系统进程攻防
1、查看进程的发起程序
除了靠自己的经验来判断外,到底有没有其他办法识别出哪些进程是恶意进程!安全高手们常常通过“进程”来了解系统是否存在各种安全隐患。在发现了危险的进城后,关闭进程就可以暂时终止相应的程序运行。但是,无疑不能斩草除根。如果能查出进程发起的程序或文件是WHAT,IT IS OK!以查看“SVCHOST”为例:(图3)
在“命令行提示符”窗口中,输入并执行“netstat -abnov”命令,在反馈的信息中,就可以看到每个进程发起的程序或文件列表,在这里,你可根据相关知识判断是否是病毒和木马发起的程序。
技巧:为了判别进程是否正常,可以在装完WINDOWS后,点击“开始-程序-系统工具-系统信息-软件环境-正在运行任务”。把显示的窗口另存为文本文件。以后,可对照分析,从中可寻找潜藏的木马和病毒。(图2)
2、杀死病毒进程
有时候,WINDOWS任务管理器无法结束进程,可以换一种思路来结束这些进程。
打开“任务管理器”,在切换到“进程”标签页后,单击“查看”-“选择列”菜单,在弹出窗口单击选“PID”项。(图4,5)
接着在“命令行提示符”窗口中,用NTSD命另进行进程关闭操作。例:PID=1404,用“ntsd -c q -p 1404",也可以用“taskkill/pid 1404”
3、在命令行提示符下显示进程 tasklist
4、识别真假Svchost.exe
如何判断系统中的Svchost.exe是正常进程还是病毒进程?方法A,查看Svchost.exe的发起程序,操作见1。方法B,在命令行窗口输入“Tasklist/svc"(以XP为例),如果看到哪个Svchost.exe进程后面提示的服务信息为“暂缺”而不是一个具体的服务名,那么它就是病毒进程了,记下PID值,在任务管理器中找到它,结束。可以用360查看该进程的路径,删除,并彻底清除病毒的其他数据。(图6)
5、判断Explorer.exe进程的真假
正常的Explorer.exe进程位于:c:\windows\Explorer.exe,可以用360查看进程路径,发现路径不对,肯顶被其它病毒冒充。有的木马伪装Explorer.exe,例“Acid Battery v1.0”,在HYEY-LOCAL-MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN,Explorer键值改为Explorer=“c:\windows\expiorer”。
6、建议手工杀木马的辅助工具:冰刃,WSYSCHECK,隐藏进程管理工具,木马辅助查找器,WINDOWS进程管理器。
zjlisao 20071105 |
发表于 2007-11-5 22:44:27
