浅谈进程管理在病毒防治中的作用.docxVIP

浅谈进程管理在病毒防治中的作用 　　(神华准格尔能源有限公司选煤厂，内蒙古呼和浩特010300) 　　摘要：介绍了进行程管理中容易被计算机病毒侵犯和伪装的程序，从进程管理方面谈了病毒的预防和查杀。 关键词：病毒；进程；动态链接库 　　中图分类号：TP309.5文献标识码：A文章编号：1007—6921(XX)08—0073—01 　　随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、恶意软件的攻击，所以网上信息的安全和保密是一个至关重要的问题。 1进程的概念 　　进程的概念是60年代初首先由麻省理工学院的MULTICS系统和IBM公司的CTSS/360系统引入的。进程是一个具有独立功能的程序关于某个数据集合的一次运行活动。它可以申请和拥有系统资源，是一个动态的概念，是一个活动的实体。它不只是程序的代码，还包括当前的活动，通过程序计数器的值和处理寄存器的内容来表示。进程是操作系统中最基本、重要的概念。是多道程序系统出现后，为了刻画系统内部出现的动态情况，描述系统内部各道程序的活动规律引进的一个概念,所有多道程序设计操作系统都建立在进程的基础上。 　　进程为应用程序的运行实例，是应用程序的一次动态执行。看似高深，我们可以简单地理解为：它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括：系统管理计算机个体和完成各种操作所必需的程序；用户开启、执行的额外程序，当然也包括用户不知道，而自动运行的非法程序。 2WindowsXP常见的进程列表 　　这些进程是最基本的系统进程,是系统运行的基本条件，有了这些进程，系统才能正常运行。 　　SMSS.EXESessionManager CSRSS.EXE子系统服务器进程 WINLOGON.EXE管理用户登录 　　SERVICES.EXE包含很多系统服务 　　LSASS.EXE管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。(系统服务)产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) SVCHOST.EXE包含很多系统服务 　　SPOOLSV.EXE将文件加载到内存中以便迟后打印。(系统服务) EXPLORER.EXE资源管理器 　　INTERNAT.EXE托盘区的拼音图标 　　WINMGMT.EXE提供系统管理信息(系统服务)。 3病毒木马喜欢伪装的一些最常见进程 　　知道病毒经常冒充系统文件，让你防不胜防，所以，认识一些进程中的病毒常用的、迷惑大家的一些进程程序。 3.1SVCHOST.EXE 　　常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。 　　随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由svchost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe-kLocalService”，而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe-knetsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。在WindowsXP中，一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如冰刃icesword.exe的进程管理功能，查看模块信息，显示实时路径即可得到病毒所在地，手动删除，查看svchost.exe的可执行文件路径，如果在“C:\WINDOWS\system32”目录外，那么就可以判定是病毒了。 3.2EXPLORER.EXE 　　常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建