巧妙從進程中判斷出病毒和***

任何病毒和 *** 存在於系統中，都沒法完全和進程脫離關係，即便採用了隱藏技術，也仍是可以從進程中找到蛛絲馬跡，所以，查看系統中活動的進程成爲咱們檢測病毒***最直接的方法。可是系統中同時運行的進程那麼多，哪些是正常的系統進程，哪些是***的進程，而常常被病毒***假冒的系統進程在系統中又扮演着什麼角色呢？請看本文。

病毒進程隱藏三法

當咱們確認系統中存在病毒，可是經過「任務 管理 器」查看系統中的進程時又找不出異樣的進程，這說明病毒採用了一些隱藏措施，總結出來有三法：

1.以假亂真

系統中的正常進程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你發現過系統中存在這樣的進程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。對比一下，發現區別了麼？這是病毒常用的伎倆，目的就是迷惑 用戶 的眼睛。一般它們會將系統中正常進程名的o改成0，l改成i，i改成j，而後成爲本身的進程名，僅僅一字之差，意義卻徹底不一樣。又或者多一個字母或少一個字母，例如explorer.exe和iexplore.exe原本就容易搞混，再出現個iexplorer.exe就更加混亂了。若是用戶不仔細，通常就忽略了， 病毒 的進程就逃過了一劫。

2.偷樑換柱

若是用戶比較心細，那麼上面這招就沒用了，病毒會被就地正法。因而乎，病毒也學聰明瞭，懂得了偷樑換柱這一招。若是一個進程的名字爲svchost.exe，和正常的系統進程名分絕不差。那麼這個進程是否是就 安全 了呢？非也，其實它只是利用了「任務管理器」沒法查看進程對應可執行文件這一缺陷。咱們知道svchost.exe進程對應的可執行文件位於「C:\WINDOWS\system32」目錄下（Windows2000則是C:\WINNT\system32目錄），若是病毒將自身複製到「C:\WINDOWS\」中，並更名爲svchost.exe，運行後，咱們在「任務管理器」中看到的也是svchost.exe，和正常的系統進程無異。你能辨別出其中哪個是病毒的進程嗎？

3.借屍還魂

除了上文中的兩種方法外，病毒還有一招終極大法——借屍還魂。所謂的借屍還魂就是病毒採用了進程插入 技術 ，將病毒運行所需的dll文件插入正常的系統進程中，表面上看無任何可疑狀況，實質上系統進程已經被病毒控制了，除非咱們藉助專業的進程檢測工具，不然要想發現隱藏在其中的病毒是很困難的。

系統進程解惑

上文中提到了不少系統進程，這些系統進程到底有何做用，其運行原理又是什麼？下面咱們將對這些系統進程進行逐一講解，相信在熟知這些系統進程後，就能 成功 破解病毒的「以假亂真」和「偷樑換柱」了。

svchost.exe

常被病毒冒充的進程名有：svch0st.exe、schvost.exe、scvhost.exe。隨着Windows系統服務不斷增多，爲了節省系統資源，微軟把不少 服務 作成共享方式，交由svchost.exe進程來啓動。而系統服務是以動態連接庫(DLL)形式實現的，它們把可執行程序指向scvhost，由cvhost調用相應服務的動態連接庫來啓動服務。咱們能夠打開「控制面板」→「管理工具」→服務，雙擊其中「ClipBook」服務，在其屬性面板中能夠發現對應的可執行文件路徑爲「C:\WINDOWS\system32\clipsrv.exe」。再雙擊「Alerter」服務，能夠發現其可執行文件路徑爲「C:\WINDOWS\system32\svchost.exe -k LocalService」，而「Server」服務的可執行文件路徑爲「C:\WINDOWS\system32\svchost.exe -k netsvcs」。正是經過這種調用，能夠省下很多 系統 資源，所以系統中出現多個svchost.exe，其實只是系統的服務而已。

