当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 用Longhorn“任务管理器”查木马

安全基础
企业局域网的安全有效管理
QQ聊天时躲避黑客攻击的安全技巧
防止域名劫持的技巧
对于TOR是否能够实现真正安全传输的技术分析
教你找出并清除系统中木马的藏身之所
预防路由器蠕虫攻击
提高Windows系统安全性从设置启动项做起
赛门铁克称只有34%的PC用户会定期进行备份
如何解决网络不能正常传输问题?
摆脱Ghost一键恢复到整个硬盘的困扰
信息安全的关键:密码安全
加强路由器安全的轻松方法
怎样删除自己看过电影的踪迹?
江民6月6日病毒播报:魔兽用户在传播病毒
江民6月9日病毒播报:“杀人魔”木马
WindowsXP系统无线网络的安全
服务器虚拟机的安全管理注意事项
无线网络加密攻略
安全配置交换机端口提高网络安全性
和黑客的ASP漏洞入侵说byebye

安全基础 中的 用Longhorn“任务管理器”查木马


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 57 ::
收藏到网摘: n/a

 最近有网友将任务管理器从Longhorn测试版操作系统中剥离出来,放在网上供下载(http://www.cniti.com/soft/epc/2004-10/taskmgr.rar)。这个版本的任务管理器可以直接升级WindowsXP/Server 2003的任务管理器,而且同原有版本相比,在识别木马和分析系统方面的能力大大增强。今天就让我们来看看这个版本的任务管理器是如何揪出木马的。

  Longhorn版任务管理器的源文件包括三个程序文件,分别拷贝到“C:\windows\system32\dllcache”和“C:\windows\system32”中,这个时候操作系统会弹出一个“Windows 文件保护”对话框,点击“取消”按钮,接着点击“是”按钮就可以了。

  以前我们经常说可以利用进程来判断系统中是否有木马,但是旧版任务管理器在进程分析和判断方面功能过于弱小,对于一般用户来说掌握这种方法有一定难度。现在好了,Longhorn版“任务管理器”可以采用进程名、进程路径及用户名三方面相结合的方法来判断病毒及木马。

  一般来说木马和病毒会采取两种途径潜伏在进程中。一是直接利用系统现有进程。比如explorer.exe、rundll32.exe这些进程。还有一种就是通过改头换面,生成新的进程,但进程名称同系统基本进程非常相似,不容易被发现。比如exlporer.exe、internet.exe。

  后者主要是通过查看“映像名称”来揪出木马。而前者则需要分析进程所在路径。

  在这里我们看到系统中有一个svchost.exe,这是WindowsXP中最熟悉的进程之一。但是当我们通过点击鼠标右键菜单的“打开所在目录”,却意外发现这个进程所在的路径是C:\Windows。要知道这个进程一般是在C:\windows\system32\下面。那么现在就可以初步判定这个进程存在问题。接下来通过专门的木马工具进行扫描。

  其实还有更为简便的方法,利用“映像路径”直接判断进程是否存在问题。当然你首先需要在新版任务管理器面板上面打开“查看→选择列”,勾选其中的“映像路径”选项。然后回到“进程”选项卡,就能够直接看到svchost.exe进程的路径了,有没有问题就一目了然。

  注意“用户名”也是另外一个发现进程是否正确的方法。如果是系统的进程(“用户名”为“SYSTEM”),则是正常的,如果是用户的进程,则可能是病毒了。比如,有一个svchost.exe进程的用户名是其它名字,那你就需要杀毒了。

  总的来说,Longhorn版任务管理器在进程管理方面得到了大大改善,灵活利用它,将帮助你迅速发现系统中是否存在病毒或者木马,便于你及时进行清除。

  小资料

  基本进程:smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe、spoolsv.exe、explorer.exe、System Idle Process;
  常见进程:internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe,