科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道识别病毒木马隐匿之术--svchost.exe分析

识别病毒木马隐匿之术--svchost.exe分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

2007年是木马众多的一年,其不论从危害上还是隐藏性上都较以前的木马有更大改进,这对网民来说是个坏消息。但正是木马的改进推动了安全技术的进步,其实无论木马藏匿在计算机中何处,都有其形可查,再狡猾的木马都无法将自身完全淹没在进程中,那么利用查找进程发现木马将是防马杀马的开始。

作者:论坛整理 来源:zdnet网络安全 2008年4月10日

关键字: svchost 木马 病毒

  • 评论
  • 分享微博
  • 分享邮件
 部分进程详解
    了解了病毒木马进驻系统后是如何藏身的方法后,这里可对症下药,一步一步将病毒揪出系统。而了解每个系统进程的作与运行原理,将在很大程度上提高识别病毒木马进程的精确度。

    一、svchost.exe
    由于系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。病毒常以此进程文件伪装的有svch0st.exe、schvost.exe、scvhost.exe等,一个字符大小写的变化,即可以生存多种形态。

    系统调用查看:这里可以依次打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。(图一)

    当svchost.exe的可执行文件路径位于C:WINDOWSsystem32目录外,那么就可以判定是病毒伪装。

    系统进程线数:Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;WindowsXP中,则一般有4到五个svchost.exe服务进程。如果svchost.exe进程的数量多于5个,此时用户就要小心了,很可能是病毒假冒的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章