電腦安全一直萦繞在老張身邊的一道難題,由於剛接觸電腦,已經有好次因為電腦中毒無法開機的情況了。所以,對於他這樣的菜鳥來說,對病毒和木馬的分辨是很吃力的。
其實,就目前的病毒而言,無論采用什麼樣的手段進行隱藏,其最終都會以進程或者服務的方式進駐系統因此如何找到問題進程或服務則成了查找病毒的關鍵所在。面對那麼多的系統進程和服務,老張如何才能有效地查找到問題所呢?老張的兒子給他介紹了下面幾招,即使是菜鳥,只需學會察"顏"觀"色",也可以輕易地把問題解決。
第一招:簡單查看,找蛛絲馬跡
Security Process Explore是一款進程查看工具,與Windows自帶任務管理器相比,其最大的特色在於對檢查到的進程都標了顏色。其中純綠色表示非常安全,純紅色表示極其危險,而綠中帶紅則表示存在安全風險,紅色色塊越長則表示危險性越大。對於安全級為空白的,則表示暫時無法判斷其安全性。
當然就此判斷進程是否有問題還不足以說明問題,因為有些病毒會采取注入到正常進程的方式,這時可以通過查看更加詳細的進程信息來判斷。只需選中可疑進程,鼠標右擊,選擇“詳細信息”,在打開窗口中即可看到進程的名稱、ID、優先級、公司名稱等信息,單擊“用到的模塊”標簽,還可以看到其調用的DLL文件等,如圖(SecurityProcessExplorer01.jpg),以便於進一步識別進程,從而找到可疑進程。對於可疑的進程,可以單擊窗口中的“屏蔽進程”按鈕,即可將該進程添加到屏蔽列表並終止運行。被屏蔽的進程一般很難再啟動。
對於不熟悉的進程,除了將其直接屏蔽之外,還可求助於網絡了解其相關信息,從而判斷該進程的安全性。點擊相關進程後,在窗口下方點擊“更多信息”鏈接,之後會自動打開一個英文網頁,即本軟件公司官網,在該網頁中可以看到用戶對該進程的評價。不懂E文也沒關系,只需單擊浏覽器上的“翻譯”按鈕,即可調用Google進行翻譯,譯文還挺不錯呢。
第二招:術業專攻,svchost進程巧識別
相信大家在打開任務管理器的時候,會看到多個svchost.exe進程。那麼這些svchost.exe進程是干嘛的?為什麼跟其他進程不一樣,會有多個呢?其實svchost.exe 是一個屬於微軟 Windows 操作系統的系統程序,用於執行 DLL 文件,系統的服務都是靠它來運行的。正因為這個原因,有很多病毒也喜歡偽裝成svchost.exe 進程。我們如何來識別每一個svchost.exe進程是做什麼的呢?而系統中出現的多個svchost.exe又哪個是安全的,哪個是不安全的呢?筆者這裡介紹兩款專門針對svchost.exe的小軟件,讓你學會霧裡看花,把它看得清楚。
1.svchost進程分析器Svchost Process Analyzer
Svchost Process Analyzer是一個svchost進程分析程序,用來顯示Windows操作系統上運行的svchost進程的詳細信息。首先打開浏覽器在http://upload.cfan.com.cn/2014/1126/1416964313662.jpg)。如果想要了解更詳細的具體內容,可以單擊“Details”按鈕,此時會以不同的標識顯示出詳細svchost進程進程,其中紅色的代表有問題的,需要檢測其安全性。
如果用戶對於其安全性基本處於不了解的狀態,則可以通過下載該公司出口的Security Task Manager 任務管理軟件來檢測其安全性。綠色代表是微軟自帶程序的,黃色的代表非微軟公司的進程,但仍安全。還有一些灰色標志的,表示未激活的,可以單擊該灰色按鈕查看具體進程情況,SPA對其中的進程也進行了安全與否的標識。通過SPA的基本判斷,我們可以對其標識為不安全的進程進行一些處理,以達到系統安全的目的。。
2.svchost viewer
svchost viewer是一款綠色軟件,可以專門查看svchost.exe 運行的服務。解壓到任意目錄後就可以使用。首次運行svchost viewer後,會出現是否獲得svchost.exe 信息的提示,點擊“是”按鈕,這時軟件開始自動分析系統內當前運行的所有進程,稍等片刻就會以列表的形式顯示出進程中svchost.exe的信息如圖2(SV01.jpg)。點擊左側列表,可以在右側窗口出現進行相關服務的詳細描述,而且會提示服務的運行狀態。
如果svchost.exe不是系統重要進程,就會在下面的service can be stopped選項的後面看到有√ 標志,這就說明該svchost.exe進程可以關閉,從而節省系統資源。對於那些無用的svchost.exe進程指向的服務,也可以進行關閉。如果懷疑某個進程或不明確該進程功能,可以利用進程管理器查看該進程的PID號,然後在svchost viewer找到對應的PID值,打開相應子項,在右側窗口中就可以查看到該進程的詳細內容了。這些內容可能包括讀取、寫入數據大小、總線程數等。
另外需要注意的是,正常的svchost.exe進程都應該在windows\system32文件夾下,在其他的目錄下,則很有可能被感染了病毒或木馬。如果已確認某個進程有病毒,則可以通過ntsd命令對其進行強制刪除。在命令行窗口下,輸入ntsd -c q -p PID命令,將其強行刪除即可,由於ntsd命令的功能強大,可以刪除除system、SMSS和CSRSS.exe三個進程之外的所有進程,因此不會出現進程無法刪除的問題。
總之,以上幾款小軟件各有千秋,前者側重於整體的安全性,後者側重於具體進程的檢測,將兩者結合起來並有效利用,可以成為電腦安全的哼哈二將。