当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 用Longhorn“任务管理器”查木马

安全基础
实现高效安全的网络访问控制的解决方案
学会利用加密方法保障电子邮件系统安全
新手入门:常见的病毒前缀的解释
通讯录导进Gmail的经验操作技巧
保障局域网访问internet的速度与安全的技巧
局域网的网上邻居中隐藏共享文件夹
常用的防范sniffer的方法
排除无线网络安全隐患的八大主流技术
outlook或foxmail邮件转入evolution的方法
在浏览器中直接查看照片的EXIF信息
U盘病毒彻底防御办法
多余的本地连接删除的方法
v6677.cn强制设为首页后怎么办?
电脑感染木马桌面多IE图标无法删除
正版用户如何删除产品密钥
如何全面防范邮件病毒的侵蚀
局域网内部禁止修改IP地址
网络钓鱼诈骗也可以专挑有钱人?
视频文件会存在病毒怎么杀毒?
看似不起眼的小动作破坏你计算机安全策略

安全基础 中的 用Longhorn“任务管理器”查木马


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 44 ::
收藏到网摘: n/a

 最近有网友将任务管理器从Longhorn测试版操作系统中剥离出来,放在网上供下载(http://www.cniti.com/soft/epc/2004-10/taskmgr.rar)。这个版本的任务管理器可以直接升级WindowsXP/Server 2003的任务管理器,而且同原有版本相比,在识别木马和分析系统方面的能力大大增强。今天就让我们来看看这个版本的任务管理器是如何揪出木马的。

  Longhorn版任务管理器的源文件包括三个程序文件,分别拷贝到“C:\windows\system32\dllcache”和“C:\windows\system32”中,这个时候操作系统会弹出一个“Windows 文件保护”对话框,点击“取消”按钮,接着点击“是”按钮就可以了。

  以前我们经常说可以利用进程来判断系统中是否有木马,但是旧版任务管理器在进程分析和判断方面功能过于弱小,对于一般用户来说掌握这种方法有一定难度。现在好了,Longhorn版“任务管理器”可以采用进程名、进程路径及用户名三方面相结合的方法来判断病毒及木马。

  一般来说木马和病毒会采取两种途径潜伏在进程中。一是直接利用系统现有进程。比如explorer.exe、rundll32.exe这些进程。还有一种就是通过改头换面,生成新的进程,但进程名称同系统基本进程非常相似,不容易被发现。比如exlporer.exe、internet.exe。

  后者主要是通过查看“映像名称”来揪出木马。而前者则需要分析进程所在路径。

  在这里我们看到系统中有一个svchost.exe,这是WindowsXP中最熟悉的进程之一。但是当我们通过点击鼠标右键菜单的“打开所在目录”,却意外发现这个进程所在的路径是C:\Windows。要知道这个进程一般是在C:\windows\system32\下面。那么现在就可以初步判定这个进程存在问题。接下来通过专门的木马工具进行扫描。

  其实还有更为简便的方法,利用“映像路径”直接判断进程是否存在问题。当然你首先需要在新版任务管理器面板上面打开“查看→选择列”,勾选其中的“映像路径”选项。然后回到“进程”选项卡,就能够直接看到svchost.exe进程的路径了,有没有问题就一目了然。

  注意“用户名”也是另外一个发现进程是否正确的方法。如果是系统的进程(“用户名”为“SYSTEM”),则是正常的,如果是用户的进程,则可能是病毒了。比如,有一个svchost.exe进程的用户名是其它名字,那你就需要杀毒了。

  总的来说,Longhorn版任务管理器在进程管理方面得到了大大改善,灵活利用它,将帮助你迅速发现系统中是否存在病毒或者木马,便于你及时进行清除。

  小资料

  基本进程:smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe、spoolsv.exe、explorer.exe、System Idle Process;
  常见进程:internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe,