扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一、svchost.exe
由于系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。病毒常以此进程文件伪装的有svch0st.exe、schvost.exe、scvhost.exe等,一个字符大小写的变化,即可以生存多种形态。
系统调用查看:这里可以依次打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。(图一)
当svchost.exe的可执行文件路径位于C:\WINDOWS\system32目录外,那么就可以判定是病毒伪装。
系统进程线数:Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;WindowsXP中,则一般有4到五个svchost.exe服务进程。如果svchost.exe进程的数量多于5个,此时用户就要小心了,很可能是病毒假冒的。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。