做自己的救世主－－系统安全保卫战

核心提示： 我们都知道，任务管理器列出的众多进程里包含着一部分“关键进程”，做自己的救世主－－系统安全保卫战(7)，它们是无法通过任务管理器中止的，而且许多文章也会提到相关进程名，还需要第三方提供的扩展任务管理器协助，例如Windows优化大师携带的进程查看器，久而久之，我们又

我们都知道，任务管理器列出的众多进程里包含着一部分“关键进程”，它们是无法通过任务管理器中止的，而且许多文章也会提到相关进程名，久而久之，我们又养成一个习惯：查看进程信息时，只要看到熟悉甚至类似的进程名就忽略不计了，仅仅去寻找不熟悉的进程名，于是后门制造者就直接利用这个心理暗角配合路径遍历法则，让后门进程显示为“smss.exe”、“svchost.exe”、“lsass.exe”、“csrss.exe”、“winlogon.exe”等关键进程名就欺骗了用户和任务管理器。

在这种情况下，系统自己的任务管理器已经不能信任了，因为它遗漏了最重要的路径信息，后门就利用了这一点——它可以把自己伪装成svchost.exe放到Windows目录下，然后在注册表启动项里加上不带路径信息的“svchost.exe”信息，系统在根据目录遍历法则一层层深入寻找svchost.exe时会在Windows目录里发现并执行它，而真正的关键进程svchost.exe是在SYSTEM32里的，而且它也必须通过“服务管理器”（Service Control Manager,SCM）加载，于是任务管理器会显示多个svchost.exe进程，但是由于缺乏路径指示，我们根本不知道系统已经多了一个假的svchost.exe。即使我们发现了它是假的，也无法用任务管理器终止它的运行，因为任务管理器只是简单的判断了文件名就认为它是“关键进程”了，自然不会让你终止。类似的后门伪装文件名还有“SYSTEM undll32.exe”、“SYSTEM32 undll.exe”（NT架构里根本没有rundll.exe这个程序）、“SYSTEMservices.exe”等，要发现并歼灭这些后门，除了要求我们对常见的系统关键进程有所了解以外，还需要第三方提供的扩展任务管理器协助，例如Windows优化大师携带的进程查看器，用它便可迅速发现路径不对的“假兄弟”。