通過進(jìn)程揪出木馬

對(duì)于進(jìn)程這個(gè)概念， 許多電腦用戶都沒有給予太多關(guān)注。 在很多人印象里， 只知道結(jié)束進(jìn)程可以殺死程序， 至于哪些進(jìn)程對(duì)應(yīng)哪些程序， 究竟什么樣的進(jìn)程該殺， 什么樣的進(jìn)程不能殺這些問題很少考慮。 這里通過幾個(gè)實(shí)例為大家揭開進(jìn)程的神秘面紗。

　　實(shí)例一：和進(jìn)程的“表演者”交個(gè)朋友

　　很多時(shí)候， 我們并沒有注意到系統(tǒng)中到底有多少進(jìn)程。 如果想了解進(jìn)程的秘密， 首先就必須和一些常見系統(tǒng)進(jìn)程交個(gè)朋友， 一旦掌握了它們， 就能像偵探一樣迅速從進(jìn)程名單中發(fā)現(xiàn)可疑的家伙。

　　在Windows 2000/XP中， Ctrl+Shift+Esc組合鍵能快速調(diào)出任務(wù)管理器， 而Windows 9X為Ctrl+Alt+組合鍵。

　　1.“主角”進(jìn)程

　　首先來熟悉一下系統(tǒng)中的基本進(jìn)程， 它們是系統(tǒng)運(yùn)行的基本條件， 一般情況下不能關(guān)閉它們， 否則會(huì)導(dǎo)致系統(tǒng)崩潰。

　　Windows 2000/XP：smss.、csrss.、winlogon.、services.、lsass.、svchost.(可以同時(shí)存在多個(gè))、spoolsv.、explorer.、System Idle Process；

　　Windows 9x：msgsrv32.、mpr.、mmtask.tsk、kenrel32.dll。

　　你知道嗎

　　進(jìn)程與程序

　　簡單地說， 每啟動(dòng)一個(gè)程序， 就啟動(dòng)了一個(gè)進(jìn)程。 在Windows 3.x中， 進(jìn)程是最小運(yùn)行單位。 在Windows 9X/2000/XP中， 每個(gè)進(jìn)程還可以啟動(dòng)幾個(gè)線程， 比如每下載一個(gè)文件可以單獨(dú)開一個(gè)線程。 在Windows 9X/2000/XP中， 線程是最小單位。 程序是永存的， 進(jìn)程是暫時(shí)的。 舉一個(gè)例子說：如果程序是劇本， 那么表演過程就是進(jìn)程；如果程序是菜譜， 那么烹調(diào)過程就是進(jìn)程。

　　人鬼情未了——Svchost.

　　它位于系統(tǒng)目錄的System32文件夾， 是從動(dòng)態(tài)鏈接庫(DLL)運(yùn)行服務(wù)的一般性宿主進(jìn)程。 在任務(wù)管理器中， 可能會(huì)看到多個(gè)Svchost.在運(yùn)行， 不要大驚小怪， 這可能是多個(gè)DLL文件在調(diào)用它。 不過， 正因?yàn)槿绱耍?它也成為了病毒利用的對(duì)象， 以前的“藍(lán)色代碼”病毒就是一例。 另外， 如果感染了沖擊波病毒， 系統(tǒng)也會(huì)提示“Svchost.出現(xiàn)錯(cuò)誤”。

　　如果要查看哪些服務(wù)正在使用Svchost.， 對(duì)于Windows 2000可從其安裝光盤的SupportToolsSupport.cab壓縮包中， 將Tlist.解壓縮至任意目錄， 接著在“命令提示符”中進(jìn)入Tlist.所在目錄， 輸入“tlist -s”并回車(“tlist pid”命令可看到詳細(xì)信息)。 而在Windows XP則直接輸入“Tasklist /SVC”查看進(jìn)程信息(“Tasklist /fi "PID eq processID"”則可看到詳細(xì)信息)。

　　2.“配角”進(jìn)程

　　這些系統(tǒng)進(jìn)程雖然不是系統(tǒng)運(yùn)行必須的， 但也經(jīng)常在進(jìn)程列表中拋頭露面。 如internat.、systray.、rundll32.、loadwc.、ddhelp.、mstask.、ctfmon.、taskmagr.、msnmsgr.、wmi.， 它們都是正常的系統(tǒng)進(jìn)程。

