任何病毒和木马存在于系统中，都无法彻协调历程脱离关系，即使采用了潜匿手艺，也仍是能够年夜历程中找到蛛丝马迹，是以，查看系统中勾当的历程成为我们检测病毒木马最直接的体例。可是系统中同时运行的历程那么多，哪些是正常的系统历程，哪些是木马的历程，而经常被病毒木马冒充的系统历程在系统中又饰演着什么脚色呢？请看本文。

    病毒历程潜匿三法

    当我们确认系统中存在病毒，可是经由过程“使命打点器”查看系统中的历程时又找不出异样的历程，这声名病毒采用了一些潜匿法子，总结出滥暌剐三法：

    1.以假乱真

    系统中的正常历程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的历程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的手法，目的就是迷惑用户的眼睛。凡是它们会将系统中正常历程名的o改为0，l改为i，i改为j，然后成为自己的历程名，仅仅一字之差，意义却完全分歧。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe原本就轻易搞混，再呈现个 iexplorer.exe就加倍杂乱了。如不美观用户不细心，一般就忽略了，病毒的历程就逃过了一劫。

    2.偷梁换柱

    如不美观用户斗劲心细，那么膳缦沔这招就没用了，病毒会被就地处死。于是乎，病毒也学聪了然，懂得了偷梁换柱这一招。如不美观一个历程的名字为svchost.exe，和正常的系统历程名分毫不差。那么这个历程是不是就平安了呢？非也，其实它只是操作了“使命打点器”无法查看历程对应可执行文件这一缺陷。我们知道svchost.exe历程对应的可执行文件位于“C:WINDOWSsystem32”目录下（Windows2000 则是C:WINNTsystem32目录），如不美观病毒将自身复制到“C:WINDOWS”中，并更名为svchost.exe，运行后，我们在“ 使命打点器”中看到的也是svchost.exe，和正常的系统历程无异。你能分辩出其中哪一个是病毒的历程吗？

    3.借尸还魂

[page]    除了上文中的两种体例外，病毒还有一招最终年夜法——借尸还魂。所谓的借尸还魂就是病毒采用了历程插入手艺，将病毒运行所需的dll文件插入正常的系统历程中，概况上看无任何可疑情形，本色上系统历程已经被病毒节制了，除非我们借助专业的历程检测工具，否则要想发现潜匿在其中的病毒是很坚苦的。

    系统历程解惑

    上文中提到了良多系统历程，这些系统历程到底有何浸染，其运行事理又是什么？下面我们将对这些系统历程进行一一讲解，相信在熟知这些系统历程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

    svchost.exe

    常被病毒假充的历程名有：svch0st.exe、schvost.exe、scvhost.exe。跟着Windows系统处事不竭增多，为了节约系统资本，微软把良多处事做成共享体例，交由svchost.exe历程来启动。而系统处事是以动态链接库（DLL）形式实现的，它们把可执行轨范指向scvhost，由cvhost挪用响应处事的动态链接库来启动处事。我们可以打开“节制面板”→“打点工具”→处事，双击其中 “ClipBook”处事，在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击 “Alerter”处事，可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”，而“Server”处事的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。恰是经由过程这种挪用，可以省下不少系统资本，是以系统中呈现多个svchost.exe，其实只是系统的处事而已。

    在Windows2000系统中正常存在svchost.exe历程，一个是RPCSS（RemoteProcedureCall） 处事历程，此吐矣闽则是由良多处事共享的一个svchost.exe；而在WindowsXP中，则一般有4个以上的svchost.exe处事历程。如不美观在xp和之前的系统中svchost.exe历程的数目多于5个，就要小心了，很可能是病毒冒充的。可是到了Vista和Windows7时代，8-12个svchost历程都是正常的！是否为系统正常历程的检测体例也很简单，使用一些历程打点工具，例如Vista优化巨匠的历程打点功能，查看svchost.exe的可执行文件路径，如不美观在“C:WINDOWSsystem32”目录窃噩那么就可以剖断是病毒了。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。