相信很多朋友看过最新大片《特洛伊》,对其中巨大的“木马”毫不陌生,就是这个木马,攻下了坚固的特洛伊城,书写了世界历史上悲惨而又光辉的一页。由此而生的电脑特洛伊木马,也时常给自以为坚固的系统带来灾难性的后果。那么,当遭遇木马时,我们如何做呢?
本文从木马最容易藏身的“进程”里来剖析木马病毒,让大家从最根本的进程入手,认识并清除木马病毒,让特洛伊的历史不再在你我的电脑中重演。
[医学教育网整理发布]
对于进程这个概念,许多电脑用户都没有给予太多关注 医学教 育网收集整理 。在很多人印象里,只知道结束进程可以杀死程序,至于哪些进程对应哪些程序,究竟什么样的进程该杀,什么样的进程不能杀这些问题很少考虑。这里通过几个实例为大家揭开进程的神秘面纱。
提示:关于进程的具体概念,大家可以参考2004年第9期《电脑知识与技术》中的《长话短说话“进程”》一文。
和进程交个朋友
很多时候,我们并没有注意到系统中到底有多少进程。如果想了解进程的秘密,首先就必须和一些常见系统进程交个朋友,一旦掌握了它们,就能像侦探一样迅速从进程名单中发现可疑的家伙。这样,别说木马,就是任何一种潜藏在进程中的病毒都无所遁形了。 医学教 育网收集整理
现在,您就可以同时按下Ctrl+Shift+Del三键组合来启动Windows任务管理器,瞧瞧都有那些进程,向它们发出友善的信号吧。
提示:在Windows类的操作系统中,Ctrl+Shift+Del三键组合并同时按下才能快速调出任务管理器,另有少部分国外Windows版本为Ctrl+Alt+Esc三键组合。
一、“主角”进程 医学教 育网收集整理
首先来熟悉一下系统中的基本进程,它们是系统运行的“主角”和基本条件,一般情况下不能关闭它们,否则会导致系统崩溃。
Windows2000/2003/XP
smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同时存在多个)、spoolsv.exe、explorer.exe、SystemIdleProcess;
Windows9x/Me
msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。
那么进程与程序到底如何区分呢?
简单地说,每启动一个程序,就启动了一个进程。在Windows3.x中,进程是最小运行单位。在Windows9X/2000/XP中,每个进程还可以启动几个线程,比如每下载一个文件可以单独开一个线程。在Windows9X/2000/XP中,线程是最小单位。程序是永存的,进程是暂时的。举一个例子说:如果程序是剧本,那么表演过程就是进程;如果程序是菜谱,那么烹调过程就是进程。我们可以明白到,进程和程序不是同一概念,程序是个具体的东西,我们可以得到它(用磁盘拷贝,光盘刻录);而进程则是不可得到的,它只是一个程序和数据结合执行的过程。一个程序的执行可以同时启动多个进程的运行,而一个进程的执行则不可能带动多个程序的运行。
比如Svchost.exe进程,它位于系统目录的System32文件夹,是从动态链接库(DLL)运行服务的一般性宿主进程。在“Windows任务管理器”中,可能会看到多个Svchost.exe在运行,这说明有多个DLL文件在调用它(别大惊小怪呀)。正因为如此,它也成为了病毒利用的对象,以前的“蓝色代码”病毒就是一例。另外,如果感染了冲击波病毒,系统也会提示“Svchost.exe出现错误”。
如果要查看哪些服务正在使用Svchost.exe,对于Windows2000可从其安装光盘的SupportToolsSupport.cab压缩包中,将Tlist.exe解压缩至任意目录,接着启动CMD命令行模式,进入Tlist.exe所在目录,输入“tlist -s”并回车(“tlist pid”命令可看到详细信息)就可以了解到详尽的信息。而在WindowsXP则直接输入“Tasklist/SVC”查看进程信息,可以见到系统中多个服务正在使用Svchost.exe进程的信息(“Tasklist/fi"PIDeqprocessID"”则可看到详细信息)。
二、“配角”进程
这些系统进程虽然不是系统运行必须的,但也经常在进程列表中抛头露面。如internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe,它们都是正常的系统进程。
建议在安装完Windows后,点击“开始→程序→附件→系统工具→系统信息”,在打开的“系统信息”窗口中再点击“软件环境→正在运行任务”,“系统信息”窗口。接下来,点击“操作→另存成文本文件”,这样,以后系统出现异常时则对照进行分析,就可以从中发现潜藏的木马和病毒,而且百试不爽。······
。