　　建議在安裝完Windows后， 點(diǎn)擊“開始→程序→附件→系統(tǒng)工具→系統(tǒng)信息”， 在打開的“系統(tǒng)信息”窗口中再點(diǎn)擊“軟件環(huán)境→正在運(yùn)行任務(wù)”(在此進(jìn)程列表中， 可看到更詳細(xì)的屬性， 其中程序路徑是非常重要的信息)， 接著點(diǎn)擊“操作→另存成文本文件”， 以后系統(tǒng)出現(xiàn)異常時(shí)則對(duì)照進(jìn)行分析。 另外， “優(yōu)化大師”也提供了保存進(jìn)程快照的功能●。

　　對(duì)于進(jìn)程這個(gè)概念， 許多電腦用戶都沒有給予太多關(guān)注。 在很多人印象里， 只知道結(jié)束進(jìn)程可以殺死程序， 至于哪些進(jìn)程對(duì)應(yīng)哪些程序， 究竟什么樣的進(jìn)程該殺， 什么樣的進(jìn)程不能殺這些問題很少考慮。 這里通過幾個(gè)實(shí)例為大家揭開進(jìn)程的神秘面紗。

　　實(shí)例一：和進(jìn)程的“表演者”交個(gè)朋友

　　很多時(shí)候， 我們并沒有注意到系統(tǒng)中到底有多少進(jìn)程。 如果想了解進(jìn)程的秘密， 首先就必須和一些常見系統(tǒng)進(jìn)程交個(gè)朋友， 一旦掌握了它們， 就能像偵探一樣迅速從進(jìn)程名單中發(fā)現(xiàn)可疑的家伙。

　　在Windows 2000/XP中， Ctrl+Shift+Esc組合鍵能快速調(diào)出任務(wù)管理器， 而Windows 9X為Ctrl+Alt+組合鍵。

　　1.“主角”進(jìn)程

　　首先來熟悉一下系統(tǒng)中的基本進(jìn)程， 它們是系統(tǒng)運(yùn)行的基本條件， 一般情況下不能關(guān)閉它們 www.arpun.com ， 否則會(huì)導(dǎo)致系統(tǒng)崩潰。

　　Windows 2000/XP：smss.、csrss.、winlogon.、services.、lsass.、svchost.(可以同時(shí)存在多個(gè))、spoolsv.、explorer.、System Idle Process；

　　Windows 9x：msgsrv32.、mpr.、mmtask.tsk、kenrel32.dll。

　　你知道嗎

　　進(jìn)程與程序

　　簡單地說， 每啟動(dòng)一個(gè)程序， 就啟動(dòng)了一個(gè)進(jìn)程。 在Windows 3.x中， 進(jìn)程是最小運(yùn)行單位。 在Windows 9X/2000/XP中， 每個(gè)進(jìn)程還可以啟動(dòng)幾個(gè)線程， 比如每下載一個(gè)文件可以單獨(dú)開一個(gè)線程。 在Windows 9X/2000/XP中， 線程是最小單位。 程序是永存的， 進(jìn)程是暫時(shí)的。 舉一個(gè)例子說：如果程序是劇本， 那么表演過程就是進(jìn)程；如果程序是菜譜， 那么烹調(diào)過程就是進(jìn)程。

　　人鬼情未了——Svchost.

　　它位于系統(tǒng)目錄的System32文件夾， 是從動(dòng)態(tài)鏈接庫(DLL)運(yùn)行服務(wù)的一般性宿主進(jìn)程。 在任務(wù)管理器中， 可能會(huì)看到多個(gè)Svchost.在運(yùn)行， 不要大驚小怪， 這可能是多個(gè)DLL文件在調(diào)用它。 不過， 正因?yàn)槿绱耍?它也成為了病毒利用的對(duì)象， 以前的“藍(lán)色代碼”病毒就是一例。 另外， 如果感染了沖擊波病毒， 系統(tǒng)也會(huì)提示“Svchost.出現(xiàn)錯(cuò)誤”。

