我要评论实例三:真真假假系统进程
许多病毒和木马为避免从进程名称中发现它们的踪影,往往会采用“障眼法”,使用和系统文件或系统进程名称类似的进程名称。
1.文件名伪装
(1)修改常见程序或进程个别字符
例如,上面介绍的“falling star”木马的进程名称“internet.”就与输入法进程“internat.”十分相似。“way无赖小子”的服务端进程名称为“msgsvc.”,与系统基本进程“msgsrv32.”类似,还有explorer.和exp1orer.的区别,不仔细的话你能看出来吗?(数字“1”取代了字母“l”)
(2)修改扩展名
著名的冰河木马的服务端进程为kernel32.,乍一看很熟悉,好像是哪个系统进程,其实系统根本不存在这样一个文件,windows 9x的基本进程中却有一个叫做“kernel32.dll”的。诸如此类的还有“shell32.”的木马进程是从“shell32.dll”这个大家都很熟悉的文件“演变”而来的,实际在系统中都是不存在的。
2.路径伪装
windows目录和system目录是系统核心文件所在地,一般是“闲人免进”。因此,出入它们的文件一般都被人们认为是系统文件,而病毒和木马就借机将源文件放在这两个目录中。对于这类情况,一般只需要通过系统信息找到其源文件路径,打开文件的属性,从日期(这个非常重要,可以看是否与系统文件日期一样)、版本、公司名称信息中即可看出破绽。没有哪个病毒、木马文件能设计得与系统文件完全一致。
实例四:优化系统从进程开始
除系统运行必须的基本进程外,每个程序运行后都会在系统中生成进程,每个进程都会占用一定的cpu资源和内存资源。过多的进程和一些设计不良的进程就会导致系统变慢、性能下降,这时可对它们进行一下优化。
1.精简进程
系统中的一些进程并不是必须的,结束它们并不会对系统造成什么损害。
比如:internat.(显示输入法图标)、systray.(显示系统托盘小喇叭图标)、ctfmon.(微软office输入法)、mstask.(计划任务)、sysexplr.(超级解霸伺服器)、winampa.(winamp代理)、wzqkpick.(winzip助手)等。
有一款叫做“进程杀手”的免费小工具,具备自动精简进程功能,可自动中止系统基本进程以外的所有进程。在怀疑电脑运行了某些黑客进程或病毒进程但又不能确定是哪一个时,该软件就可以有效清除那些非法进程。不过它只适合windows 9x/me。下载地址http://js-http.skycn.net:8080/down/prockiller_23.rar。
2.杀死不良进程
有时你会发现系统运行速度特别慢,这时可打开任务管理器,单击“进程”标签,点击“cpu”列标签让进程按cpu资源占用排序,可以很明显地看到资源占用最高的程序。同样方法,可以点击“内存”列标签,查看那些内存占用大户,及时结束进程。
这里有一种情况比较特殊:在查看cpu占用率时,一个叫做“system idle process”的进程会一直显示在90%左右。不必担心,实际上它并没有占用这么多系统资源,单击“性能”标签可看到其实际的cpu资源占用情况。
★对于windows 9x,使用任务管理器是无法像windows 2000/xp那样看到所有进程以及cpu、内存占用情况,推荐使用process explorer(下载地址http://www.sysinternals.com/ntw2k/freeware/procexp.shtml)。
★如果某个16位程序影响了系统运行,而且死活也关不掉,可进入任务管理器的进程选项卡,找到ntvdm.进程,将其关掉即可杀掉所有16位应用程序,而不用重启。
发表评论