電腦病毒隱藏揪出方法介紹
在千千萬萬的網民中,相信每個人都或多或少遭受過病毒de侵襲,雖然大多de使用者都安裝有防毒軟體,但是目前病毒de發展趨勢是首先針對防毒軟體,一旦判斷出防毒軟體第一步就是先幹掉防毒軟體。下面由小編給你做出詳細的!希望對你有幫助!
:
電腦病毒隱藏揪出方法一、
首先描述下最基本de系統程序,也就是說,這些程序是系統執行de基本條件,有了這些程序,系統就能正常執行。
smss.exe:Windows作業系統de一部分。該程序呼叫對話管理子系統和負責操作你係統de對話***系統服務***;
alg.exe:Windows作業系統自帶de程式。它用於處理微軟Windows網路連線共享和網路連線防火牆***系統服務***;
csrss.exe:微軟客戶端/服務端執行時子系統。該程序管理Windows圖形相關任務***系統服務***;
winlogon.exe:Windows登陸管理器,用於處理系統de登陸和登陸過程***系統服務***;
services.exe:是Windows作業系統de一部分。用於管理啟動和停止服務。該程序也會處理在計算機啟動和關機時執行de服務***系統服務***;
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley ***IKE*** 和 IP 安全驅動程式。***系統服務*** 產生會話金鑰以及授予用於互動式客戶/伺服器驗證de服務憑據***ticket***。***系統服務***;
svchost.exe:是一個屬於微軟Windows作業系統de系統程式,包含很多系統服務,用於執行DLL檔案***系統服務***。系統中根據啟動de服務多少,該程序數量也會不同,一般在4-5個左右。
spoolsv.exe:用於將Windows印表機任務傳送給本地印表機.***學習電腦技術,計算機網路技術,電腦入門請到
explorer.exe:Windows程式管理器或者Windows資源管理器,它用於管理Windows圖形殼,包括開始選單、工作列、桌面和檔案管理;
rundll32.exe:用於在記憶體中執行DLL檔案,它們會在應用程式中被使用;
internat.exe:Windows多語言輸入程式,托盤區de拼音圖示,附加de系統程序***這些程序不是必要de,你可以根據需要通過服務管理器來增加或減少***;
ctfmon.exe:Microsoft Office產品套裝de一部分。它可以選擇使用者文字輸入程式,和微軟Office XP語言條。這不是純粹de系統程式,但是如果終止它,可能會導致不可知de問題;
mdm.exe:indows程序除錯程式。用於使用視覺化指令碼工具對Internet Explorer除錯***系統服務***;
mstask.exe Windows計劃任務程式。它用於管理計劃任務,包括備份和更新,定時執行。如果你刪除該程序,計劃任務將無法執行***系統服務***;
regsvc.exe:Windows服務集中de一個系統服務。它用於遠端計算機訪問本地登錄檔。一些本地程式也能夠通過該服務編輯登錄檔 ***系統服務***;
winmgmt.exe:提供系統管理資訊***系統服務***。
inetinfo.exe:通過 Internet 資訊服務de管理單元提供 FTP 連線和管理。***系統服務***
tlntsvr.exe:允許遠端使用者登入到系統並且使用命令列執行控制檯程式。***系統服務***
tftpd.exe:實現 TFTP Internet 標準。該標準不要求使用者名稱和密碼。遠端安裝服務de一部分。***系統服務***
termsrv.exe:提供多會話環境允許客戶端裝置訪問虛擬de Windows 2000
dns.exe:應答對域名系統***DNS***名稱de查詢和更新請求***系統服務***。
電腦病毒隱藏揪出方法二、
以下服務很少會用到,如果不是必要de可以停止:
tcpsvcs.exe:提供在 PXE 可遠端啟動客戶計算機上遠端安裝 Windows2000 Professional de能力***系統服務***;
ismserv.exe 允許在 Windows Advanced Server 站點間傳送和接收訊息***系統服務***;
ups.exe:管理連線到計算機de不間斷電源***UPS******系統服務***;
wins.exe:為註冊和解析 NetBIOS 型名稱de TCP/IP 客戶提供 NetBIOS名稱服務***系統服務***;
llssrv.exe:Microsoft Windows Server版de一部分,用於許可登陸服務***系統服務***;
ntfrs.exe:在多個伺服器間維護檔案目錄內容de檔案同步***系統服務***;
RsSub.exe:控制用來遠端儲存資料de媒體***系統服務***;
locator.exe:管理 RPC 名稱服務資料庫***系統服務***;
lserver.exe:註冊客戶端許可證***系統服務***;
dfssvc.exe:管理分佈於區域網或廣域網de邏輯卷***系統服務***;
clipsrv.exe:支援“剪貼簿檢視器”,以便可以從遠端剪貼簿查閱剪貼頁面***系統服務***;
msdtc.exe:並列事務,是分佈於兩個以上de資料庫,訊息佇列,檔案系統,或其它事務保護資源管理器***系統服務***;
faxsvc.exe:幫助您傳送和接收傳真***系統服務***;
cisvc.exe:Windows作業系統自帶de程式。它用於監測CIDAEMON.exe記憶體使用狀態,防止可用記憶體過低問題***系統服務***;
dmadmin.exe:磁碟管理請求de系統管理服務***系統服務***;
mnmsrvc.exe:允許有許可權de使用者使用 NetMeeting 遠端訪問 Windows 桌面***系統服務***;
netdde.exe:提供動態資料交換 ***DDE*** de網路傳輸和安全特性***系統服務***;
smlogsvc.exe:配置效能日誌和警報***系統服務***;
rsvp.exe:為依賴質量服務***QoS***de程式和控制應用程式提供網路訊號和本地通訊控制安裝功能***系統服務***;
RsEng.exe:協呼叫來儲存不常用資料de服務和管理工具***系統服務***;
RsFsa.exe:管理遠端儲存de檔案de操作***系統服務***;
grovel.exe:掃描零備份儲存***SIS***捲上de重複檔案,並且將重複檔案指向一個數據儲存點,以節省磁碟空間***系統服務***;
SCardSvr.exe:對插入在計算機智慧卡閱讀器中de智慧卡進行管理和訪問控制***系統服務***;
snmp.exe:包含代理程式可以監視網路裝置de活動並且向網路控制檯工作站彙報***系統服務***;
snmptrap.exe:接收由本地或遠端 SNMP 代理程式產生de陷阱訊息,然後將訊息傳遞到執行在這臺計算機上 SNMP 管理程式***系統服務***;
UtilMan.exe:從一個視窗中啟動和配置輔助工具 ***系統服務***;
msiexec.exe:依據 .MSI 檔案中包含de命令來安裝、修復以及刪除軟體***系統服務***。
電腦病毒隱藏揪出方法三、
容易被病毒利用de程序
Explorer.exe,svchost.exe,spoolsv.exe,winlogon.exe,rundll32.exe。這幾個程序除了spoolsv.exe列印程序不是系統執行必須de之外,其他全部都是保證系統執行正常de程序,而就是這些程序也是最容易被病毒利用de。病毒大多建立跟上述程序名稱類似de程序,來欺騙使用者;或者將自身dedll模組嵌入到這些系統程序中。我們先從基礎de病毒程序命名欺騙來著手,介紹下病毒程序命名欺騙de大體方式。
以前一階段流行並造成嚴重破壞後果de威金病毒為例,她de主要病毒程式為:rundl132.exe,logo_1.exe,vdll.dll,logo1_.exe,exp10rer.exe等,看到這裡我們不難發現系統de程序為rundll32.exe,而病毒程序為rundl132.exe。,區別在於系統de程序是兩個“ll”而病毒de程序是一個“l”一個數字“1”。另外一個系統程序為explorer.exe,病毒程序用數字“1”和“0”代替了系統程序de字母“l”和“o”。
另外一個典型de例子是直到今天還在流行deU盤自動播放病毒,儘管這個病毒已經產生了無數de變種,生成deexe檔名千奇百怪,但是在最初,她de病毒檔案命名還是具備欺騙de性質。她de病毒檔案命名為svch0st.exe,通過上面de介紹,我們很容易就發現了她de欺騙方式:用數字“0”代替了系統程序de字母“o”。
這裡,我們介紹了一個最直觀de病毒命名方式,通過第一步de肉眼觀察,就能夠發現很多病毒de藏身所在,掌握了系統程序de名稱,就擁有了基礎de病毒手動查殺能力。