病毒基础理论

此篇讲述的是一些概念，比如：什么是***？什么是病毒？什么又是恶意软件呢？等等~俗话说：知己知彼，才能百战不殆~

   

Ps：

病毒是怎么命名的? 其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些共有的特性了：一般格式为：

<病毒前缀>.<病毒名>.<病毒后缀>

　　

病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。

病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的。

病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如果该病毒变种非常多，可以采用数字与字母混合表示变种标识。

  

  

1. 什么是***

　　“***”源自古希腊特洛伊战争中著名的“***计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来迫害你的电脑，窃取你的资料。***其前缀是：Trojan，一般的***如QQ消息尾巴*** Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的***病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）

【有人很奇怪了，我为什么要把***单独列出来，而不归于【计算机病毒】分类呢？那是因为现在的***越来越趋向于“盈利模式”，比如盗号、肉鸡，窃取资料等等，所以我们要特别防范。】

       其传染方式有很多种，例如他能伪装成图片，诱使你点击；通过电子邮件附件发给你；捆绑在其他的程序中和通过挂马的网页进行***等等。

       其动作也有很多，比如他会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的***、连接互联网下载其他***等。一般来说，现在的***都很狡猾，他们想方设法通过加密、捆绑、加花、加壳等来绕过杀软的检测，从而窃取计算机内部的资料，或者破坏计算机，使计算机成为“肉鸡”。

　　怎么防范呢？很简单，升级你的杀毒软件，定期扫描，有条件的话，最好装一个HIPS。还有就是要提高警惕，不要轻易打开陌生人发来的QQ、邮箱等附件，不下载和不运行来历不明的程序等等。

   

   

2. 什么是计算机病毒

　　通俗来讲，计算机病毒是一个程序，一段可执行代码。它可以很快地通过网络、U盘等蔓延，又常常难以根除。它能影响计算机使用，并且具有破坏性，复制性和传染性。

病毒又分为很多种类，下面，我就来说说最常见的一些病毒吧~

系统病毒

      系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。

  

蠕虫病毒

　　蠕虫病毒的前缀是：Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。

  

脚本病毒

　　脚本病毒的前缀是：Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行的传播的病毒

  

后门病毒

　　后门病毒的前缀是：Backdoor。该类病毒的共有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。

  

破坏性程序病毒

　　破坏性程序病毒的前缀是：Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。

  

玩笑病毒

　　玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。

所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。当然，其预防方法也和怎么预防***差不多。

   

   

3.什么是网络钓鱼

　　 ***者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、×××号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息.

那么如何防备网络钓鱼？

你可以注意以下几点：

　

　

1.不要在网上留下可以证明自己身份的任何资料，包括手机号码、×××号、银行卡号码等。

　　2.不要把自己的隐私资料通过网络传输，包括银行卡号码、×××号、电子商务网站账户等资料不要通过QQ 、MSN 、Email 等软件传播，这些途径往往可能被***利用来进行诈骗。

　　3.不要相信网上流传的消息，除非得到权威途径的证明。如网络论坛、新闻组、 QQ 等往往有人发布谣言，伺机窃取用户的身份资料等。

　　4.不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。

　　5.如果涉及到金钱交易、商业合同、工作安排等重大事项，不要仅仅通过网络完成，有心计的骗子们可能通过这些途径了解用户的资料，伺机进行诈骗。

　　6.不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等，除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息，而骗子们往往喜欢这样进行诈骗。

  

  

4.什么是浏览器劫持

　　浏览器劫持是一种恶意程序，通过DLL插件、BHO 、Winsock LSP 等形式 对用户的浏览器进行篡改，使用户浏览器出现 访问正常网站时被转向到恶意网页、IE浏览器主页、搜索页等被修改为劫持软件指定的网站地址等异常。

浏览器劫持分为多种不同的方式，从最简单的修改IE默认搜索页到最复杂的通过病毒修改系统设置并设置病毒守护进程劫持浏览器等。

那么浏览器劫持如何防止呢？ 

      1.不要轻易浏览不良网站.

