系统安全教程:用进程管理工具保护系统
2009-05-20 20:54:22 来源:WEB开发网 闂傚倸鍊搁崐鎼佸磹閹间礁纾瑰瀣椤愯姤鎱ㄥ鍡楀幊缂傚倹姘ㄩ幉绋款吋閸澀缃曢梻鍌欑濠€閬嶆惞鎼淬劌绐楅柡宥庡亞娑撳秵銇勯弽顐沪闁绘挶鍎甸弻锝夊即閻愭祴鍋撻崷顓涘亾濮樼偓瀚�
闂傚倸鍊搁崐鎼佸磹閹间礁纾瑰瀣捣閻棗銆掑锝呬壕濡ょ姷鍋涢ˇ鐢稿极閹剧粯鍋愰柟缁樺笧閳ь剦鍙冨鍝勑ч崶褏浠奸梺璇茬箲閼归箖鎮鹃悜钘夎摕闁靛濡囬崢鐢告⒑鐟欏嫷鍟忛柛鐘崇墵閵嗗倹绺介崨濠勫幈闁硅壈鎻槐鏇熺墡闂備線娼уú銈団偓姘嵆閻涱噣骞掑Δ鈧粻锝嗙節闂堟稑鏆欏ù婊堢畺閺岋綁濮€閳惰泛婀辨竟鏇熺節濮橆厾鍘甸梺缁樺姦閸撴岸鎮樻潏銊ょ箚闁圭粯甯炴晶娑氱磼缂佹ḿ娲寸€规洖宕灃闁告劕鍟犻崜婵堟崲濞戞ḿ鏆嗗┑鐘辫兌閺佹牜绱撴担浠嬪摵闁圭懓娲ら悾鐑藉箳閹搭厽鍍甸梺鐟板悁閻掞箓鎮楅幖浣光拻濞达絿鍎ら崵鈧梺鎼炲€栭悧鐘荤嵁韫囨稒鏅搁柨鐕傛嫹
婵犵數濮烽弫鍛婃叏閻戣棄鏋侀柛娑橈攻閸欏繑銇勯幘鍗炵仼缂佺媭鍨堕弻娑㈠箛闂堟稒鐏堥悗鐟版啞缁诲啴濡甸崟顖氱閻庨潧鎽滈悾濂告⒑绾拋娼愭繛鑼枎椤繒绱掑Ο鑲╂嚌闂侀€炲苯澧畝锝堝劵椤︽煡鎮¢妶澶嬬厪闁割偅绻冮崑顏呯箾瀹割喕绨婚幆鐔兼⒑鐎圭姵銆冮柤鍐茬埣瀹曟繈鏁冮埀顒勨€旈崘顔嘉ч柛鈩冾殘閻熸劙姊洪悡搴℃毐闁绘牕銈稿畷鐑樼節閸パ冨祮闂侀潧楠忕槐鏇㈠储椤忓牊鈷戦柟鑲╁仜閸旀鏌¢崨顔锯姇缂佸倹甯熼ˇ瀵哥磼鏉堛劌绗氭繛鐓庣箻閸┾剝鎷呴柨瀣垫綗闂傚倷娴囧銊╂倿閿曞倸绠查柛銉墮閺嬩線鏌熼崜褏甯涢柡鍛倐閺屻劑鎮ら崒娑橆伓闂傚倸鍊搁崐鎼佸磹閹间礁纾瑰瀣椤愯姤鎱ㄥ鍡楀幊缂傚倹姘ㄩ幉绋款吋閸澀缃曢梻鍌欑濠€閬嶆惞鎼淬劌绐楅柡宥庡亞娑撳秵銇勯弽顐沪闁绘挶鍎甸弻锝夊即閻愭祴鍋撻崷顓涘亾濮樼偓瀚� 闂傚倸鍊搁崐鎼佸磹閹间礁纾归柣鎴eГ閸ゅ嫰鏌ら崫銉︽毄濞寸姵姘ㄧ槐鎾诲磼濞嗘帒鍘$紓渚囧櫘閸ㄥ爼濡撮崘顔煎窛闁哄鍨归崢娲倵楠炲灝鍔氭い锔诲灦瀹曪繝骞庨懞銉у帾闂婎偄娲﹀ú鏍ㄧ墡闂備浇顕х€垫帡宕滈悢濂夋綎闁惧繐婀辩壕鍏间繆椤栨碍鎯堟い顐㈢焸濮婅櫣鎷犻懠顒傤唹濠殿喗菧閸旀垿宕洪埀顒併亜閹哄秶顦﹂柛銈庡墴閺屾盯骞樼捄鐑樼€诲銈庡亜缁绘劗鍙呭銈呯箰鐎氼剟鎮楅鐑嗘富闁靛牆妫欑粈鈧梺鐟板暱闁帮絽鐣峰⿰鍕嚤閻庢稒菤閹锋椽姊绘笟鍥т簽闁稿鐩幊鐔碱敍濞戞瑦鐝峰銈嗘煥婢х晫澹曢悡搴唵閻犺櫣灏ㄩ崝鐔虹磼婢跺孩顏犻柍褜鍓氶鏍窗閺嶎厸鈧箓鏌ㄧ€b晝绠氬┑顔界箓閻牆危閻戣姤鈷戠紒瀣儥閸庢劙鏌熼悷鐗堟悙閾荤偤鏌涢幇鈺佸Ψ婵℃彃鐗婄换娑㈠幢濡ゅ啰顔夊┑鐐茬墛閿曘垹顫忕紒妯诲濡炲绨肩憰鍡欑磽閸屾氨袦闁稿鎸荤换娑氣偓娑欋缚閻倝鏌涢幘璺烘灈鐎规洘妞介崺鈧い鎺嶉檷娴滄粓鏌熼悜妯虹仴闁逞屽墮缂嶅﹤顕i幎绛嬫晢闁告洦鍓涢崢閬嶆煟鎼搭垳绉靛ù婊呭厴閻擃剟顢楅崒妤€浜鹃悷娆忓绾惧鏌涘Δ鈧崯鍧楊敋閿濆纾归柣鏇氱劍闉嬮梻鍌欑閹碱偄螞鐎靛摜涓嶉柟鎹愵嚙閽冪喖鏌曟繛鐐珕闁稿妫濋弻娑氫沪閸撗€妲堝銈呴獜閹凤拷
系统修复工具不是万灵丹,并非对所有病毒都有效。有的病毒的保护措施非常强,仅仅靠修复系统是解决不了问题的。这时,我们就需要用到进程管理工具,用它来有针对性地解决问题。本期手工杀毒扫尾工作还是由杀毒软件完成。
如果说电脑是你的私人领地,那么Windows任务管理器中的进程页面就是你领地里面的议事厅。在议事厅里面,聚集着各种程序的进程。每一个程序活动的时候都有相应的进程,病毒也不例外,所以当病毒侵入你的领地时,议事厅里就会冒出一些鬼鬼祟祟或者十分陌生的进程。
