如何从过程中判断病毒木马

系统中的任何病毒和木马，没有法希协调过程的关系，即使采用了隐藏技术，也还是可以找到痕迹，Nianye当然是在活动过程中查看系统，我们成为检测木马病毒的最直接的方式。但同时也存在系统中的很多过程。正常的系统进程是什么特洛伊木马的进程是什么他们在系统中扮演的角色通常由病毒特洛伊木马承担请看这篇文章。
三种病毒隐藏方法的实现
当我们确认病毒存在于系统中时，却通过任务打点的过程观系统在时间上找不到同一个过程，这一个使用了一些病毒隐藏的方法，总结了三种方法的弊端，以反对削减：
1 ..
在系统的正常进程Svchost.exe，explorer.exe，iexplore.exe，winlon.exe等等。也许你已经发现了系统中的这样一个过程：svch0st.exe，explore.exe，Iexplorer.exe，winlogin.exe。比较一下，你看到区别了吗这是一种方式，病毒往往是用来迷惑用户的眼睛。通常他们会正常课程体系O 0，我为我，我为J，然后成为自己的历史，只有一个词，意思是完全不同的。另一封信或少一个字母，如Explorer.exe和iexplore.exe，很容易混淆，然后Iexplorer.exe加倍。如果用户不仔细，一般忽略病毒，该病毒已逃过了这一劫。
2。替代
如果用户比较谨慎，所以这膳缦绵阳是没用的，病毒就被当场打死。因此，病毒也学聪明了，知道这一招你。如果一个进程的名字是Svchost.exe，和正常状态无差系统。所以这个过程安全吗不，事实上，它是使命打点操作；无法查看进程对应的可执行文件的缺陷。我们知道，对应于目录的可执行文件Svchost.exe过程（Windows2000；C：windowssystem32C：winntsystem32是如不美观的目录），病毒将自身拷贝到C：windows，并改名为svchost.exe，手术后，我们在使命打点；参见Svchost.exe，和系统的正常进程。你可以告诉他们哪是病毒的进程吗
3。
除了以上两体例外，还有一招最后的年夜——病毒；mdash；轮回。所谓新体插入病毒使用的工艺技术，将病毒运行DLL文件到系统在正常的课程要求，显然没有任何可疑的情况下，在事实上，系统的过程已经被病毒控制，除非我们使用课程测试的专业工具，或找到隐藏的病毒是很困难的。
系统的工艺方案
在上一篇文章中，我们提到了很多系统历史，这些系统的过程是什么，它的原因是什么在这里我们将逐一对这些系统进行讲解，相信熟悉系统进程，可以成功破解病毒真和被删除。

Svchost.exe
过程往往是一个病毒名称：svch0st.exe，schvost.exe，scvhost.exe。与Windows系统工作的不断增加，为了节约系统投资，微软进行了很多服务器的共享方式，由Svchost.exe进程的开始。系统运行动态链接库的形式实现（DLL）。他们执行可执行的标准scvhost，和CVHOST动态嵌入动态链接库响应行动。我们可以打开控制面板；；RARR；皮疹工具RARR；处理双击ClipBook办事，在其属性面板中，我们可以找到对应的可执行文件路径；C：windowssystem32clipsrv.exe.then双击Alerter处理事务，我们可以发现其可执行文件路径是C：windowssystem32svchost.exe K localservice和server行动的执行路径是C：windowssystem32svchost.exe K C：windowssystem32svchost .exe；正是经由过程挪用，很多系统资本CAn得救，和许多Svchost.exe是系统介绍。事实上，这只是系统。
在Windows2000系统有Svchost.exe过程正常，一个是RPC（remoteprocedurecall）处理过程，这是一个能通过许多操作共享，而在WindowsXP中，通常有4多个Svchost.exe进程。如果在XP过程5多个Svchost.exe和以前的系统，你可要小心了，可能是病毒冒充的。但在Vista和Windows7的时候，8-12 Svchost进程是正常的！检测系统是一个正常的过程也很简单，使用一些工具，如流程管理、流程管理功能的Vista优化大师，查看Svchost.exe的可执行文件的路径，如不美观在C：windowssystem32然后你可以偷摹目录分离病毒。