      2.不要轻易安装共享软件、盗版软件.

      3.建议使用安全性能比较高的浏览器，并可以针对自己的需要对浏览器的安全设置进行相应调整。如果给浏览器安装插件，尽量从浏览器提供商的官方网站下载。

  

   

5.什么是广告软件Adware

　　广告软件（Adware）是指 未经用户允许，下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后，往往造成系统运行缓慢或系统异常。

预防方法：

　　1.不要轻易安装共享软件或“免费软件”，这些软件里往往含有广告程序、间谍软件、等不良软件，更有甚者里面还捆绑了病毒、***等，会带来安全风险。

　　2.有些广告软件通过恶意网站安装，所以，不要浏览不良网站.

　　3.采用安全性比较好的网络浏览器（比如非IE内核的浏览器），并注意弥补系统漏洞。

  

  

6.什么是间谍软件Spyware

　　间谍软件（Spyware）是能够在使用者不知情的情况下，在用户电脑上安装后门程序的软件。 用户的隐私数据和重要信息会被那些后门程序捕获， 甚至这些 “后门程序” 还能使***远程操纵用户的电脑。

其预防方法和预防广告软件差不多。

  

         

   7.什么是恶意共享软件

　　恶意共享软件（malicious shareware）是指采用不正当的捆绑或不透明的方式强制安装在用户的计算机上，并且利用一些病毒常用的技术手段造成软件很难被卸载，或采用一些非法手段强制用户购买的免费、共享软件。安装共享软件时，应注意以下方面：

1.注意仔细阅读软件提供的“安装协议”，不要轻易地一路next下去。 

　　2.不要安装从不良渠道获得的盗版软件，这些软件往往由于破解不完全，安装之后带来安全风险。

　　3.使用具有破坏×××的软件，如硬盘整理、分区软件等，一定要仔细了解它的功能之后再使用，避免因误操作产生不可挽回的损失。

Ⅱ，系统驱动文件

windows正常的驱动文件，为：*.sys，类型的文件，位于：c:\windows\system32\drivers ，这个文件夹下面。

谨记：要删除驱动的时候，一定要先备份，后删除！

     

1.在SREng日志中，驱动程序的结构如下：

[Microsoft Kernel Acoustic Echo Canceller / aec][Stopped/Manual Start]

<system32\drivers\aec.sys><Microsoft Corporation>

其结构和【服务】的结构没有太大区别，在这不累述了。

  

正常、非正常驱动程序的判断方法和依据：

1.看数字签名（见上文）

   

2.文件名称乱七八糟的= =，例如：

[hswgajeg/ rekng][Running/Manual Start]

<system32\drivers\66542gvi.sys><sfjsfg>

[skjd / skjd][Stopped/Manual Start]

<\??\C:\DOCUME~1\hopesky~1\LOCALS~1\Temp\skjd.sys><N/A>

……别废话了，先备份，后删除吧~

    

3.搜索引擎上明摆着是病毒的

     

4.由某种病毒衍生出来的驱动

      

多多积累，才能多多收获，就这样~~

      

      

Ⅲ，浏览器加载项

浏览器加载项是一个综合的项目，其中包括了BHO，ActiveX等插件，浏览器工具栏等多个项目，这些项目中，不仅仅有dll类型的加载PE文件（BHO或ActiveX项目），也有工具栏附加按钮，浏览器的右键菜单项目等。

1.在SREng日志中，浏览器加载项的结构如下：

[Thunder Browser Helper]

  {889D2FEB-5411-4565-8998-1DD2C5261283} <D:\Program Files\Thunder\ComDlls\xunleiBHO_Now.dll, (Signed) Thunder Networking Technologies,LTD>

      

[Thunder Browser Helper]代表该加载项的名称

{889D2FEB-5411-4565-8998-1DD2C5261283}代表在注册表中的名称

<D:\Program Files\Thunder\ComDlls\xunleiBHO_Now.dll代表映像路径

(Signed) Thunder Networking Technologies,LTD>代表数字签名（有些没有也是正常的！）

       

2.正常、非正常浏览器加载项的判断方法和依据：

那啥，很少有病毒会很无聊的涉及到这个项目，一般都是恶意软件等去涉及的……在这个项目中，基本上出不了大问题，自己多多积累一些windows自带的浏览器加载项和常见的浏览器加载项就行了~

         

         

Ⅳ，正在运行的进程（包括进程模块信息）：

1.在SREng日志中，正在运行的进程（包括进程模块信息）的结构如下：

[PID: 632][\??\C:\WINDOWS\system32\winlogon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

    [C:\WINDOWS\system32\AUTHZ.dll]  [Microsoft Corporation, 5.1.2600.2622 (xpsp_sp2_gdr.050301-1519)]

    [C:\WINDOWS\system32\COMCTL32.dll]  [Microsoft Corporation, 5.82 (xpsp.060825-0040)]

    [C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll]  [Microsoft Corporation, 6.0 (xpsp.060825-0040)]

    [C:\WINDOWS\system32\sfc_os.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

    [C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]

    [C:\WINDOWS\system32\sxs.dll]  [Microsoft Corporation, 5.1.2600.3019 (xpsp_sp2_gdr.061019-0414)]

    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

    [C:\WINDOWS\system32\xpsp2res.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\WINDOWS\system32\iphlpapi.dll]  [Microsoft Corporation, 5.1.2600.2912 (xpsp_sp2_gdr.060519-0003)]

[PID: 416 / SYSTEM][\SystemRoot\System32\smss.exe]  [(Verified) Microsoft Corporation, 6.0.6002.18005 (lh_sp2rtm.090410-1830)]           

[PID: 632][\??\C:\WINDOWS\system32\winlogon.exe]：

   

PID：指此进程在系统中的“数字标识”,在系统中，每个进程有且仅有一个PID，所以说，它是唯一的。

[\??\C:\WINDOWS\system32\winlogon.exe]代表在系统中，该进程对应文件的详细位置。

[(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]代表该进程对应文件的数字签名和文件的版本信息。

[PID: 416 / SYSTEM]：SYSTEM代表的是创建此进程的用户名。

   

[C:\WINDOWS\system32\AUTHZ.dll]  [Microsoft Corporation, 5.1.2600.2622 (xpsp_sp2_gdr.050301-1519)]

    [C:\WINDOWS\system32\COMCTL32.dll]  [Microsoft Corporation, 5.82 (xpsp.060825-0040)]

    [C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll]  [Microsoft Corporation, 6.0 (xpsp.060825-0040)]

    [C:\WINDOWS\system32\sfc_os.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

    [C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]

    [C:\WINDOWS\system32\sxs.dll]  [Microsoft Corporation, 5.1.2600.3019 (xpsp_sp2_gdr.061019-0414)]

    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

    [C:\WINDOWS\system32\xpsp2res.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\WINDOWS\system32\iphlpapi.dll]  [Microsoft Corporation, 5.1.2600.2912 (xpsp_sp2_gdr.060519-0003)]

  

以上这些，是表示该进程（winlogon.exe）的模块信息。

  

例如：

[C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]

[C:\WINDOWS\system32\ole32.dll]代表该模块对应文件的详细路径和名称。

[Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]代表模块的公司名称和文件的版本信息。

(xpsp_sp2_gdr.050725-1528)代表XP系统的版本信息，这个很重要哦~！

  

  

2.正常、非正常进程的判断方法和依据：

1.要着重注意进程公司名称处为[N/A, ]的文件，但要注意的是，winrar里有个进程是例外的，如：

[C:\Program Files\WinRAR\rarext.dll]  [N/A, ]

这个文件是winrar的，是正常文件哦~

  

