木马查杀深度剖析之进程篇(三)
发布时间:2011-06-21 14:52:17作者:知识屋
当然了,我们是来查杀木马的,当然不会满足于仅仅知道这是一组服务,这一组中是不是会藏着一个木马呢?所以,我们还要知道这一组服务都分别是哪一个,怎么来查看呢?再来看下图:03-5
上面的是什么呢?上面的就是我们在第一章中所提到的“注册表”。依次选择–à开始—à运行—à输入“Regedit.exe”—-à确定。
就可以调用系统自带的注册表编辑器来打开注册表,再依次展开:HKEY_LOCAL_MACHINE—àSYSTEM—àCurrentControlSet—àServices,还记得上面03-4图中的服务名称么?对了就是那个“wuauserv”,在Services键下打开如上图所示的“wuauserv”再展开,选中其下面的“Parmeters”,看右边的窗口中,是不是找到了此服务所对应的程序文件了?就是那个C:WINDOWSsystem32wuauserv.dll喽。
每一个Svchost.exe中的服务都可以通过这种方式找到其对应的程序文件。
看到这里,朋友们是不是头都大了?这么麻烦啊?查个进程居然这么麻烦,而且就算找到了,又怎么能知道C:WINDOWSsystem32wuauserv.dll是正常的程序还是木马呢?
呵,不要着急,也不要怕。上面不是在教给你知识么,而且在当年,没有专业工具之前,我们可都是这么一个个来找的。当然了,现在有了各种专业工具,的确是没必要非手动去找了。再看下图03-6:
在狙剑的进程管理列表中(图03-2),选中Svchost.exe,然后按鼠标右键—à选择“查看模块”,就可以得到上图中的列表,注意被蓝条选中的那个是不是就是费半天劲所找到的那个:C:WINDOWSsystem32wuauserv.dll呢?
找是找到了,可如何判断这是不是系统的服务模块呢?这一点微软为我们想的很周到,他将大多数的系统文件都进行了数字签名,我们只需要检查一下这个文件有没有系统文件的数字签名,就可以准确的判断,这是不是一个系统文件。
相关知识
软件推荐
更多 >
-
1
盘点四十年来史上著名计算机病毒2013-07-17
-
2
SiZhu.exe、HBKernel32.sys、HBTL.dll、HBmhly.dll、llwzjy08092
-
3
如何彻底删除木马小技巧
-
4
安全上网软硬兼施 带你走近安全路由的世界
-
5
36Otray.exe、sysave.exe、LotusHlp.exe、338448M.exe、GDQQHXI3
-
6
关于病毒感染文件的问答
-
7
木马“肉鸡控制者”最新变种主要特点
-
8
ntfis.exe,qfpUt.exe,WCsQZ.exe,syschunk.dll,BandRes.dll,TaskS
-
9
Windows64.Sys、zzz.sys、MSDOS.bat、WndHook.dll、tisqdtyu.dll
-
10
走近病毒的世界-SysAnti.exe病毒变种浅析
