病毒木马喜欢伪装的一些最常见进程

最新推荐文章于 2022-06-22 16:52:35 发布
最新推荐文章于 2022-06-22 16:52:35 发布
阅读量1.1k 收藏 1
点赞数
文章标签: microsoft dll 浏览器 任务 bbs windows
 知道病毒经常冒充系统文件,让你防不胜防,所以,我们一定要认识进程里面病毒常用的、迷惑大家的一些进程程序,做到有所防,也要有所知才行。下面举的几个小例子也是常见的几种病毒喜欢的系统文件,不管怎么样,如果发现电脑出现异常先查看你的进程有没有出现问题,我有一篇文章教你从进程分析电脑是否中毒,相信你应该有所获。
 
    svchost.exe    网管联盟bitsCN@com

  常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。

中国网管论坛bbs.bitsCN.com

  随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。 网管下载dl.bitscn.com

   

网管bitscn_com

中国网管联盟bitsCN.com


    
    我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:/WINDOWS/system32/clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:/WINDOWS/system32/svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:/WINDOWS/system32/svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。

网管论坛bbs_bitsCN_com

    网管联盟bitsCN@com

网管网www_bitscn_com


    
    在WindowsXP中,一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:/WINDOWS/system32”目录外,那么就可以判定是病毒了。    网管网www.bitscn.com

  explorer.exe    网管u家u.bitscn@com

  常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。

网管网www.bitscn.com

  explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。    网管网www.bitscn.com

  explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:/Windows”目录,除此之外则为病毒。  

网管下载dl.bitscn.com

  iexplore.exe   

网管联盟bitsCN@com

  常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。   

网管论坛bbs_bitsCN_com

  iexplore.exe进程对应的可执行程序位于C:/ProgramFiles/InternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。 网管联盟bitsCN@com

  rundll32.exe    网管u家u.bitscn@com

  常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:/Windows/system32”,在别的目录则可以判定是病毒。   网管下载dl.bitscn.com

  spoolsv.exe    网管下载dl.bitscn.com

  常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。   

网管网www_bitscn_com

  这里对进程的一些常见的病毒喜欢的也就介绍就到这里,我们平时在检查进程的时候如果发现有可疑,就要做出相应的判断:首先要仔细检查进程的文件名;然后再检查它的路径。通过这两点,一般的病毒进程肯定会露出马脚。