2. 注意进程文件的版本,模块文件的版本

这一步，我们可以优先着重注意看有没有进程是没有模块信息的，没有版本信息的文件进程。

     

3．一般标有系统版本（如XP）信息的文件，都是正常的，我们可以快速的扫过，不必花大工夫去研究。

如：

[C:\Windows\system32\SHSVCS.dll]  [Microsoft Corporation, 6.0.6000.16386 (vista_rtm.061101-2205)]

[C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]

     

4.在查看进程（模块信息）的同时，我们也要结合前面的一些内容，比如启动项目的分析，服务、驱动程序的分析等，因为一般在注册表启动项目里面非正常的文件.都会在进程活模块中有所反映。所以，将他们放着一起，做一个对比，往往会事半功倍哦~

        

5.我们要注意，同一个DLL类型文件,同时做为模块,同时插入大部分进程,而且该DLL文件无公司名称，无数字签名，无版本信息等，那么就要特别小心了哦~

例如:

[PID: 1846][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]

    [C:\WINDOWS\system32\lalalala.dll]  [N/A, ]

[PID: 846 / SYSTEM][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]

    [C:\WINDOWS\system32\ lalalala.dll]  [N/A, ]

[PID: 748 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]

    [C:\WINDOWS\system32\ lalalala.dll]  [N/A, ]

6.自我总结、归纳。刚刚开始学，慢慢的来，然后再一步步深入探究。脚踏实地者，方能成大事也。

  

  

Ⅴ，文件关联：

很多病毒，都会修改系统默认的文件关联。我们可以用SREng修复。

例如：

.TXT  Error. [C:\WINDOWS\notepad.exe %1]

.EXE  OK. ["%1" %*]

.COM  OK. ["%1" %*]

.PIF  OK. ["%1" %*]

.REG  OK. [regedit.exe "%1"]

.BAT  OK. ["%1" %*]

.SCR  OK. ["%1" /S]

.CHM  Error. ["hh.exe" %1]

.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]

.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]

.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]

.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]

.JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]

.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

我们只需注意ERROR部分，如有出现，我们必须建议提供日志者第一时间去使用sreng去修复！

Ⅵ，Winsock 提供者

SREng日志中，默认只列出“第三方”的winsock提供者。

小编的电脑是正常的，so：

==================================

Winsock 提供者

N/A

===================================

  

还有一种可能就是杀毒软件[目的是因为这一项是负责网络协议的，杀软用自己的组件守住了这一项，更有利于监控网络数据流。]（或一些其他正常软件）所添加的，比如nod32，大蜘蛛，和一些上网验证的客户端等。所以，对于【重置winsock】要谨慎使用，一般情况下，不必刻意的去理会他。

  

  

Ⅶ，Autorun.inf

正常情况下，Autorun.inf应为空，如：

==================================

Autorun.inf

N/A

==================================

如果出现了东西，那么就是病毒了，如：

==================================

Autorun.inf

[C:\]

[AuToRuN]

open=XXX.EXE

shell\open=打开(&O)

shelL\open\ComMand= XXX.EXE

[D:\]

[AuToRuN]

open= XXX.EXE

shell\open=打开(&O)

shelL\open\ComMand= XXX.EXE

===============================

这个表明该病毒在C、D分区下建立了Autorun.inf和XXX.EXE，我们可以这样做：

开始——运行——cmd——C:——attrib -a -s -h -r autorun.inf——del autorun.inf

开始——运行——cmd——D:——attrib -a -s -h -r autorun.inf——del autorun.inf

有几个分区感染了，那就重复几次，最后重启机器。

  

  

Ⅷ，HOSTS文件

一般情况下，应该为空或如下：

==================================

HOSTS 文件

127.0.0.1       localhost

=================================

  

还有种可能就一些软件会修改HOSTS文件，添加一些项目，大都是让电脑禁止访问被添加HOSTS项目的网站，如：

127.0.0.1       localhost

127.0.0.1       www.jshdf.com

127.0.0.1       bbs.jrg.com.cn

  

