|
发表于 2007-5-30 10:00:30
|
显示全部楼层
来自: 中国山东泰安
2.Windows 2000/ XP/2003系统
$ ^8 X9 N* r. m b' Y+ V3 O
" H% r4 T; E/ c9 a Windows 2000、Windows XP、Windows 2003打开进程窗口的方式与Windows 9x系统相同
+ W0 h: @3 o# Y5 ^
2 s- Z+ \" ~0 x0 v X,只是三键后打开的是“Windows 任务管理器”窗口,需要选择里面的“进程”项。Windows
" q! C/ t2 x6 W0 ]( o- T. n& _1 o- r" _2 Q# T
2000系统只显示具体进程的全名,占用的内存量;Windows XP、Windows 2003系统相比
1 _- [8 z- I: K) L+ X2 E. X" J% s- N7 y+ Q$ U
Windows 2000会显示该进程归属于那个用户下,如操作系统所必须的基础程序,会在后面的( P9 L; j! ]; z, b, q2 w+ G
, L9 _7 ~' q% h/ H5 X! M" v“用户名”内显示为“SYSTEM”,由用户另外开启的程序则用户名为当前的系统登录用户名3 K! H- C& s% b4 n( C6 i& q0 ]
0 r& M# E, i) x& _' k
。
! |/ K% W0 r' K( `! P( B: P9 |- {6 U8 j; o ^8 u2 E8 P
通过进程发现、处理病毒 9 L; T3 p7 G0 S" a
在介绍具体的查毒和杀毒前,笔者先回答开篇提出的两个问题。为什么杀毒软件并不能& x7 R1 V* p% f1 W7 P4 w, V
3 i% `- g( ?/ G0 {& A
全面的查找和杀掉病毒?首先,病毒防火墙是通过对程序进行反汇编,然后与自己的病毒库' T0 V3 P2 a m% e# y: v9 ~
; p7 F, a7 N+ {9 z# k* c进行对比来查找病毒,如果病毒较新,而杀毒软件又未能及时升级便不能识别病毒。其次,
3 u9 M- Y0 m" \/ A9 C5 S
4 b$ r2 q0 L9 V1 y" H; k3 P杀毒软件在发现病毒后,如果是独立的可执行病毒程序,会选择直接删除的处理方式,而病
?6 t- d3 `# [( E. p# X* h1 a* e$ R0 p2 ?6 m5 \
毒如果被当作进程执行了,杀毒软件就无能为力了,因为它没有功能和权限先停止掉系统的7 j( z* l0 C2 c( p1 w; L
1 c+ L; I0 c8 D# \0 K7 V U这些进程,被当作进程执行的程序是不能被删除的(这也是大家在删除一个程序时,提示该
5 c& Y- a0 s" E8 c- u/ X4 |, E" G( p' S1 d& ^
程序正在被使用不能删除的原因)。所以在使用杀毒软件杀毒时,才会有杀毒完成后,又出' X* |/ k2 Q- i+ y, W- m3 N& x
2 b* v4 k4 `* c# }/ H现病毒提示的原因。 : I% y/ w" P S; @) Q
2 j3 z& ]. f! ~# n4 s6 y0 F
回到原来话题上!通过进程如何发现和杀掉病毒呢?由前面的知识介绍可知,Windows 7 b* D2 L; q* V* o- C5 f
* F2 ^# V! ?0 N3 Q, x, R* w
9X和Windows 2000系统只能显示进程的名称,这对判断该进程是否是病毒还不够,如果要准
, S" U1 n- `, p6 \* w
+ K5 O- D9 ]6 M确的断定病毒,最好使用前面介绍的“Windows优化大师”来查看进程程序的源路径,如果是
2 `% D1 Y; ?) [% w( @3 S& y( K; A7 \' L! u8 R, g/ q4 k
“C:\windows\system”下的一些未知的“EXE”那便极有病毒的可能性了。Windows XP和
9 J d# E0 L% [5 G7 L* V$ @
) [! w) ]* {- n2 Z1 [4 I% @+ h3 CWindows 2003系统,进程后会有“用户名”的显示,病毒是不可能获得“SYSTEM”权限的,3 }, z0 H# M/ X( C1 W3 F
* L" b& ~5 I# c. o( \; P9 Y
所以应注意“用户名”是当前登录用户的进程,一旦发现是病毒,可以立即“杀掉”。这里
/ ? ]7 L- R, f7 ~: e- X8 l3 [% J
介绍两个技巧:
' b; k/ y% X( f1 L. w4 p; k