在Windows2000系統中通常存在2個svchost.exe進程，一個是RPCSS(RemoteProcedureCall)服務進程，另一個則是由不少服務共享的一個svchost.exe；而在WindowsXP中，則通常有4個以上的svchost.exe服務進程。若是svchost.exe進程的數量多於5個，就要當心了，極可能是病毒假冒的， 檢測 方法也很簡單，使用一些進程管理工具，例如Windows優化大師的進程管理功能，查看svchost.exe的可執行文件路徑，若是在「C:\WINDOWS\system32」目錄外，那麼就能夠斷定是病毒了。

explorer.exe

常被病毒冒充的進程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是咱們常常會用到的「資源管理器」。若是在「任務管理器」中將explorer.exe進程結束，那麼包括任務欄、桌面、以及打開的文件都會通通消失，單擊「任務管理器」→「文件」→「新建任務」，輸入「explorer.exe」後，消失的東西又從新回來了。explorer.exe進程的做用就是讓咱們管理計算機中的資源。

explorer.exe進程默認是和系統一塊兒啓動的，其對應可執行文件的路徑爲「C:\Windows」目錄，除此以外則爲病毒。

iexplore.exe

常被病毒冒充的進程名有：iexplorer.exe、iexploer.exeiexplorer.exe進程和上文中的explorer.exe進程名很相像，所以比較容易搞混，其實iexplorer.exe是Microsoft Internet Explorer所產生的進程，也就是咱們平時使用的IE瀏覽器。知道做用後辨認起來應該就比較容易了，iexplorer.exe進程名的開頭爲「ie」，就是IE瀏覽器的意思。

iexplore.exe進程對應的可執行程序位於C:\ProgramFiles\InternetExplorer目錄中，存在於其餘目錄則爲病毒，除非你將該文件夾進行了轉移。此外，有時咱們會發現沒有打開IE瀏覽器的狀況下，系統中仍然存在iexplore.exe進程，這要分兩種狀況：1.病毒假冒iexplore.exe進程名。2.病毒偷偷在後臺經過iexplore.exe幹壞事。所以出現這種狀況仍是趕快用殺毒軟件進行查殺吧。

rundll32.exe

常被病毒冒充的進程名有：rundl132.exe、rundl32.exe。rundll32.exe在系統中的做用是執行DLL文件中的內部函數，系統中存在多少個Rundll32.exe進程，就表示Rundll32.exe啓動了多少個的DLL文件。其實rundll32.exe咱們是會常常用到的，他能夠控制系統中的一些dll文件，舉個例子，在「命令提示符」中輸入「rundll32.exe user32.dll,LockWorkStation」，回車後，系統就會快速切換到登陸界面了。rundll32.exe的路徑爲「C:\Windows\system32」，在別的目錄則能夠斷定是病毒。

spoolsv.exe

常被病毒冒充的進程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系統服務「Print Spooler」所對應的可執行程序，其做用是管理全部本地和網絡打印隊列及控制全部打印工做。若是此服務被停用，計算機上的打印將不可用，同時spoolsv.exe進程也會從計算機上消失。若是你不存在打印機設備，那麼就把這項服務關閉吧，能夠節省系統資源。中止並關閉服務後，若是系統中還存在spoolsv.exe進程，這就必定是病毒假裝的了。

限於篇幅，關於常見進程的介紹就到這裏，咱們平時在檢查進程的時候若是發現有可疑，只要根據兩點來判斷：

1.仔細檢查進程的文件名；

2.檢查其路徑。

經過這兩點，通常的病毒進程確定會露出馬腳。

找個管理進程的好幫手

系統內置的「任務管理器」功能太弱，確定不適合查殺病毒。所以咱們可使用專業的進程管理工具，例如Procexp。Procexp能夠區分系統進程和通常進程，而且以不一樣的顏色進行區分，讓假冒系統進程的病毒進程無處可藏。

運行Procexp後，進程會被分爲兩大塊，「System Idle Process」下屬的進程屬於系統進程，

explorer.exe」下屬的進程屬於通常進程。咱們介紹過的系統進程svchost.exe、winlogon.exe等都隸屬於「System Idle Process」，若是你在「explorer.exe」中發現了svchost.exe，那麼不用說，確定是病毒冒充的。