我们视情况而定，如果被屏蔽的是一些主流杀毒软件、安全网站的话，我们就要建议日志提供者要重置HOSTS文件了。

   

Ⅸ，进程特权扫描

在windows系统, 进程特权是程序执行相应操作所需要的。如对系统进程进行内存读取（有时仅仅是为了遍历进程，得到其映像文件名，要对目标进程的PEB进行读取）需要SeDebugPrivilege权限，用程序调用ExitWindowsEx关闭或重启计算机需要SeShutdownPrivilege等等，如果没有相应权限，相应操作就会被系统阻止。

一些软件，比如杀毒软件等，它们因为需要一直监控运行，所以具有更高的进程特权。

例如：

==================================

进程特权扫描

特殊特权被允许： SeLoadDriverPrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]

特殊特权被允许： SeSystemtimePrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]

特殊特权被允许： SeDebugPrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]

特殊特权被允许： SeLoadDriverPrivilege [PID = 2492, F:\PROGRAM FILES\SANDBOXIE\SBIESVC.EXE]

特殊特权被允许： SeLoadDriverPrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]

特殊特权被允许： SeSystemtimePrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]

特殊特权被允许： SeDebugPrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]

特殊特权被允许： SeLoadDriverPrivilege [PID = 4020, F:\USERS\LIUJIEHUA\APPDATA\ROAMING\CHROMEPLUS\CHROME.EXE]

特殊特权被允许： SeSystemtimePrivilege [PID = 4020, F:\USERS\LIUJIEHUA\APPDATA\ROAMING\CHROMEPLUS\CHROME.EXE]

==================================

在这里，我们可以根据映像路径和映像文件名来判断此文件的是否正常。

   

   

Ⅹ，计划任务

计划任务可以定义关机时间及开机启动，自定义时间启动某些程序和更新等，所以有些病毒往往会利用这个功能实现开机自动启动。

这个，我们也可以根据映像路径和映像文件名来判断这个人物是否正常。

例如：

==================================

计划任务

[已禁用] \\SogouImeMgr

        f:\PROGRA~1\SOGOUI~1\500~1.381\SGTool.exe --appid=pinyinrepair /S

[已启用] \\{4731A4CA-7C6E-4AF6-AD5D-68EBE5309B9E}

        C:\Windows\system32\pcalua.exe -a H:\笔记本电脑\必要安装程序\ha_regvac50126.exe -d H:\笔记本电脑\必要安装程序

[已禁用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Automated)

        N/A 

[已启用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Manual)

        N/A

==================================

   

   

ⅰ，Windows 安全更新检查

System Repair Engineer (SREng) 2.81 版本增加了Windows 安全更新扫描功能，它能检查你系统还未打完的补，但不能自主修复。

   

   

ⅱ，API HOOK

这个……一般杀毒软件会很乐意进行挂钩~因为杀毒软件为了从更深的层次得监控保护电脑,从而就会修改此处。

一般为N/A，如：

==================================

API HOOK

N/A

   

==================================

   

或者为杀毒软件所修改的，如：

==================================

API HOOK

入口点错误：ShellExecuteExW (危险等级: 一般,  被下面模块所HOOK: d:\Program Files\Kingsoft\WebShield\kswebshield.dll)

   

==================================

同样，我们可以根据映像路径和映像文件名来判断此钩子的是否正常。

   

    

ⅲ，隐藏进程

一般情况下，是为N/A，如：

==================================

隐藏进程

N/A

    

==================================

或者是杀毒软件，一些安软，为了保护自身不被病毒干掉，所以创建了隐藏进程。

    

注意：如果在这里出现iexplore.exe，那么你就要小心了~！IE是不会自己创建隐藏进程的。这种情况，一般都是灰鸽子等。

转载于:https://blog.51cto.com/erican/344773