/ B0 D3 }( w* K7 l6 b% T% k1.发现可疑进程后,利用Windows的查找功能,查找该进程所在的具体路径,通过路径可以* V: y$ F [% d, g; ]
3 X |1 B7 a5 U v+ p6 }5 r
知道该进程是否合法,譬如由路径“C:\Program Files\3721\assistse.exe”知道该程序是
9 S; q1 N3 C }# t3 E7 D/ A( Z8 p% }7 b9 Y1 b6 U
3721的进程,是合法的。 " d m0 N, l$ h: ^+ A
" s! {; q% j/ y2 H2.在对进程是否病毒拿不定主意时,可以复制该进程的全名,如:“xxx.exe”到googl.com
1 v6 i' l- a, H' `. n: @9 D+ B0 x: |+ ?1 K$ p9 H
或baidu.com这样的全球搜查引擎上进行搜查,如果是病毒会有相关的介绍网页。 5 c: r% m# f% `- `! l4 s8 H
8 g% |4 p6 j" @1 y$ n" V 确定了该进程是病毒,首先应该杀掉该进程,对于Windows 9x系统,选中该进程后,点
$ S, D5 X4 v/ @9 [/ z
; X) x" g6 i# v$ V' x) H2 q8 ]击下面的“结束任务”按钮,Windows 2000、Windows XP、Windows 2003系统则在进程上单
1 _! e, E1 l( Z
3 n! ~' c! D) N8 }击右键在弹出菜单上选择“结束任务”。“杀掉”进程后找到该进程的路径删除掉即可,完
" a" B+ i7 N% h2 i ?' G8 c. n9 [) _ C% ?/ ^3 I
成后最好在进行一次杀毒,这样就万无一失了。 3 C. k0 _: h$ e
# z, ]- V2 a7 n 一次利用进程杀毒的具体过程是这样的:“通过进程名及路径判断是否病毒→杀掉进程→删除病毒程序”,为了让读者更好的判断进程,在这里补充一些Windows的进程资料给大家:+ V7 y# g. b. r) J; q1 e" S; a
0 k, q0 G7 L8 e* ^1 q: b3 m6 g
. T# N, Z. W6 ]: [( [7 V4 DQUOTE:% D, R/ Q4 [) W8 W
进程名 描述 0 ~; b7 S4 e" j2 {
5 U- x4 |* O& N# O/ j" K4 [smss.exe Session Manager - m6 Z7 d$ c. B7 k* j4 o
. [0 `, z0 h9 @7 Kcsrss.exe 子系统服务器进程 : I. c8 o0 @6 P5 Q" y
6 Y7 X5 ^0 }/ [% A6 ]
winlogon.exe 管理用户登录
+ i- ^8 a5 Y8 h5 T; L: Y, B- G
# g( p' B9 T3 i5 g! Oservices.exe 包含很多系统服务
. \7 w2 h3 J/ f
: @3 M. u1 p4 |lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
% Q6 J9 F4 P2 N$ W1 X! p9 o
7 u" c$ y0 ^2 Z* o; vsvchost.exe Windows 2000/XP 的文件保护系统 4 J2 u% W" p; W8 U9 j& T7 n% M- G
/ x' _+ I) t* J7 s3 ZSPOOLSV.EXE 将文件加载到内存中以便迟后打印。
2 a8 |& c1 m. D8 [/ U
. ? p) `" j: s. e4 \! K- ]explorer.exe 资源管理器 ) D5 r5 u: W. c2 w
7 x$ f2 ` v) m* @4 @internat.exe 托盘区的拼音图标
; n% a1 G" n1 b+ ~1 R
* X% l/ a. @& @! V+ L7 \. }! smstask.exe 允许程序在指定时间运行。
. h, d$ R1 A: e+ F" M L, l/ \2 n4 W; r) [
regsvc.exe 允许远程注册表操作。(系统服务)→remoteregister $ c5 b/ `1 O0 {
% y, {! G" Y) w
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。 , x3 _' L4 B& R/ Q1 i
5 Y% F/ A' u. J; O# o. o% [
llssrv.exe 证书记录服务
( z$ Q- @9 o) g6 Z, B
