当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 用Longhorn“任务管理器”查木马

安全基础
网络协议分析软件的编写
一个SYN攻击的源程序
彻底清查带毒的Cookie
解析cookie欺骗实现过程及具体应用
从芯认识 浅谈宽带路由器处理芯片
搜索引擎也另类 想搜啥就搜啥
命令提示符恢复本地安全策略小技巧
根据PID查杀木马病毒的适用小方法
网络管理员日志之硬件修理篇
著名黑客Kevin Mitnick谈网络安全
Windows XP 常见的进程列表
网络攻击概览
爱机中毒自救六招
引起网络广播风暴的几种原因
黑客入侵36计
局域网测试及故障排除经验谈
不可忽视的BIOS参数设置
微软IE浏览器非常规修改全攻略(上)
微软IE浏览器非常规修改全攻略(下)
网管十招

安全基础 中的 用Longhorn“任务管理器”查木马


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 107 ::
收藏到网摘: n/a

 最近有网友将任务管理器从Longhorn测试版操作系统中剥离出来,放在网上供下载(http://www.cniti.com/soft/epc/2004-10/taskmgr.rar)。这个版本的任务管理器可以直接升级WindowsXP/Server 2003的任务管理器,而且同原有版本相比,在识别木马和分析系统方面的能力大大增强。今天就让我们来看看这个版本的任务管理器是如何揪出木马的。

  Longhorn版任务管理器的源文件包括三个程序文件,分别拷贝到“C:\windows\system32\dllcache”和“C:\windows\system32”中,这个时候操作系统会弹出一个“Windows 文件保护”对话框,点击“取消”按钮,接着点击“是”按钮就可以了。

  以前我们经常说可以利用进程来判断系统中是否有木马,但是旧版任务管理器在进程分析和判断方面功能过于弱小,对于一般用户来说掌握这种方法有一定难度。现在好了,Longhorn版“任务管理器”可以采用进程名、进程路径及用户名三方面相结合的方法来判断病毒及木马。

  一般来说木马和病毒会采取两种途径潜伏在进程中。一是直接利用系统现有进程。比如explorer.exe、rundll32.exe这些进程。还有一种就是通过改头换面,生成新的进程,但进程名称同系统基本进程非常相似,不容易被发现。比如exlporer.exe、internet.exe。

  后者主要是通过查看“映像名称”来揪出木马。而前者则需要分析进程所在路径。

  在这里我们看到系统中有一个svchost.exe,这是WindowsXP中最熟悉的进程之一。但是当我们通过点击鼠标右键菜单的“打开所在目录”,却意外发现这个进程所在的路径是C:\Windows。要知道这个进程一般是在C:\windows\system32\下面。那么现在就可以初步判定这个进程存在问题。接下来通过专门的木马工具进行扫描。

  其实还有更为简便的方法,利用“映像路径”直接判断进程是否存在问题。当然你首先需要在新版任务管理器面板上面打开“查看→选择列”,勾选其中的“映像路径”选项。然后回到“进程”选项卡,就能够直接看到svchost.exe进程的路径了,有没有问题就一目了然。

  注意“用户名”也是另外一个发现进程是否正确的方法。如果是系统的进程(“用户名”为“SYSTEM”),则是正常的,如果是用户的进程,则可能是病毒了。比如,有一个svchost.exe进程的用户名是其它名字,那你就需要杀毒了。

  总的来说,Longhorn版任务管理器在进程管理方面得到了大大改善,灵活利用它,将帮助你迅速发现系统中是否存在病毒或者木马,便于你及时进行清除。

  小资料

  基本进程:smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe、spoolsv.exe、explorer.exe、System Idle Process;
  常见进程:internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe,