问题描述

  • 在“任务管理器”中查看进程时,可以根据进程的一些信息判定系统是否感染病毒。给出一些具体的实例说明
  • 比如在系统中有多个svchost.exe,大家可以查一下它的作用是什么,对应的程序放在在C盘的什么文件夹中,一般说来,如何判定svchost.exe被病毒感染了?
  • 除此之外还有什么其他的方法来判断是否是病毒进程?

实例

一般情况下资源管理器中的用户进程名是不会重复的,而系统进程会有许多重复的名称如图

病毒通常就隐藏在其中,常见的隐藏方式大致分两种

  1. 以假乱真
    正常的系统进程:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe
    虚假的进程:svch0st.exe、explore.exe、iexplorerexe、winlogin.exe
  2. 以真乱假
    利用了“任务管理器”无法查看进程对应可执行文件这一缺陷,看似是真的系统进程,其实实际的执行位置并不在系统目录下,而是病毒的执行位置。


所以通过进程来查找病毒只需要专注于以下两点即可:

(1)仔细检查进程的文件名。
(2)检查其路径。

svchost.exe

此进程的作用详见百度百科    https://baike.baidu.com/item/svchost.exe/552746?fr=aladdin

测试环境  windows 10

在进程->详细信息->svchost.exe(右击)->打开文件所在位置既可以查看该进程在系统中的具体位置

C:\Windows\System32

查看本电脑的系统目录的方法在cmd中输入

C:\Users\44273\Desktop\result.txt

在桌面上就会生成本机报告,在result.txt 中就可以找到系统目录了。

在上文已说明只要不是在系统目录下的svchost.exe进程一定是病毒。

其他的方法来判断是否是病毒进程

可以把消耗资源的多少作为排序依据,从高到低依次排查可疑进程
对进程不熟悉的 我们 还是乖乖用杀毒软件为妙。。。

 

 


Everything is alright