相信每個計算機用戶都或多或少遭受過病毒的侵襲,雖然大多的用戶都安裝有殺毒軟件,但是目前病毒的發展趨勢是首先針對殺毒軟件,一旦判斷出殺毒軟件第一步就是先幹掉殺毒軟件。面對這樣的情況,手動查殺病毒就不可避免了。而手動查殺病毒的前提就是要結束掉病毒的進程和服務,否則病毒程序根本無法刪除。那麼,什麼是病毒的進程呢,病毒的進程又具備哪些特點呢?瞭解了Windows系統進程之後,非系統的病毒進程就容易判斷了。在此,結合實例介紹Windows操作系統進程和基礎的病毒進程判斷。
- smss.exe:Windows操作系統的一部分。該進程調用對話管理子系統和負責操作你係統的對話(系統服務);
- alg.exe:Windows操作系統自帶的程序。它用於處理微軟Windows網絡連接共享和網絡連接防火牆(系統服務);
- csrss.exe:微軟客戶端/服務端運行時子系統。該進程管理Windows圖形相關任務(系統服務);
- winlogon.exe:Windows登陸管理器,用於處理系統的登陸和登陸過程(系統服務);
- services.exe:是Windows操作系統的一部分。用於管理啓動和停止服務。該進程也會處理在計算機啓動和關機時運行的服務(系統服務);
- lsass.exe 管理 IP 安全策略以及啓動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統服務) 產生會話密鑰以及授予用於交互式客戶/服務器驗證的服務憑據(ticket)。(系統服務);
- svchost.exe:是一個屬於微軟Windows操作系統的系統程序,包含很多系統服務,用於執行DLL文件(系統服務)。系統中根據啓動的服務多少,該進程數量也會不同,一般在4-5個左右。
- spoolsv.exe:用於將Windows打印機任務發送給本地打印機.
- explorer.exe:Windows程序管理器或者Windows資源管理器,它用於管理Windows圖形殼,包括開始菜單、任務欄、桌面和文件管理;
- rundll32.exe:用於在內存中運行DLL文件,它們會在應用程序中被使用;
- internat.exe:Windows多語言輸入程序,托盤區的拼音圖標,附加的系統進程(這些進程不是必要的,你可以根據需要通過服務管理器來增加或減少);
- ctfmon.exe:Microsoft Office產品套裝的一部分。它可以選擇用戶文字輸入程序,和微軟Office XP語言條。這不是純粹的系統程序,但是如果終止它,可能會導致不可知的問題;
- mdm.exe:indows進程除錯程序。用於使用可視化腳本工具對Internet Explorer除錯(系統服務);
- mstask.exe Windows計劃任務程序。它用於管理計劃任務,包括備份和更新,定時運行。如果你刪除該進程,計劃任務將無法運行(系統服務);
- regsvc.exe:Windows服務集中的一個系統服務。它用於遠程計算機訪問本地註冊表。一些本地程序也能夠通過該服務編輯註冊表 (系統服務);
- winmgmt.exe:提供系統管理信息(系統服務)。
- inetinfo.exe:通過 Internet 信息服務的管理單元提供 FTP 連接和管理。(系統服務)
- tlntsvr.exe:允許遠程用戶登錄到系統並且使用命令行運行控制檯程序。(系統服務)
- tftpd.exe:實現 TFTP Internet 標準。該標準不要求用戶名和密碼。遠程安裝服務的一部分。(系統服務)
- termsrv.exe:提供多會話環境允許客戶端設備訪問虛擬的 Windows 2000
- dns.exe:應答對域名系統(DNS)名稱的查詢和更新請求(系統服務)。
- tcpsvcs.exe:提供在 PXE 可遠程啓動客戶計算機上遠程安裝 Windows2000 Professional 的能力(系統服務);
- ismserv.exe 允許在 Windows Advanced Server 站點間發送和接收消息(系統服務);
- ups.exe:管理連接到計算機的不間斷電源(UPS)(系統服務);
- wins.exe:爲註冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS名稱服務(系統服務);
- ll***v.exe:Microsoft Windows Server版的一部分,用於許可登陸服務(系統服務);
- ntfrs.exe:在多個服務器間維護文件目錄內容的文件同步(系統服務);
- RsSub.exe:控制用來遠程儲存數據的媒體(系統服務);
- locator.exe:管理 RPC 名稱服務數據庫(系統服務);
- lserver.exe:註冊客戶端許可證(系統服務);
- dfssvc.exe:管理分佈於局域網或廣域網的邏輯卷(系統服務);
- clipsrv.exe:支持“剪貼簿查看器”,以便可以從遠程剪貼簿查閱剪貼頁面(系統服務);
- msdtc.exe:並列事務,是分佈於兩個以上的數據庫,消息隊列,文件系統,或其它事務保護資源管理器(系統服務);
- faxsvc.exe:幫助您發送和接收傳真(系統服務);
- cisvc.exe:Windows操作系統自帶的程序。它用於監測CIDAEMON.exe內存使用狀態,防止可用內存過低問題(系統服務);
- dmadmin.exe:磁盤管理請求的系統管理服務(系統服務);
- mnmsrvc.exe:允許有權限的用戶使用 NetMeeting 遠程訪問 Windows 桌面(系統服務);
- netdde.exe:提供動態數據交換 (DDE) 的網絡傳輸和安全特性(系統服務);
- smlogsvc.exe:配置性能日誌和警報(系統服務);
- rsvp.exe:爲依賴質量服務(QoS)的程序和控制應用程序提供網絡信號和本地通信控制安裝功能(系統服務);
- RsEng.exe:協調用來儲存不常用數據的服務和管理工具(系統服務);
- RsFsa.exe:管理遠程儲存的文件的操作(系統服務);
- grovel.exe:掃描零備份存儲(SIS)捲上的重複文件,並且將重複文件指向一個數據存儲點,以節省磁盤空間(系統服務);
- SCardSvr.exe:對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制(系統服務);
- snmp.exe:包含代理程序可以監視網絡設備的活動並且向網絡控制檯工作站彙報(系統服務);
- snmptrap.exe:接收由本地或遠程 SNMP 代理程序產生的陷阱消息,然後將消息傳遞到運行在這臺計算機上 SNMP 管理程序(系統服務);
- UtilMan.exe:從一個窗口中啓動和配置輔助工具 (系統服務);
- msiexec.exe:依據 .MSI 文件中包含的命令來安裝、修復以及刪除軟件(系統服務)。
Explorer.exe,svchost.exe,spoolsv.exe,winlogon.exe,rundll32.exe。這幾個進程除了spoolsv.exe打印進程不是系統運行必須的之外,其他全部都是保證系統運行正常的進程,而就是這些進程也是最容易被病毒利用的。病毒大多建立跟上述進程名稱類似的進程,來欺騙用戶;或者將自身的dll模塊嵌入到這些系統進程中。我們先從基礎的病毒進程命名欺騙來着手,介紹下病毒進程命名欺騙的大體方式。
以前一階段流行並造成嚴重破壞後果的威金病毒爲例,她的主要病毒程序爲:rundl132.exe,logo_1.exe,vdll.dll,logo1_.exe,exp10rer.exe等,看到這裏我們不難發現系統的進程爲rundll32.exe,而病毒進程爲rundl132.exe。,區別在於系統的進程是兩個“ll”而病毒的進程是一個“l”一個數字“1”。另外一個系統進程爲explorer.exe,病毒進程用數字“1”和“0”代替了系統進程的字母“l”和“o”。
另外一個典型的例子是直到今天還在流行的U盤自動播放病毒,儘管這個病毒已經產生了無數的變種,生成的exe文件名千奇百怪,但是在最初,她的病毒文件命名還是具備欺騙的性質。她的病毒文件命名爲svch0st.exe,通過上面的介紹,我們很容易就發現了她的欺騙方式:用數字“0”代替了系統進程的字母“o”。
這裏,我們介紹了一個最直觀的病毒命名方式,通過第一步的肉眼觀察,就能夠發現很多病毒的藏身所在,掌握了系統進程的名稱,就擁有了基礎的病毒手動查殺能力。