进程的应用.doc

? 进程的应用 一、进程概述 使用到的工具：进程管理器 木马辅助查找器 推荐使用工具：进程执法官(需要注册） 经常测试木马病毒的朋友建议看下这个！！应该有点帮助吧! 第一节：进程的应用！ 进程是系统或应用程序的一次动态执行。简单来说它是操作系统当前的执行程序！ 1.怎么查看进程？打开任务管理器通常是"Ctrl+Alt+Del"这 3个组合键！也可以在CMD里输入命令 tasklist 进行查看，或者进入超级兔子网站进行查看（/process/index.html) 2.怎么结束进程？结束进程可以在任务管理器里或者命令提示符（CMD）里操作，新建进程也是在任务管理器里操作！在新建框里键入所结束的进程就可以恢复了 命令提示符操作结束进程命令：cmd→taskist→taskkill /pid XXX 3.查看进程的发起程序 cmd→netstat -abnov 从中就可以看到每个进程所发起的程序与文件列表 4.查看隐藏进程 借助工具（进程管理器或者进程执法官） 5.强制关闭木马进程 在进程管理器中切换到进程标签页后，单击查看→选择列菜单，在弹出的窗口中勾选PID（进程标识符） 接着在CMD中使用(ntsd -c q -p XXXX)命令进行关闭，除了SYTEM等系统必须的进程，任何进程都可以结束掉，类似taskkill命令，一般都采取taskkill命令来结束进程！大家可以这样来结束，利用进程管理器获得PID值，在利用ntsd -c q -p命令结束，这样就方便多！ 第二节：识别真假svchost.exe进程 svchost.exe进程是NT刻心系统的非常重要的进程，对于2000，XP来说，是不可或缺的。因此很多木马病毒也会调用它！ 结束这个进程会马上产生一个新的SVCHOST.EXE进程，结束其中一个还会提示60秒后关机，一般来说，2000有两个svchost.exe进程，XP中则有4个或者更多，2003 server中则更多！那么我们如何来查看哪个病毒呢？ 利用netstat -abnov 命令查看反馈信息,再根据自己所知道的知识来判断，正常的svchost.exe进程文件是存放在%systemroot%tytem32目录中，而假冒的是放在其他目录的！还有一种方法是利用tasklist/svc命令看svchost.exe进程后面提示的服务信息是“暂缺”，而不是一个具体的服务名，那么就是病毒进程了！利用命令把它删除掉，再利用进程管理器找出路径把病毒彻底删掉！在WIN2000中的命令是(tlist -s) 假冒svchost.exe进程的病毒，并没有直接利用真正的svchost.exe进程，只是启动了相同名称的病毒进程，由于这个假冒的病毒进程并没有加载系统服务，所以跟真的svchost.exe进程是不同的！ 第三节：当心Explorer.exe,iexplore这两个进程！ 1.explorer.exe是windows程序管理器或者windows资源管理器，它用于管理windows图形壳，包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致windows图形界面无法适用! 病毒经常把explorer.exe伪装成exp1orer.exe，expl0rer.exe（用数字1代替字母l,用数字0代替字母o） 针对这种情况，我们除了留意进程名字外，还可以利用工具或命令进行查看路径，explorer.exe位于(c:/windowsExplorer.exe),如果不是这个目录就是病毒进程！除此之外，在系统的system.ini文件中（c:/windowssystem.ini),在(BOOT)下面有个“shell=文件名”正确的文件名字应该是（explorer.exe）如果不是，而是“shell=explorer.exe 程序名 ”那么跟在后面的程序名就是木马病毒！也可在注册表（HKEY-LOCAL-MACHINEsoftwaremicrosoftwindowsCurrentVersionRun)目录下(打开注册表命令是regedit）查看有没有自己不熟悉的自启动文件，扩展名为.EXE。病毒除了通过文件名相似来伪装这个进程以外，主要通过线程插入技术来利用这个进程，这种技术使木马病毒可以将他们的服务程序插入到正常的explorer.exe进程中，使用户很难找到蛛丝马迹！为此，我们借助木马查找器进行查看！ 2.iexplore.exe是我们平时应用非常广泛的IE主程序！这类病毒可以在windows 9X,NT,2000,XP等系统下正常运行！它可以将自己拷贝在系统目录下，命名为Iexplorer.exe文件，并修改注册表将自己加入到启动项，中了这种病毒，进程里会有好几个IEXPLORER.exe进程！结束掉又有好多新的出来，关闭IE后还可以从