鬼鬼祟祟?陌生?所有的进程都长得差不多!这是很多朋友的心声。的确,对进程没有一定了解的朋友,是根本无法分辨进程好坏的。病毒进程可以大摇大摆地在你的议事厅里面霸占一席,逍遥自得。
通过进程自保
病毒在议事厅里面建窝可不是什么好事情,你的领地经常会出一些莫名其妙的怪事。比如:门神杀毒软件查出了病毒,但是始终杀不掉;用系统修复工具修复系统,可问题依旧等。
这就像你发现了搞破坏的小丑,可是你就是无法从人群中把他揪出来。
病毒的自保能力,主要是靠进程,有两种厉害的技能。一种技能是驱动级的Rootkit技术,所谓驱动级就是病毒编写的时候突破常规直接加载系统的底层函数。这就相当于病毒得到了领地指挥权印信,有了这个东西,门神杀毒软件就不能动它了,甚至病毒还可以利用领地指挥权印信命令杀毒软件休眠。
另外一种技能是将病毒进程隐身。在任务管理器中,病毒进程是肉眼看不见的。这样你就算有一些安全防范知识,也无法察觉议事厅中混入了病毒。这两种技能被很多高级病毒同时使用,是它们保命的绝招。
常见的病毒进程
系统服务进程svchost.exe经常被病毒假冒,例如假冒成svch0st.exe(图1)、schvost.exe、scvhost.exe;资源管理器进程explorer.exe经常被病毒假冒,例如假冒成iexplorer.exe、expiorer.exe、explore.exe;IE浏览器进程iexplore.exe经常被病毒假冒,例如假冒成iexplorer.exe、iexploer.exe、iexploreror.exe。
以上3个进程是最容易受病毒假冒的。此外,也有不加掩饰、赤裸裸的病毒进程,例如cmd.exe、conime.exe等,正常情况下这些进程根本不会出现在议事厅里面。当然,病毒还会创建全新名字的进程,让你无法分辨该进程到底是用来干什么的,不敢随意终结。
如果你无法辨别进程是否有问题,可以登录一些进程网站进行识别。例如登录http://www.pcpid.com,在“关键字”处输入进程名称,点击搜索即可得到结果(图2)。
用《冰刃》终结病毒进程
看到这,也许你会说:“我一看到英文名的进程就头痛,病毒进程认识我,可我不认识它。”的确,很多朋友都不熟悉进程,平时都是依靠杀毒软件保障领地的安全。就这样被病毒征服吗?不,你还是有希望的,不用每个进程都熟悉,不用每个病毒进程都终结,只要解决了杀毒软件“无用”这个难题,剩下的就交给杀毒软件处理吧。
秘密武器就是《冰刃》,一款非常不错的安全辅助工具,利用这款工具我们可以让杀毒软件“活跃”起来。运行《冰刃》,点击“进程”,再调出任务管理器,对比可以发现隐藏的进程,例如《冰刃》发现了46个进程,而任务管理器中却只有45个(图3),定位到多出来的进程删除即可。再运行杀毒软件,看能否成功启动。
如果杀毒软件曾提示了xxx.dll是病毒,但是清除不了。在《冰刃》里面定位到该DLL文件,点击“卸除”或者“强制卸除”,之后再用杀毒软件扫描硬盘,清除病毒残留物。
中查找“系统安全教程:用进程管理工具保护系统”更多相关内容
中查找“系统安全教程:用进程管理工具保护系统”更多相关内容更多精彩
赞助商链接