　　如果要查看哪些服務(wù)正在使用Svchost.， 對(duì)于Windows 2000可從其安裝光盤的SupportToolsSupport.cab壓縮包中， 將Tlist.解壓縮至任意目錄， 接著在“命令提示符”中進(jìn)入Tlist.所在目錄， 輸入“tlist -s”并回車(“tlist pid”命令可看到詳細(xì)信息)。 而在Windows XP則直接輸入“Tasklist /SVC”查看進(jìn)程信息(“Tasklist /fi "PID eq processID"”則可看到詳細(xì)信息)。

　　2.“配角”進(jìn)程

　　這些系統(tǒng)進(jìn)程雖然不是系統(tǒng)運(yùn)行必須的， 但也經(jīng)常在進(jìn)程列表中拋頭露面。 如internat.、systray.、rundll32.、loadwc.、ddhelp.、mstask.、ctfmon.、taskmagr.、msnmsgr.、wmi.， 它們都是正常的系統(tǒng)進(jìn)程。

　　建議在安裝完Windows后， 點(diǎn)擊“開始→程序→附件→系統(tǒng)工具→系統(tǒng)信息”， 在打開的“系統(tǒng)信息”窗口中再點(diǎn)擊“軟件環(huán)境→正在運(yùn)行任務(wù)”(在此進(jìn)程列表中， 可看到更詳細(xì)的屬性， 其中程序路徑是非常重要的信息)， 接著點(diǎn)擊“操作→另存成文本文件”， 以后系統(tǒng)出現(xiàn)異常時(shí)則對(duì)照進(jìn)行分析。 另外， “優(yōu)化大師”也提供了保存進(jìn)程快照的功能●。

　　實(shí)例二：查找木馬的蛛絲馬跡

　　許多木馬和一些防護(hù)工具采用了雙進(jìn)程保護(hù)手段， 例如“Falling Star”木馬就采用雙進(jìn)程模式， 下面來看看如何發(fā)現(xiàn)它們。

　　第一步：打開任務(wù)管理器。 根據(jù)和常見進(jìn)程比較， 很明顯會(huì)發(fā)現(xiàn)兩個(gè)“熟悉的陌生人”(和系統(tǒng)基本進(jìn)程名稱相似， 但不相同)：“internet.”和“systemtray.”。 請(qǐng)和上一實(shí)例中的”配角“進(jìn)程比較。

　　第二步：打開“系統(tǒng)信息”的“軟件環(huán)境→正在運(yùn)行任務(wù)”， 查看路徑信息， 兩者均指向WindowsSystem32目錄， 而且文件大小、日期均相同， 但從文件日期來看并不屬于微軟的系統(tǒng)文件。 進(jìn)入資源管理器查看其版本屬性， 雖然公司標(biāo)明為Microsoft， 但與系統(tǒng)文件中的微軟公司名稱書寫并不相同， 基本可斷定是非法進(jìn)程， 并且為雙進(jìn)程模式。

　　第三步：在嘗試結(jié)束進(jìn)程時(shí)， 第一次選擇“systemtray.”來結(jié)束進(jìn)程樹， 結(jié)果進(jìn)程馬上就再生了， 任務(wù)管理器中又顯示出這兩個(gè)進(jìn)程！于是再次選擇“internet.”， 然后結(jié)束進(jìn)程樹●。 進(jìn)程沒有再生， 從而將木馬進(jìn)程從系統(tǒng)中清除。

　　實(shí)例三：真真假假系統(tǒng)進(jìn)程

　　許多病毒和木馬為避免從進(jìn)程名稱中發(fā)現(xiàn)它們的蹤影， 往往會(huì)采用“障眼法”， 使用和系統(tǒng)文件或系統(tǒng)進(jìn)程名稱類似的進(jìn)程名稱。

　　1.文件名偽裝

　　(1)修改常見程序或進(jìn)程個(gè)別字符

　　例如， 上面介紹的“Falling Star”木馬的進(jìn)程名稱“internet.”就與輸入法進(jìn)程“internat.”十分相似。 “WAY無賴小子”的服務(wù)端進(jìn)程名稱為“msgsvc.”， 與系統(tǒng)基本進(jìn)程“msgsrv32.”類似， 還有Explorer.和Exp1orer.的區(qū)別， 不仔細(xì)的話你能看出來嗎？(數(shù)字“1”取代了字母“l”)

