通过进程自保
病毒在议事厅里面建窝可不是什么好事情,你的领地经常会出一些莫名其妙的怪事。比如:门神杀毒软件查出了病毒,但是始终杀不掉;用系统修复工具修复系统,可问题依旧等。
这就像你发现了搞破坏的小丑,可是你就是无法从人群中把他揪出来。
病毒的自保能力,主要是靠进程,有两种厉害的技能。一种技能是驱动级的Rootkit技术,所谓驱动级就是病毒编写的时候突破常规直接加载系统的底层函数。这就相当于病毒得到了领地指挥权印信,有了这个东西,门神杀毒软件就不能动它了,甚至病毒还可以利用领地指挥权印信命令杀毒软件休眠。
另外一种技能是将病毒进程隐身。在任务管理器中,病毒进程是肉眼看不见的。这样你就算有一些安全防范知识,也无法察觉议事厅中混入了病毒。这两种技能被很多高级病毒同时使用,是它们保命的绝招。
常见的病毒进程
系统服务进程svchost.exe经常被病毒假冒,例如假冒成svch0st.exe、schvost.exe、scvhost.exe;资源管理器进程explorer.exe经常被病毒假冒,例如假冒成iexplorer.exe、expiorer.exe、explore.exe;IE浏览器进程iexplore.exe经常被病毒假冒,例如假冒成iexplorer.exe、iexploer.exe、iexploreror.exe。
以上3个进程是最容易受病毒假冒的。此外,也有不加掩饰、赤裸裸的病毒进程,例如cmd.exe、conime.exe等,正常情况下这些进程根本不会出现在议事厅里面。当然,病毒还会创建全新名字的进程,让你无法分辨该进程到底是用来干什么的,不敢随意终结。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024