第四课病毒查杀之进程篇(三)课件.docxVIP

病毒查杀之进程篇（三）进程的隐藏和自我保护我们通过上面的讲解已经知道，进程是一个程序运行所必须的，因此检查进程也就成了查杀木马的关键环节，我们知道这一点，病毒木马的作者们当然更知道，所以，如何隐藏自己的进程，就成了养马人处心积虑要实现的。 一个程序可以无进程么？我可以很负责任的告诉你，在Windows系统下一个程序一定、确定以及肯定的会有一个进程，没有进程是不可能的。那所谓的”无进程木马”又是怎么回事儿呢？第一种无进程木马是DLL注入型木马： DLL（动态链接库）是编译好的代码，与一般程序没什么大的差别，只是它不能独立运行，需要程序调用。当某一进程需要实现某一功能时，此功能可能是放在某一动态链接库文件中的，所以，当进程需要使用时就要将动态库文件加载到自己的进程中。DLL运行时并不是没有进程，而是直接挂在调用它的程序的进程里的,所以相对于传统EXE病毒木马来说，它很难被查到。比如我们上面所说的那个服务：C:\WINDOWS\system32\wuauserv.dll，注意文件的扩展名是DLL，这就是一个典型的DLL文件，如果这是一个病毒木马文件，那么，这就是一个典型的无进程木马，因为它没有自己的进程，我们在进程列表中看到的是Svchost.exe的进程。这个DLL是利用服务来加载的，在注册表中还有很多位置可以让一个DLL加载到其它进程中，这在后面自启动程序一节中我们要讲解。 但是