精选栏目: 装机必备 专题大全 常用工具 系统集锦

木马查杀深度剖析之进程篇(三)

栏目: 病毒学院 已有人学习|编辑:admin; 来源:未知;

当然了,我们是来查杀木马的,当然不会满足于仅仅知道这是一组服务,这一组中是不是会藏着一个木马呢?所以,我们还要知道这一组服务都分别是哪一个,怎么来查看呢?再来看下图:03-5

 

 

上面的是什么呢?上面的就是我们在第一章中所提到的“注册表”。依次选择–à开始—à运行—à输入“Regedit.exe”—-à确定。

  

就可以调用系统自带的注册表编辑器来打开注册表,再依次展开:HKEY_LOCAL_MACHINE—àSYSTEM—àCurrentControlSet—àServices,还记得上面03-4图中的服务名称么?对了就是那个“wuauserv”,在Services键下打开如上图所示的“wuauserv”再展开,选中其下面的“Parmeters”,看右边的窗口中,是不是找到了此服务所对应的程序app彩票软件了?就是那个C:WINDOWSsystem32wuauserv.dll喽。

  

       每一个Svchost.exe中的服务都可以通过这种方式找到其对应的程序app彩票软件。

  

       看到这里,朋友们是不是头都大了?这么麻烦啊?查个进程居然这么麻烦,而且就算找到了,又怎么能知道C:WINDOWSsystem32wuauserv.dll是正常的程序还是木马呢?

  

       呵,不要着急,也不要怕。上面不是在教给你知识么,而且在当年,没有专业工具之前,我们可都是这么一个个来找的。当然了,现在有了各种专业工具,的确是没必要非手动去找了。再看下图03-6:

 

 

 

 

在狙剑的进程管理列表中(图03-2),选中Svchost.exe,然后按鼠标右键—à选择“查看模块”,就可以得到上图中的列表,注意被蓝条选中的那个是不是就是费半天劲所找到的那个:C:WINDOWSsystem32wuauserv.dll呢?

  

       找是找到了,可如何判断这是不是系统的服务模块呢?这一点微软为我们想的很周到,他将大多数的系统app彩票软件都进行了数字签名,我们只需要检查一下这个app彩票软件有没有系统app彩票软件的数字签名,就可以准确的判断,这是不是一个系统app彩票软件。


 

收藏 赞() 踩()
本文地址:http://planislam.com/hack/bdxy/2775.html
本文标签:木马 查杀 深度 剖析 之进 程篇 当然 我们
评论