　　(2)修改擴(kuò)展名

　　著名的冰河木馬的服務(wù)端進(jìn)程為Kernel32.， 乍一看很熟悉， 好像是哪個(gè)系統(tǒng)進(jìn)程， 其實(shí)系統(tǒng)根本不存在這樣一個(gè)文件， Windows 9x的基本進(jìn)程中卻有一個(gè)叫做“Kernel32.dll”的。 諸如此類的還有“Shell32.”的木馬進(jìn)程是從“Shell32.dll”這個(gè)大家都很熟悉的文件“演變”而來的， 實(shí)際在系統(tǒng)中都是不存在的。

　　2.路徑偽裝

　　Windows目錄和System目錄是系統(tǒng)核心文件所在地， 一般是“閑人免進(jìn)”。 因此， 出入它們的文件一般都被人們認(rèn)為是系統(tǒng)文件， 而病毒和木馬就借機(jī)將源文件放在這兩個(gè)目錄中。 對(duì)于這類情況， 一般只需要通過系統(tǒng)信息找到其源文件路徑， 打開文件的屬性， 從日期(這個(gè)非常重要， 可以看是否與系統(tǒng)文件日期一樣)、版本、公司名稱信息中即可看出破綻。 沒有哪個(gè)病毒、木馬文件能設(shè)計(jì)得與系統(tǒng)文件完全一致。

　　實(shí)例四：優(yōu)化系統(tǒng)從進(jìn)程開始

　　除系統(tǒng)運(yùn)行必須的基本進(jìn)程外， 每個(gè)程序運(yùn)行后都會(huì)在系統(tǒng)中生成進(jìn)程， 每個(gè)進(jìn)程都會(huì)占用一定的CPU資源和內(nèi)存資源。 過多的進(jìn)程和一些設(shè)計(jì)不良的進(jìn)程就會(huì)導(dǎo)致系統(tǒng)變慢、性能下降， 這時(shí)可對(duì)它們進(jìn)行一下優(yōu)化。

　　1.精簡進(jìn)程

　　系統(tǒng)中的一些進(jìn)程并不是必須的， 結(jié)束它們并不會(huì)對(duì)系統(tǒng)造成什么損害。

　　比如：internat.(顯示輸入法圖標(biāo))、systray.(顯示系統(tǒng)托盤小喇叭圖標(biāo))、ctfmon.(微軟Office輸入法)、mstask.(計(jì)劃任務(wù))、sysexplr.(超級(jí)解霸伺服器)、winampa.(Winamp代理)、wzqkpick.(WinZip助手)等。

　　有一款叫做“進(jìn)程殺手”的免費(fèi)小工具， 具備自動(dòng)精簡進(jìn)程功能， 可自動(dòng)中止系統(tǒng)基本進(jìn)程以外的所有進(jìn)程。 在懷疑電腦運(yùn)行了某些黑客進(jìn)程或病毒進(jìn)程但又不能確定是哪一個(gè)時(shí)， 該軟件就可以有效清除那些非法進(jìn)程。 不過它只適合Windows 9x/Me。 下載地址http://js-http.skycn.net:8080/down/prockiller_23.rar。

　　2.殺死不良進(jìn)程

　　有時(shí)你會(huì)發(fā)現(xiàn)系統(tǒng)運(yùn)行速度特別慢， 這時(shí)可打開任務(wù)管理器， 單擊“進(jìn)程”標(biāo)簽， 點(diǎn)擊“CPU”列標(biāo)簽讓進(jìn)程按CPU資源占用排序， 可以很明顯地看到資源占用最高的程序。 同樣方法， 可以點(diǎn)擊“內(nèi)存”列標(biāo)簽， 查看那些內(nèi)存占用大戶， 及時(shí)結(jié)束進(jìn)程。

　　這里有一種情況比較特殊：在查看CPU占用率時(shí)， 一個(gè)叫做“System Idle Process”的進(jìn)程會(huì)一直顯示在90%左右。 不必?fù)?dān)心， 實(shí)際上它并沒有占用這么多系統(tǒng)資源， 單擊“性能”標(biāo)簽可看到其實(shí)際的CPU資源占用情況。

　　★對(duì)于Windows 9x， 使用任務(wù)管理器是無法像Windows 2000/XP那樣看到所有進(jìn)程以及CPU、內(nèi)存占用情況， 推薦使用Process Explorer(下載地址http://www.sysinternals.com/ntw2k/freeware/procexp.shtml)。

