分析进程 识别病毒木马隐匿之术

　　2007年是木马众多的一年，其不论从危害上还是隐藏性上都较以前的木马有更大改进，这对网民来说是个坏消息。

　　但正是木马的改进推动了安全技术的进步，其实无论木马藏匿在计算机中何处，都有其形可查，再狡猾的木马都无法将自身完全淹没在进程中，那么利用查找进程发现木马将是防马杀马的开始。

　　系统常见进程

　　Windows XP系统中常用的进程有：taskmgr.exe：Windows任务管理器，是Windows任务管理执行者，这是任务管理器的系统进程，在正常情况下是没有的，只有当你使用 Ctrl+Alt+del组合键以后才能激活的系统进程；explorer.exe：Windows Explorer用于控制Windows图形Shell，包括开始菜单、任务栏，桌面和文件管理，该进程主要负责显示系统桌面上的图标以及任务栏；spoolsv.exe：Windows打印任务控制程序；svchost.exe：Service Host Process是一个标准的动态连接库主机处理服务；lsass.exe：本地安全权限服务控制Windows安全机制；services.exe：管理Windows服务；winlogon.exe：Windows NT用户登陆程序；csrss.exe：客户端服务子系统，用以控制Windows图形相关子系统；system：Windows页面内存管理进程；smss.exe：该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。以上这些即为windows xp常用的系统进程。

　　病毒藏身方式

　　查看进程的方式为CTRL+ALT+DELETE（打开任务管理器），打开后很多网民会发现里面进程项目太多，根本无法识别出哪些是正常的系统进程，哪些是木马改装的进程，这该如何是好？面对如此情况，只有在了解系统对各种进程的需求与病毒常见的隐藏方式即可对症下药手到马除。

　　一、系统进程伪装：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，如果在任务管理器中发现如下进程则需小心提防并进行分析：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe等，其都利用了伪装法，将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，以达以假乱真让用户无法识别的目的。

　　二、进程插入技术：此类病毒技术在系统进程中无法识别，其将病毒自知运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

　　三、进程替换法：例如当一个病毒木马潜身到计算机后将其名改为正常的系统文件名如：svchost.exe虽然与系统文件不在同一个目录下，但其运行后在系统进程中将与svchost系统文件同名，与正常的系统进程名一模一样，此时用户无法识别。

　　部分进程详解

　　了解了病毒木马进驻系统后是如何藏身的方法后，这里可对症下药，一步一步将病毒揪出系统。而了解每个系统进程的作与运行原理，将在很大程度上提高识别病毒木马进程的精确度。

　　一、svchost.exe

　　由于系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。病毒常以此进程文件伪装的有svch0st.exe、schvost.exe、scvhost.exe等，一个字符大小写的变化，即可以生存多种形态。

　　系统调用查看：这里可以依次打开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”，而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。（图一）

　　当svchost.exe的可执行文件路径位于C:\WINDOWS\system32目录外，那么就可以判定是病毒伪装。

　　系统进程线数：Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe；WindowsXP中，则一般有4到五个svchost.exe服务进程。如果svchost.exe进程的数量多于5个，此时用户就要小心了，很可能是病毒假冒的。

　　二、explorer.exe

　　explorer.exe进程的作用就是管理计算机中的资源，其常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe、explorer.exe等。

　　系统进程停用后果：如在[任务管理器]中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建任务”，输入“explorer.exe”后，消失的界面将会重新回来。 （图二）

　　系统调用查看：explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:\Windows”目录，除此之外则为病毒。

　　三、iexplore.exe

　　iexplorer.exe是MicrosoftInternetExplorer所产生的进程，即平常使用的IE浏览器。常被病毒冒充的进程名有：iexplorer.exe、iexploer.exeiexplorer.exe等。

　　系统调用查看iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中，存在于其他目录则为病毒，除非用户将该文件夹进行了转移。（图三）

　　系统中毒线程情况：有时在没有打开IE浏览器的情况下，会发现系统资源管理器中仍然存在iexplore.exe进程，此时用户需注意，此iexplore.exe进程可能是病毒伪装

　　四、rundll32.exe

　　rundll32.exe在系统中的作用是执行DLL文件中的内部函数，其可以控制系统中的一些dll文件，常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。

　　系统调用查看：在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。（图四）

rundll32.exe的路径为“C:\Windows\system32”。

　　五、spoolsv.exe

　　spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序，其作用是治理所有本地和网络打印队列及控制所有打印工作。常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。

　　系统服务停止后果：假如此服务被停用，计算机上的打印功能将不可用，同时spoolsv.exe进程也会从计算机上消失。这里建议停止该服务，如果该服务停止后，系统中还存在spoolsv.exe进程，那肯定就是病毒木马在作怪。（图五）

　　第三方检测方案

　　其实发现从进程中发现木马病毒很简单，第一、检查进程的文件名；第二、检查其路径即可发现，如果通过其系统平台无法查出其文件所在路径，那么就需要通过第三方软件来实现，这里以RogueCleaner.exe恶意软件清除助理为例，打开该软件，利用左侧的栏目中[系统进程清理]查看当前系统平台下所有进程项目的所在位置（图六），

　　对比上述的系统常用进程，如发现其文件位置有所移动，则应立即作出查杀处理，或将其不能明确的进程输入到各大搜索引擎中查看其结果，可得知当前的进程是否违规。

　　编者按：面对形形色色的系统进程，网民只要多在留意，那么再狡猾的病毒木马也难逃慧眼，其最终将被赶出操作平台。