网络安全

位置:IT落伍者 >> 网络安全 >> 浏览文章

分析进程识别病毒木马隐匿之术


发布日期:2020年03月11日
 
分析进程识别病毒木马隐匿之术

年是木马众多的一年其不论从危害上还是隐藏性上都较以前的木马有更大改进这对网民来说是个坏消息但正是木马的改进推动了安全技术的进步其实无论木马藏匿在计算机中何处都有其形可查再狡猾的木马都无法将自身完全淹没在进程中那么利用查找进程发现木马将是防马杀马的开始

系统常见进程

Windows XP系统中常用的进程有taskmgrexeWindows任务管理器是Windows任务管理执行者这是任务管理器的系统进程在正常情况下是没有的只有当你使用 Ctrl+Alt+del组合键以后才能激活的系统进程explorerexeWindows Explorer用于控制Windows图形Shell包括开始菜单任务栏桌面和文件管理该进程主要负责显示系统桌面上的图标以及任务栏spoolsvexeWindows打印任务控制程序svchostexeService Host Process是一个标准的动态连接库主机处理服务lsassexe本地安全权限服务控制Windows安全机制servicesexe管理Windows服务winlogonexeWindows NT用户登陆程序csrssexe客户端服务子系统用以控制Windows图形相关子系统systemWindows页面内存管理进程smssexe该进程为会话管理子系统用以初始化系统变量MSDOS驱动名称类似LPT以及COM调用Win壳子系统和运行在Windows登陆过程以上这些即为windows xp常用的系统进程

病毒藏身方式

查看进程的方式为CTRL+ALT+DELETE(打开任务管理器)打开后很多网民会发现里面进程项目太多根本无法识别出哪些是正常的系统进程哪些是木马改装的进程这该如何是好?面对如此情况只有在了解系统对各种进程的需求与病毒常见的隐藏方式即可对症下药手到马除

系统进程伪装svchostexeexplorerexeiexploreexewinlogonexe等如果在任务管理器中发现如下进程则需小心提防并进行分析svchstexeexploreexeiexplorerexewinloginexe等其都利用了伪装法将系统中正常进程名的o改为l改为ii改为j然后成为自己的进程名以达以假乱真让用户无法识别的目的

进程插入技术此类病毒技术在系统进程中无法识别其将病毒自知运行所需的dll文件插入正常的系统进程中表面上看无任何可疑情况实质上系统进程已经被病毒控制了除非借助专业的进程检测工具否则要想发现隐藏在其中的病毒是很困难的

进程替换法例如当一个病毒木马潜身到计算机后将其名改为正常的系统文件名如svchostexe虽然与系统文件不在同一个目录下但其运行后在系统进程中将与svchost系统文件同名与正常的系统进程名一模一样此时用户无法识别

部分进程详解

了解了病毒木马进驻系统后是如何藏身的方法后这里可对症下药一步一步将病毒揪出系统而了解每个系统进程的作与运行原理将在很大程度上提高识别病毒木马进程的精确度

svchostexe

由于系统服务是以动态链接库(DLL)形式实现的它们把可执行程序指向scvhost由cvhost调用相应服务的动态链接库来启动服务病毒常以此进程文件伪装的有svchstexeschvostexescvhostexe等一个字符大小写的变化即可以生存多种形态

系统调用查看这里可以依次打开控制面板管理工具→服务双击其中ClipBook服务在其属性面板中可以发现对应的可执行文件路径为C:\WINDOWS\system\clipsrvexe再双击Alerter服务可以发现其可执行文件路径为C:\WINDOWS\system\svchostexe k LocalServiceServer服务的可执行文件路径为C:\WINDOWS\system\svchostexe k netsvcs(图一)

当svchostexe的可执行文件路径位于C:\WINDOWS\system目录外那么就可以判定是病毒伪装

系统进程线数Windows系统中一般存在个svchostexe进程一个是RPCSS(RemoteProcedureCall)服务进程另外一个则是由很多服务共享的一个svchostexeWindowsXP中则一般有到五个svchostexe服务进程如果svchostexe进程的数量多于此时用户就要小心了很可能是病毒假冒的

explorerexe

explorerexe进程的作用就是管理计算机中的资源其常被病毒冒充的进程名有iexplorerexeexpiorerexeexploreexeexplorerexe等

系统进程停用后果如在[任务管理器]中将explorerexe进程结束那么包括任务栏桌面以及打开的文件都会统统消失单击任务管理器文件新建任务输入explorerexe消失的界面将会重新回来 (图二)

系统调用查看explorerexe进程默认是和系统一起启动的其对应可执行文件的路径为C:\Windows目录除此之外则为病毒

iexploreexe

iexplorerexe是Microsoft Internet Explorer所产生的进程即平常使用的IE浏览器常被病毒冒充的进程名有iexplorerexeiexploerexeiexplorerexe等

系统调用查看iexploreexe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中存在于其他目录则为病毒除非用户将该文件夹进行了转移(图三)

系统中毒线程情况有时在没有打开IE浏览器的情况下会发现系统资源管理器中仍然存在iexploreexe进程此时用户需注意此iexploreexe进程可能是病毒伪装

rundllexe

rundllexe在系统中的作用是执行DLL文件中的内部函数其可以控制系统中的一些dll文件常被病毒冒充的进程名有rundlexerundlexe

系统调用查看命令提示符中输入rundllexe userdllLockWorkStation回车后系统就会快速切换到登录界面了(图四)

rundllexe的路径为C:\Windows\system

spoolsvexe

spoolsvexe是系统服务Print Spooler所对应的可执行程序其作用是治理所有本地和网络打印队列及控制所有打印工作常被病毒冒充的进程名有spoosvexespolsvexe

系统服务停止后果假如此服务被停用计算机上的打印功能将不可用同时spoolsvexe进程也会从计算机上消失这里建议停止该服务如果该服务停止后系统中还存在spoolsvexe进程那肯定就是病毒木马在作怪(图五)

第三方检测方案

其实发现从进程中发现木马病毒很简单第一检查进程的文件名第二检查其路径即可发现如果通过其系统平台无法查出其文件所在路径那么就需要通过第三方软件来实现这里以RogueCleanerexe恶意软件清除助理为例打开该软件利用左侧的栏目中[系统进程清理]查看当前系统平台下所有进程项目的所在位置(图六)

对比上述的系统常用进程如发现其文件位置有所移动则应立即作出查杀处理或将其不能明确的进程输入到各大搜索引擎中查看其结果可得知当前的进程是否违规

编者按面对形形色色的系统进程网民只要多在留意那么再狡猾的病毒木马也难逃慧眼其最终将被赶出操作平台

上一篇:WindowsVista网络和共享中心完全体验

下一篇:Windows XP防火墙深层探索