日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

用Longhorn任務(wù)管理器查木馬

云知道

作者: 胡子
最近有網(wǎng)友將任務(wù)管理器從Longhorn測試版操作系統(tǒng)中剝離出來,放在網(wǎng)上供下載(www.cniti.com/soft/epc/2004-10/taskmgr.rar) 。這個版本的任務(wù)管理器可以直接升級WindowsXP/Server 2003的任務(wù)管理器,而且同原有版本相比,在識別木馬和分析系統(tǒng)方面的能力大大增強 。今天就讓我們來看看這個版本的任務(wù)管理器是如何揪出木馬的 。
Longhorn版任務(wù)管理器的源文件包括三個程序文件,分別拷貝到“C:Windowssystem32dllcache”和“C:windowssystem32”中,這個時候操作系統(tǒng)會彈出一個“Windows 文件保護(hù)”對話框,點擊“取消”按鈕,接著點擊“是”按鈕就可以了 。
以前我們經(jīng)常說可以利用進(jìn)程來判斷系統(tǒng)中是否有木馬,但是舊版任務(wù)管理器在進(jìn)程分析和判斷方面功能過于弱小,對于一般用戶來說掌握這種方法有一定難度 ?,F(xiàn)在好了,Longhorn版“任務(wù)管理器”可以采用進(jìn)程名、進(jìn)程路徑及用戶名三方面相結(jié)合的方法來判斷病毒及木馬 。
一般來說木馬和病毒會采取兩種途徑潛伏在進(jìn)程中 。一是直接利用系統(tǒng)現(xiàn)有進(jìn)程 。比如explorer.exe、rundll32.exe這些進(jìn)程 。還有一種就是通過改頭換面,生成新的進(jìn)程,但進(jìn)程名稱同系統(tǒng)基本進(jìn)程非常相似,不容易被發(fā)現(xiàn) 。比如exlporer.exe、internet.exe 。
后者主要是通過查看“映像名稱”來揪出木馬 。而前者則需要分析進(jìn)程所在路徑 。
在這里我們看到系統(tǒng)中有一個svchost.exe,這是WindowsXP中最熟悉的進(jìn)程之一 。但是當(dāng)我們通過點擊鼠標(biāo)右鍵菜單的“打開所在目錄”,卻意外發(fā)現(xiàn)這個進(jìn)程所在的路徑是C:Windows 。要知道這個進(jìn)程一般是在C:windowssystem32下面 。那么現(xiàn)在就可以初步判定這個進(jìn)程存在問題 。接下來通過專門的木馬工具進(jìn)行掃描 。
其實還有更為簡便的方法,利用“映像路徑”直接判斷進(jìn)程是否存在問題 。當(dāng)然你首先需要在新版任務(wù)管理器面板上面打開“查看→選擇列”,勾選其中的“映像路徑”選項 。然后回到“進(jìn)程”選項卡,就能夠直接看到svchost.exe進(jìn)程的路徑了,有沒有問題就一目了然 。
【用Longhorn任務(wù)管理器查木馬】注意“用戶名”也是另外一個發(fā)現(xiàn)進(jìn)程是否正確的方法 。如果是系統(tǒng)的進(jìn)程(“用戶名”為“SYSTEM”),則是正常的,如果是用戶的進(jìn)程,則可能是病毒了 。比如,有一個svchost.exe進(jìn)程的用戶名是其它名字,那你就需要殺毒了 。
總的來說,Longhorn版任務(wù)管理器在進(jìn)程管理方面得到了大大改善,靈活利用它,將幫助你迅速發(fā)現(xiàn)系統(tǒng)中是否存在病毒或者木馬,便于你及時進(jìn)行清除 。
小資料
基本進(jìn)程:smss.exe、csRSS.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe、spoolsv.exe、explorer.exe、System Idle Process;
常見進(jìn)程:internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、MSNmsgr.exe、wmIExe.exe,

    推薦閱讀