当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 用Longhorn“任务管理器”查木马

安全基础
用net start 可以启动肉鸡的命令(2)
用net start 可以启动肉鸡的命令(3)
用net start 可以启动肉鸡的命令(4)
DDOS攻击 如何判断是否遭到流量攻击
网络防“虫”手段和全局安全网络的应用
个人网络安全防卫手册(1)
个人网络安全防卫手册(2)
个人网络安全防卫手册(3)
个人网络安全防卫手册(4)
个人网络安全防卫手册(5)
个人网络安全防卫手册(6)
一位高手整理的IIS FAQ
使用Exchange 2003防御地址欺骗(1)
使用Exchange 2003防御地址欺骗(2)
RAdmin 服务端高级配置(1)
只防病毒不安全 网络还需防什么(1)
只防病毒不安全 网络还需防什么(2)
主动防御电脑病毒并非天方夜谭
用XPSP2防火墙打造最强护身甲(1)
用XPSP2防火墙打造最强护身甲(2)

安全基础 中的 用Longhorn“任务管理器”查木马


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 91 ::
收藏到网摘: n/a

 最近有网友将任务管理器从Longhorn测试版操作系统中剥离出来,放在网上供下载(http://www.cniti.com/soft/epc/2004-10/taskmgr.rar)。这个版本的任务管理器可以直接升级WindowsXP/Server 2003的任务管理器,而且同原有版本相比,在识别木马和分析系统方面的能力大大增强。今天就让我们来看看这个版本的任务管理器是如何揪出木马的。

  Longhorn版任务管理器的源文件包括三个程序文件,分别拷贝到“C:\windows\system32\dllcache”和“C:\windows\system32”中,这个时候操作系统会弹出一个“Windows 文件保护”对话框,点击“取消”按钮,接着点击“是”按钮就可以了。

  以前我们经常说可以利用进程来判断系统中是否有木马,但是旧版任务管理器在进程分析和判断方面功能过于弱小,对于一般用户来说掌握这种方法有一定难度。现在好了,Longhorn版“任务管理器”可以采用进程名、进程路径及用户名三方面相结合的方法来判断病毒及木马。

  一般来说木马和病毒会采取两种途径潜伏在进程中。一是直接利用系统现有进程。比如explorer.exe、rundll32.exe这些进程。还有一种就是通过改头换面,生成新的进程,但进程名称同系统基本进程非常相似,不容易被发现。比如exlporer.exe、internet.exe。

  后者主要是通过查看“映像名称”来揪出木马。而前者则需要分析进程所在路径。

  在这里我们看到系统中有一个svchost.exe,这是WindowsXP中最熟悉的进程之一。但是当我们通过点击鼠标右键菜单的“打开所在目录”,却意外发现这个进程所在的路径是C:\Windows。要知道这个进程一般是在C:\windows\system32\下面。那么现在就可以初步判定这个进程存在问题。接下来通过专门的木马工具进行扫描。

  其实还有更为简便的方法,利用“映像路径”直接判断进程是否存在问题。当然你首先需要在新版任务管理器面板上面打开“查看→选择列”,勾选其中的“映像路径”选项。然后回到“进程”选项卡,就能够直接看到svchost.exe进程的路径了,有没有问题就一目了然。

  注意“用户名”也是另外一个发现进程是否正确的方法。如果是系统的进程(“用户名”为“SYSTEM”),则是正常的,如果是用户的进程,则可能是病毒了。比如,有一个svchost.exe进程的用户名是其它名字,那你就需要杀毒了。

  总的来说,Longhorn版任务管理器在进程管理方面得到了大大改善,灵活利用它,将帮助你迅速发现系统中是否存在病毒或者木马,便于你及时进行清除。

  小资料

  基本进程:smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe、spoolsv.exe、explorer.exe、System Idle Process;
  常见进程:internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe,