科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道从explorer.exe进程看病毒

从explorer.exe进程看病毒

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

很多插入进程的钩子,都是从explorer.exe开始的,如果病毒先搞定了explorer.exe,那么,电脑运行的所有的程序就都跑不掉了。

作者:瑞星卡卡 2007年11月5日

关键字: explorer.exe专杀 explorer.exe错误 explorer.exe病毒 Explorer.exe

  • 评论
  • 分享微博
  • 分享邮件

  很多插入进程的钩子,都是从Explorer.exe开始的,如果病毒先搞定了它,那么,你运行的所有的程序就都跑不掉了。

  看启动项

  首先你要熟悉并知道你电脑中都有哪些启动项

  大多的病毒的名称都是不规则的,随机性很大~这个可以借用google搜索下

  在其它的目录添加一个假冒的正常文件(文件名相同,但路径不对~)

  或将一些你比较熟知的进程名称少许的改一些~~如:0与o 1与l 以此来蒙浑我们的眼睛~(所以,我们在检查这些时要擦亮自已的眼睛~~~)

  看服务

  大多服务的启动文件(基本说是所有~)在windows根目录下出现,也就是在说,我是木马~~

  有的在运行时会把自已隐藏起来~(如新版的鸽子~)

  还有,和上面有些相似的一点~~不规则的,随机出现的进程文件名~~最好去网上搜索下~(推荐,google或百度~)如搜索为零~呵呵,那你就要小心了~~

  驱动

  还没太弄明白,这个最好是杀软能够确定的查出~或已经被确认的病毒的驱动~

  (很多正常的驱动名都有点不规则~所以这点在这里不太通~)

  对于插件

  比较难界定~牛氓软件太多,所以,牛氓插件也就相应的很多了~~~

  (我只装了一个卡卡安全助手.)

  对于运行中的进程

  木马最喜欢插入Explorer.exe及它以下的所有进程,,所以,在它们下面如果你发现总是有一个或几个DLL(同名的~!!)

  那你就要考虑,它是不是木马的爪子已经抓住你了~~

  另,如果在下面进程下发现有东西~(下面几个文件,在sreng中是不显示正常已经被确认的微软的模块的!!)呵呵,所以,你也最好到网上去搜一下~~

  C:\WINDOWS\System32\smss.exe

  C:\WINDOWS\system32\csrss.exe

  C:\WINDOWS\system32\winlogon.exe

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章