5 F; i$ l0 F: n% c- C; Pntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
% \! i* W S( g3 J- ~/ D: W
, {! e9 ~9 G; }' i# QRsSub.exe 控制用来远程储存数据的媒体。 0 c1 W; o/ U4 O5 A5 p6 E- U: L
. J* e% g& S; b+ |5 l& olocator.exe 管理 RPC 名称服务数据库。
! @" S/ r% X9 S! Q n/ L7 M6 M- }
/ q" @& S3 M! b1 f6 hclipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。 ( c3 E' `* C/ n% E0 s
& }; I+ W/ B; j) N" I" V' Z
( n9 k/ J3 t- J' S; {问:我的系统进程里有四个svchost.exe,听说有些木马就是伪装成系统的进程,不知道这个4 n. i7 |+ R4 C( X
+ K. k$ `. A6 L r9 ~; H是不是?
, w/ U& R6 y ~9 [/ C4 k3 s: F! t$ _& L' v& {- Q4 o# o
答:svchost.exe 存在 %windir%\system32\wins 下。 : K% o6 c) _/ n M7 v
( O5 M+ O4 r4 t9 p' z
如果怀疑svchost.exe是病毒可以通过以下方法来证实是不是病毒:7 ~8 F# z/ W, m% n9 Z3 J
) f1 e# ?# R3 [+ u1 m
1.可以去 wins 目录找找有无多余,
8 e5 n6 F& q% d" {! E$ f# q$ l
! @3 ~* t9 L, m+ E2.可以搜搜windows文件夹中 svchost.exe 看看有几个(应为1个),/ p# i5 t: V" Y
5 X2 y% Q: i6 k) @, W' N3.tlist -s察看,+ l; l$ ^0 B6 @$ P, x
5 f) ? h, z7 ^% K, S, m9 W: D
4.也可以下载一个可以看带路径名的进程的浏览工具。 3 I8 d2 i& o- f) G
: K( g$ i6 m1 J! F
问:svchost.exe是起什么作用的进程?
$ _+ p' C* L9 B$ z, N' z
q: v! j1 P. J' M; N' e; `7 y答:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。
" t) y3 T% b6 A8 ~' n7 m7 J# W0 F8 N q& I4 t+ z7 `- c7 l9 \
Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,0 ?5 u% q7 F6 E4 x/ L5 p" Y, j
6 E2 `0 V: G1 [2 k( TSvchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依*Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
, |( E8 Z- W) z5 ]9 W3 L* }! G$ @0 X$ W2 |, I
Svchost.exe 组是用下面的注册表值来识别。" Y* G8 |8 k; D% ~1 M
2 k( M/ k: Q0 a; K4 P6 ]2 e& ~HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service msdtc.exe ---并列事务,是分布于两个以上的数据库,消息队列,文件系统或其他事务保护资源管理器。
3 a! ]6 k0 E/ L+ h1 q: J$ ^- s3 Q0 d4 X0 {( M* J& {$ Y
grovel.exe ---扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)。
6 m) e# c* ?' P T( B( k7 A e$ M% l9 X8 Z5 f7 t, \" L! _
snmp.exe ---包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。 . [$ T+ Q! G2 X! Q: @! ?0 O( g
以上这些进程都是对计算机运行起至关重要的,千万不要随意“杀掉”,否则可能直接影响系统的正常运行。 |
|