.exe和iexplore.exe很容易混淆,而iexplorer.exe的外观甚至更令人困惑。如果用户不小心,通常会忽略它,并且病毒的过程避免了灾难。

2.窃取案情和更改职位

木马病毒杀毒方法_qq木马病毒_木马病毒

如果用户更加谨慎,则上述技巧将毫无用处,并且该病毒将在现场得到纠正。从那时起,该病毒也学会了变得聪明,并且知道偷球的技巧。如果进程的名称是svchost.exe,则它与常规系统进程名称没有什么不同。那么这个过程安全吗?不,只是利用了“任务管理器”无法查看与该进程相对应的可执行文件这一缺陷。我们知道与svchost.exe进程相对应的可执行文件位于“ C:\ WINDOWS \ system32”目录中(Windows2000是C:\ WINNT \ system32目录)。如果病毒将自身复制到“ C:\ WINDOWS \”,并重命名为svchost.exe,则在运行后,我们还会在“任务管理器”中看到svchost.exe,这与正常的系统进程没有什么不同。您能分辨出其中一个病毒的过程吗?

3.借尸回魂

除上述两种方法外,该病毒还有一个终极窍门:尸体复活。所谓的复活就是病毒使用进程插入技术将病毒操作所需的dll文件插入正常的系统进程中。从表面上看,没有可疑的情况。实际上,除非我们使用程序,否则系统进程已由病毒控制。检测工具,否则很难找到隐藏在其中的病毒。

木马病毒_木马病毒杀毒方法_qq木马病毒

系统流程解决方案

上面提到了许多系统过程。这些系统过程的功能是什么?它们如何工作?下面我们将逐一解释这些系统过程。我相信,在熟悉了这些系统过程之后,我们就可以成功破解病毒的“虚假事实”和“窃取事实”。

svchost.exe

通常由病毒模拟的进程名称为:svch0st.exe,schvost.exe,scvhost.exe。随着Windows系统服务数量的增加,为了节省系统资源,Microsoft已将许多服务设置为共享模式,并移交给svchost.exe进程来启动。系统服务以动态链接库(DLL)的形式实现,该链接将可执行程序指向scvhost,并且cvhost调用相应服务的动态链接库以启动服务。我们可以打开“控制面板”→“管理工具”→“服务”,双击“剪贴簿”服务,然后在其属性面板中找到相应的可执行文件路径,即“ C:\ WINDOWS \ system32 \ clipsrv.exe”。再次双击“ Alerter”服务,可以发现其可执行文件路径为“ C:\ WINDOWS \ system32 \ svchost.exe -k LocalService”,“服务器”服务的可执行文件路径为“ C: \ WINDOWS \ system32 \“ svchost.exe -k netsvcs”。通过此调用,可以节省很多系统资源,因此系统中会出现多个svchost.exe,而这些svchost.exe实际上只是系统服务。


本文来自本站,转载请注明本文网址:
http://www.pc-fly.com/a/shouji/article-370968-1.html


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。

……

相关阅读