　　★如果某個(gè)16位程序影響了系統(tǒng)運(yùn)行， 而且死活也關(guān)不掉， 可進(jìn)入任務(wù)管理器的進(jìn)程選項(xiàng)卡， 找到NTVDM.進(jìn)程， 將其關(guān)掉即可殺掉所有16位應(yīng)用程序， 而不用重啟。

　　3.優(yōu)化軟件或游戲性能

　　你還可以通過改變軟件和游戲進(jìn)程優(yōu)先級(jí)來提高其性能， 這樣能使它們運(yùn)行得更快， 當(dāng)然負(fù)作用就是可能影響到其他正在運(yùn)行的進(jìn)程。 比如， 為避免刻錄緩存溢出問題造成刻錄失敗， 可進(jìn)入任務(wù)管理器的進(jìn)程選項(xiàng)卡， 找到并右擊刻錄軟件的進(jìn)程項(xiàng)， 選擇“設(shè)置優(yōu)先級(jí)”， 然后在彈出的子菜單中選擇“高”。 如果你不想每次都這樣設(shè)置， 可使用下面的方法。

　　第一步：打開軟件或游戲所在目錄， 比如：D:/game， 在這里新建一個(gè)文本文件， 在其中輸入以下語句：

　　echo off

　　start /priority game.

　　說明：將priority替換為所需的CPU優(yōu)先級(jí)， 建議使用high(高)、abovenormal(高于標(biāo)準(zhǔn))， 因?yàn)樗鼈兊男Ч�最好�? 將game.替換為軟件或游戲的可執(zhí)行文件名稱， 比如：stvoy.。

　　第二步：做完以上修改后將其保存為game.bat， 現(xiàn)在就能通過這個(gè)文件來啟動(dòng)游戲或軟件， 而它將會(huì)使游戲或軟件具有更高的CPU優(yōu)先級(jí)。 不過要注意的是， 該文件必須要保存在游戲或軟件所在目錄.

　　rnathchk.

　　realsched. 這兩個(gè)都是多媒體播放軟件RealOne Player的在背后運(yùn)行的程序， 主要可能

是檢測(cè)一些升級(jí)、版本方面的信息。 可以結(jié)束這兩個(gè)進(jìn)程。

　　realplay. 多媒體播放軟件RealOne Player

　　HprSnap5. 我的截圖軟件， 上面這張圖就是用它來截取的

　　Winamp. 我的MP3播放軟件winamp， 你也喜歡用它吧

　　svchost. 包含很多系統(tǒng)服務(wù)， 系統(tǒng)的基本進(jìn)程

　　Flashget. 我的下載軟件-網(wǎng)際快車

　　MsPMSPSv. WMDM PMSP Service 在我電腦里位置是：D:\WINDOWS\system32

　　taskmgr. 這個(gè)就是系統(tǒng)的任務(wù)管理器， 按下“Ctrl+Alt+”實(shí)際上就是運(yùn)行這個(gè)程序

　　mixer. 我的8738聲卡調(diào)音量、聲道等的程序

　　MyIE. 我的瀏覽器。 比IE好用啊

　　explorer. 資源管理器

　　spoolsv. 緩沖（spooler）服務(wù)是管理緩沖池中的打印和傳真作業(yè)

　　svchost. 包含很多系統(tǒng)服務(wù)， 居然有4個(gè)這種進(jìn)程

　　lsass. 管理 IP 安全策略以及啟動(dòng) ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序。 (系統(tǒng)服務(wù))

　　services. 包含很多系統(tǒng)服務(wù)

　　winlogon. 這個(gè)進(jìn)程是管理用戶登錄和推出的。 而且winlogon在用戶按下CTRL+ALT+時(shí)就激活了， 顯示安全對(duì)話框

　　csrss. 子系統(tǒng)服務(wù)器進(jìn)程（看到有CS讓我想到反恐精英， 手癢癢了）

　　smss. Session Manager 什么管理

　　qq. 玩電腦的都用的東東。

　　system 系統(tǒng)

　　System Idle Process 這個(gè)進(jìn)程是不可以從任務(wù)管理器中關(guān)掉的。 這個(gè)進(jìn)程是作為單線程運(yùn)行在每個(gè)處理器上， 并在系統(tǒng)不處理其他線程的時(shí)候分派處理器的時(shí)間。