RaRen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详细讲解了 揭露进程伪装
06-12
详细讲解了揭露进程伪装术,很好,很值得下载
程序伪装
10-15
最新 程序伪装
QQ病毒木马专杀工具(QQKav) 2012 元旦版.zip
07-14
上网冲浪、聊天最担心的是什么-系统安全、帐号安全。QQKav就是为解决这个问题所写,通过闪电扫描计算机中的可疑文件启动项、服务加载项、注册表加载项,快速清除电脑中的QQ病毒木马、流氓软件。遇到无法清除的顽固文件,还可以用”文件粉碎”功能来彻底删除。可以用QQKAV生成系统扫描日志,把日志帖到网上可以让高手迅速帮你解决问题。每个被非法共享文件目录,都可以在”本机共享管理”中查看并取消。强大的服务管理功能包括支持启用服务、停止服务、禁止服务,查看非系统服务及服务相关文件信息等等。而且查杀病毒后,会自动修复注册表、清除病毒注册表残留项。 QQKav 功能介绍   1.闪电杀毒、注入查杀:快速清除隐藏在电脑及其他移动设置中的QQ尾巴病毒木马、流氓软件,实时保护U盘、MP3等移动设备不受自动加载型病毒感染。通过注入查杀,彻底围剿DLL注入型病毒木马。 2.进程管理:许多恶意软件为了欺骗用户,将自己伪装成正常的系统进程进程管理可以帮助用户认识和管理系统的进程。可以对进程加载的模块进行注销及粉碎等操作。表示非系统进程。 3.启动管理:电脑用户中了QQ病毒木马或恶意软件之后,系统运行速度明显变慢,”启动管理”向用户提供了关于启动项的各种信息,包括文件夹启动项、运行入口、运行方式、注册表位置,用户可以查看并删除随机启动项目,这样可以减少因启动项过多造成系统资源的无谓浪费,它比Windows任务管理器和系统配置程序更为直观,看上去一目了然。 4.服务管理:系统服务管理提供了比 Windows 自身相对强大的处理特性,比如直接停止、禁止、删除某个服务,自动识别非系统服务。表示非系统服务。 5.屏蔽清理:最近利用QQ消息留言进行诈骗的越来越多了,QQKav除了自定义屏蔽各类不良网站外,还屏蔽骗人的QQ消息。针对好友好送过来的文件或病毒,也可以自定义是否允许发送。内置清理系统垃圾功能,可清理系统中的垃圾文件。用户打开过的程序或文件,浏览过的网站,欣赏过的电影和音乐等等都会在电脑中留下痕迹,稍不留意就有可能被别有用心之徒加以利用。使用这一功能可以清除以上所有有关用户操作电脑的历史痕迹,保护您的隐私不被泄漏。 6.插件管理:自动识别可疑的注册表加载项目,自定义清理这些项目(主要清理带(*)栏目中的内容)。如果上不了网或打不开IE新页面,可进行LSP劫持修复、IE DLL文件修复,即可解决问题。”本机共享设置”可以一目了然地知道本机哪些目录设置了文件夹共享,将其取消共享。强大的插件免疫功能:免疫国内流氓插件88项、国外流氓插件497项,免疫并清除病毒插件77项。 7.注册表修复:一键修复EXE、COM、BAT、TXT等多项系统文件关联、修复系统不能显示隐藏文件、解除病毒对注册表编辑器及任务管理器的锁定、修复IE的ITS协议漏洞、清除病毒木马在注册表中的加载值、清除病毒的注册表残留项、免疫飘雪/飞雪病毒等。 8.文件粉碎:如果在病毒查杀过程中,提示有些文件无法彻底清除,可以使用”文件粉碎”功能,把要销毁的可疑文件彻底删除。这项功能在不断完善过程中,力求达到美国国防部的标准。 9.安全资讯:最新的病毒木马查杀方法、系统漏洞补丁、安全资讯、电脑技巧、QQKAV进程知识库等都在这里及时展现。 10. QQ 界面:直观漂亮的 QQ 界面,可设置窗口半透明效果,更方便广大电脑爱好者操作。 11.开机自动杀毒:最新版本根据用户需求,增加了自定义开机自动查杀病毒功能。 12. IP 查看:捕获本机IP地址,直接显示出来,点击可复制本机IP到剪切板中。 13.系统诊断:详细的系统诊断日志功能,可导出当前系统进程、启动项、未知系统服务、注册表加载项等内容,方便浏览。将日志帖到网上,可让高手迅速找到问题所在,删除可疑文件,解决电脑问题。 14.内存优化:获取本机物理内存大小,实时显示当前内存使用情况。进行内存清理优化。 15.更新提醒:网上有新版本发布时,自动提醒更新软件。 16.兼容Vista系统:兼容Windows 2000/2003/Nt/XP/Vista等系统(Vista系统中需要以管理员身份运行)。对于旧版本的操作系统,如:Windows98、WindowsMe等系统,也有相对应的版本提供下载。 17.正在添加。
C++编写的具有病毒基本功能的程序设计
03-05
C++编写的具有病毒基本功能的程序设计 实现的功能 (1)在主程序中要求将程序拷贝到系统盘\windows\目录下并更名为taskmgr.exe,同时复制第二份到系统盘\windows\system32目录下并更名为explorer.exe。用以混淆用户对病毒的第一判断。 (2)程序建立两个windows进程,每个进程每一个时钟周期检查另外一个进程是否正在运行。如果存在弹出对话框“I’m still in our computer!”,如果不存在启动另一个进程并弹出对话框“I’m still in our computer!”。 (3)将拷贝好的两个病毒程序添加到注册表启动项中, (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run)。每个时钟程序在运行的时候都要向注册表中添加此信息
WIN下 修改,伪装进程路径。支持XP,WIN7 WIN764
08-25
代码完全远程。 可以在XP WIN7 WIN764 WIN2003 等操作系统上成功实现修改进程路径。 已经封装成类,使用及其方便。 部分代码: 头文件: #ifndef ModifyProcessPath_h__ #define ModifyProcessPath_h__ // 结构定义 typedef struct _PROCESS_BASIC_INFORMATION { DWORD ExitStatus; ULONG PebBaseAddress; ULONG AffinityMask; LONG BasePriority; ULONG UniqueProcessId; ULONG InheritedFromUniqueProcessId; } PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION; // API声明 typedef LONG (__stdcall *PZWQUERYINFORMATIONPROCESS) ( HANDLE ProcessHandle, ULONG ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLength ); class CModifyProcessPath { public: CModifyProcessPath(); BOOL Create(); BOOL ModifyProcessPath(LPCTSTR szPath); BOOL CamouflageExplorerPath(); }; #endif // ModifyProcessPath_h__ CPP部分代码: #include "StdAfx.h" #include "ModifyProcessPath.h" namespace MODIFY_PROCESS { wchar_t m_szModulePath[MAX_PATH]; DWORD dwGetModuleFileNameWAddress; DWORD dwModuleBaseAddress; //E9 (目标地址-当前地址 - 5) #pragma pack(1) typedef struct _JMPCODE { BYTE bJmp; DWORD dwAddr; }JMPCODE,*LPJMPCODE; #pragma pack() DWORD WINAPI MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize); }; using namespace MODIFY_PROCESS; // 为了不影响在进程内使用 GetModuleFileNameW ,故hook之,返回正确的路径。 DWORD WINAPI MODIFY_PROCESS::MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize) { typedef DWORD(WINAPI *MGetModuleFileNameWT)(HMODULE,LPWCH,DWORD); MGetModuleFileNameWT pMGetModuleFileNameW; pMGetModuleFileNameW = (MGetModuleFileNameWT)dwGetModuleFileNameWAddress; if(hModule == NULL || hModule ==(HMODULE)MODIFY_PROCESS::dwModuleBaseAddress) { StringCbCopyW(lpFilename,nSize,m_szModulePath); return wcslen(m_szModulePath); } return pMGetModuleFileNameW(hModule,lpFilename,nSize); } CModifyProcessPath::CModifyProcessPath() { } BOOL CModifyProcessPath::Create() { ZeroMemory(MODIFY_PROCESS::m_szModulePath,sizeof(MODIFY_PROCESS::m_szModulePath)); MODIFY_PROCESS::dwGet
隐藏技术之进程伪装
weixin_42071117的博客
10-16 1514
// 简单的进程伪装就是修改进程名称,比如svchost.exe、services.exe等系统进程。 // 高级的进程伪装就是修改进程的PEB数据,也就是在任务管理器中看到的进程的名称、启动路径等信息。 // NtQueryInformationProcess函数 // 作用:获取指定进程的信息。 // 原型:NSTATUS WINAPI NtQueryInformationProcess( // _In_ HANLDE hProcess; // _In_ PROCESSIN
知己知彼 黑客如何攻击Windows服务器
Tercel99的专栏
05-08 950
