首頁
***技術
正文
妙用進程殺病毒
一款好的防火牆並不能發現所有病毒;一個好的殺毒軟件並不能殲滅所有的帶毒程序!遇到這些情況我們該做何處理呢?很簡單 —— 手工殺毒。而要論到手工殺毒,就不能不提到系統進程的妙用了。 進程、病毒? 書上說: “ 進程爲應用程序的運行實例,是應用程序的一次動態執行。 ” 看似高深,我們可以簡單地理解爲:它是操作系統當前運行的執行程序。在系統當前運行的執行程序裏包括:系統管理計算機個體和完成各種操作所必需的程序;用戶開啓、執行的額外程序,當然也包括用戶不知道,而自動運行的非法程序(它們就有可能是病毒程序)。 危害較大的可執行病毒同樣以 “ 進程 ” 形式出現在系統內部(一些病毒可能並不被進程列表顯示,如 “ 宏病毒 ” ),那麼及時查看並準確殺掉非法進程對於 “ 手工殺毒有起着關鍵性的作用。 操作系統如何打開進程列表? 要通過進程列表查看系統是否染毒,必須打開當前的執行程序進程列表, Microsoft 的每種系統都有相應的打開方法,但能夠顯示的能力卻因(系統)不同,有所差異: 1. Windows 98 /Me 系統 打開系統進程的方式很簡單,快捷鍵 “Ctrl+Alt+Delete” (如圖 1 ),這個窗口大家應該比較熟悉,使用 Windows 系統的用戶都知道用這個方法來關閉程序,不過它同樣用於顯示系統進程,只是 Windows 98 系統較初級,對進程的顯示侷限於名稱,且裏面所顯示的還有打開的文件及目錄名,查看時易混淆。 Windows Me 的進程打開方式和 Windows 98 相同。 Windows 9x 系統打開的進程列表混亂且不完全,顯然不便於查看系統的具體進程狀況,所以建議使用一些工具程序來爲 Windows 9x 系統顯示進程,如 “Windows 優化大師 ” ,在 “ 優化大師 ” 的 “ 系統安全優化 ” 項內打開 “ 進程管理 ” ,在圖 2 所示的 “Windows 進程管理 ” 窗口內,可以詳細查看當前計算機所運行的所有進程,及具體程序所在的位置,這樣更方便完成後面要介紹的如何利用進程進行查毒、殺毒。 2. Windows 2000/ XP/2003 系統 Windows 2000 、 Windows XP 、 Windows 2003 打開進程窗口的方式與 Windows 9x 系統相同,只是三鍵後打開的是 “Windows 任務管理器 ” 窗口,需要選擇裏面的 “ 進程 ” 項。 Windows 2000 系統只顯示具體進程的全名,佔用的內存量; Windows XP 、 Windows 2003 系統相比 Windows 2000 會顯示該進程歸屬於那個用戶下,如操作系統所必須的基礎程序,會在後面的 “ 用戶名 ” 內顯示爲 “SYSTEM” ,由用戶另外開啓的程序則用戶名爲當前的系統登錄用戶名。 通過進程發現、處理病毒 在介紹具體的查毒和殺毒前,筆者先回答開篇提出的兩個問題。爲什麼殺毒軟件並不能全面的查找和殺掉病毒?首先,病毒防火牆是通過對程序進行反彙編,然後與自己的病毒庫進行對比來查找病毒,如果病毒較新,而殺毒軟件又未能及時升級便不能識別病毒。其次,殺毒軟件在發現病毒後,如果是獨立的可執行病毒程序,會選擇直接刪除的處理方式,而病毒如果被當作進程執行了,殺毒軟件就無能爲力了,因爲它沒有功能和權限先停止掉系統的這些進程,被當作進程執行的程序是不能被刪除的(這也是大家在刪除一個程序時,提示該程序正在被使用不能刪除的原因)。所以在使用殺毒軟件殺毒時,纔會有殺毒完成後,又出現病毒提示的原因。 回到原來話題上!通過進程如何發現和殺掉病毒呢?由前面的知識介紹可知, Windows 9X 和 Windows 2000 系統只能顯示進程的名稱,這對判斷該進程是否是病毒還不夠,如果要準確的斷定病毒,最好使用前面介紹的 “Windows 優化大師 ” 來查看進程程序的源路徑,如果是 “C:\windows\system” 下的一些未知的 “EXE” 那便極有病毒的可能性了。 Windows XP 和 Windows 2003 系統,進程後會有 “ 用戶名 ” 的顯示,病毒是不可能獲得 “SYSTEM” 權限的,所以應注意 “ 用戶名 ” 是當前登錄用戶的進程,一旦發現是病毒,可以立即 “ 殺掉 ” 。這裏介紹兩個技巧: 1 .發現可疑進程後,利用 Windows 的查找功能,查找該進程所在的具體路徑,通過路徑可以知道該進程是否合法,譬如由路徑 “C:\Program Files\3721\assistse.exe” 知道該程序是 3721 的進程,是合法的。 2 .在對進程是否病毒拿不定主意時,可以複製該進程的全名,如: “xxx.exe” 到 googl.com 或 baidu.com 這樣的全球搜查引擎上進行搜查,如果是病毒會有相關的介紹網頁。 確定了該進程是病毒,首先應該殺掉該進程,對於 Windows 9x 系統,選中該進程後,點擊下面的 “ 結束任務 ” 按鈕, Windows 2000 、 Windows XP 、 Windows 2003 系統則在進程上單擊右鍵在彈出菜單上選擇 “ 結束任務 ” 。 “ 殺掉 ” 進程後找到該進程的路徑刪除掉即可,完成後最好在進行一次殺毒,這樣就萬無一失了。 一次利用進程殺毒的具體過程是這樣的: “ 通過進程名及路徑判斷是否病毒 —— 殺掉進程 —— 刪除病毒程序 ” ,爲了讓讀者更好的判斷進程,在這裏補充一些 Windows 的進程資料給大家: 進程名 描述 smss.exe Session Manager csrss.exe 子系統服務器進程 winlogon.exe 管理用戶登錄 services.exe 包含很多系統服務 lsass.exe 管理 IP 安全策略以及啓動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。 svchost.exe Windows 2000/XP 的文件保護系統 SPOOLSV.EXE 將文件加載到內存中以便遲後打印。 explorer.exe 資源管理器 internat.exe 托盤區的拼音圖標 mstask.exe 允許程序在指定時間運行。 regsvc.exe 允許遠程註冊表操作。 ( 系統服務 )→remoteregister tftpd.exe 實現 TFTP Internet 標準。該標準不要求用戶名和密碼。 ll***v.exe 證書記錄服務 ntfrs.exe 在多個服務器間維護文件目錄內容的文件同步。 RsSub.exe 控制用來遠程儲存數據的媒體。 locator.exe 管理 RPC 名稱服務數據庫。 clipsrv.exe 支持 “ 剪貼簿查看器 ” ,以便可以從遠程剪貼簿查閱剪貼頁面。 msdtc.exe 並列事務,是分佈於兩個以上的數據庫,消息隊列,文件系統或其他事務保護資源管理器。 grovel.exe 掃描零備份存儲 (SIS) 捲上的重複文件,並且將重複文件指向一個數據存儲點,以節省磁盤空間(只對 NTFS 文件系統有用)。 snmp.exe 包含代理程序可以監視網絡設備的活動並且向網絡控制檯工作站彙報。 以上這些進程都是對計算機運行起至關重要的,千萬不要隨意 “ 殺掉 ” ,否則可能直接影響系統的正常運行。 * 此方法不適用於 win7 和 vista