<br />当我们听到黑客这个词时,我们通常会想到复杂的神秘的技术,并且世界上只有少数人能够执行。然而这是一个误导,并且是当今黑客流行的一大因素。<br />  实际上,服务器入侵没有那么复杂。黑客可能炫耀他们“疯狂的技能”,但这些人不是我们真正需要担心的。相反,通常是那些技术欠佳又作出错误判断的人会导致最多问题。事实上,这些人现在就存在于许多网络里,寻找可挖掘的漏洞。<br />  当谈到保护Windows服务器阻止入侵时,我非常赞同首先聚焦在容易实现的目标。记住,这是每次难倒你的最基本的安全弱点。在以前
恶意软件实现原理解析
深耕安全技术研究
06-22 876
恶意软件实现
基于visual c++之windows核心编程代码分析(50)伪装进程路径
weixin_30319097的博客
01-24 211
我们开发软件的时候,开发出来的软件经常被病毒攻击,伪装进程路径可以保护我们软件正常的运行,不受病毒的侵害,我们下面用代码修改进程信息结构的办法实现伪装进程路径。#include <windows.h> #include <stdio.h> #include <tchar.h> // 结构定义 typedef struct _PROCESS_BASI...
落雪木马专杀工具(实用)
04-24
“落雪”木马也叫“游戏大盗”( Trojan/PSW.GamePass),由VB 程序语言编写,通过 nSPack 3.1 加壳处理(即通常所说的“北斗壳”North Star),该木马文件图标一般是红色的图案,伪装成网络游戏的登陆器。...
Svchost进程分析器
10-20
值得信任的svchost.exe位于C:\Windows\System32, 但是很多病毒木马也利用这个文件和进程名来进行伪装. Svchost进程分析器 可以列举出所有的svchost的实例,并检查它们包含的服务. 这样就很容易发现svchost蠕虫病毒...
Svchost进程分析器 1.0绿色免费版
06-15
值得信任的svchost.exe位于C:\Windows\System32,但是很多病毒木马也利用这个文件和进程名来进行伪装.Svchost进程分析器可以列举出所有的svchost的实例,并检查它们包含的服务。这样就很容易发现svchost蠕虫病毒...
电脑病毒木马的清除和防范方法
不断学习,不断进步,提高自己
04-30 8251
特洛伊木马(简称为“木马”,英文为trojan)由于不感染其他的文件,也不破坏计算机系统,同时也不进行自我的复制,所以木马不具有传统计算机病毒的特征。由于目前市面上的杀病毒软件一般都直接支持对木马的查杀,所以大家习惯于将木马称为“木马病毒” 。
越来越多的黑客偏爱电子邮件网络钓鱼攻击
互联网安全研究院
12-19 3020
研究表明,黑客如今尤其喜欢通过目标的电子邮件账号作为进入组织机构的切入点。
漏洞CVE-2017-0199复现实验
qq_43443410的博客
07-21 832
  一名网络空间安全专业学生学习APT相关内容时所做的漏洞复现实验,如有错误或有待改进的地方,还请大家多多指教。 漏洞CVE-2017-0199复现实验1 概述1.1 漏洞背景1.2 漏洞简介2 复现实验3 可能导致失败的原因3.1 ActiveX被默认禁止执行hta程序3.2 其他问题 1 概述 1.1 漏洞背景   微软Office系列在世界范围内都是Windows甚至MacOs等操作系统上最常用的办公软件。而另一方面,利用Word、RTF、Excel等文档为载体进行攻击的方法层出不穷,一种非常流行.
【渗透测试】初探进程伪装
HBohan的博客
11-03 567
前言 当我们获取到一台主机的权限过后,拿到了自己想要搜集的信息,这时候我们就会留一个后门进行权限维持,权限维持的学问其实很深,今天就主要介绍其中一种比较简单的权限维持的方法 – 进程伪装。 我们知道在windows里面有很多系统进程,如winlogon.exe、explorer.exe、services.exe等等,这些exe都是Windows必须具有的exe,当缺失某些exe的时候,windows就不能够正常运行,所以我们如果想到实现进程伪装,最好的选择就是伪装成系统必备的exe,当我们进行进程伪装之后,
进程伪装实现将进程伪装成任意程序
yeanhoo的博客
09-24 6070
进程伪装 修改指定进程环境块中的进程路径以及命令行信息,从而达到进程 伪装的效果。 获取进程的句柄 内联汇编获取peb 修改命令行和imagepath #include<windows.h> #include<winternl.h> BOOL DisguiseProcess(wchar_t *lpwszPath, wchar_t *lpwszCmd); int main() { wchar_t *lpwszPath = L"c:\\windows\\system32\\c
针对木马病毒最好的杀毒软件是什么
最新发布
04-01
2. 病毒库更新速度:及时更新病毒库可以保证杀毒软件能够检测到最新的病毒。 3. 扫描速度:快速扫描可以节省时间,但不要牺牲精度。 4. 功能完善性:杀毒软件应具备防火墙、实时保护、安全浏览、垃圾清理等功能。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值