计算机病毒进程隐藏思考
在计算机技术飞速发展的今天,计算机病毒作为影响计算机系统正常运行的主要因素之一,其不断演变发展已让众多计算机系统遭受瘫痪和失控的危害。计算机病毒的隐藏性增加了人们发现和消除病毒的难度,但技术人员往往可以通过查看系统中的活动进程来发现潜在的计算机病毒,在其传染和潜伏过程中主动进行分析和处理,避免更多计算机系统遭受病毒破坏。
1计算机病毒基本概念和特征
在已知的计算机病毒中,只有少部分病毒不带有恶意攻击,绝大多数病毒都会携带致命的有毒代码,在一定环境下破坏计算机系统。计算机病毒具有以下特征。(1)隐蔽性。病毒进程总是会通过某些外来程序或网络链接感染计算机系统,使用者往往毫不知情。而等到病毒效应发作,就会带来严重的后果。(2)传播性。计算机病毒具有很强的传染和繁殖能力,导致计算机一旦感染,就会立刻发作,显示出系统无法识别的错误。其传播途径广泛,可以通过U盘、网络连接等完成自动侵入。(3)潜伏期较长。一般情况下,计算机病毒进程可以在系统中长期潜伏而不发作,需要满足一定的外部激发条件,才能攻击计算机系统。(4)破坏性强。计算机病毒一旦发作,计算机系统就会遭受严重的破坏,首先计算机系统不再受使用者控制,导致数据丢失,文件损坏,系统瘫痪,用户容易泄露计算机中的隐私信息,造成巨大的困惑和麻烦。(5)针对性明确。计算机病毒进程的开发,往往具有明确的针对性,其可以在用户的某次动作后,实施环境启动,并开始攻击目标对象。
2计算机病毒在进程中的产生运行状态
2.1无线电传播
无线电传播是通过无线电将计算机病毒进程发射到计算机系统中。主要可能的渠道包括通过发射机的无线发射,病毒直接由接收机器处理和盲点复制到整台设备中;计算机病毒伪装成合法的程度代码,通过规范的标准协议和数据格式,同其他合法信号一同进入接收装置;病毒还能通过不断寻找接收装置中安全防护等级薄弱的点射入数据链路中,迅速进行非法繁殖,成功感染设备。
2.2硬件连接传播
计算机病毒通过感染便于携带的硬盘和软件等,通过这些硬件设备与计算机的连接,直接传染到计算机系统中。需要动作时,只需等待进程激活就能达到破坏的目的。
2.3利用计算机漏洞
后门是计算机安全系统的一个漏洞,病毒经常以攻击后门的形式破坏计算机系统。攻击后门的形式较多,如控制电磁脉冲,将病毒注入目标系统。
2.4远程修改数据链路
计算机病毒可以通过使用远程修改技术,利用计算机系统数据链路层的控制功能完成入侵。病毒进程能完整地隐藏在计算机操作系统的正常进程序列中,并在系统启动运行过程中全面运行。
3计算机病毒进程隐藏方式
3.1冒充正常进程
计算机系统中,常见的进程主要有:explorer.exe,winlogon.exe,svchost.exe,ieplore.exe等。但有时点击进程序列,能发现诸如explore.exe,winlogin.exe,svch0st.exe,ieplorer.exe的进程,看似属于正常进程,实际已被病毒侵染。这些进程可以迷惑用户,通过修改某些字母来更改自身的文件名称,使其近似于正常进程,若用户不注意,很难对这些细微变化做出反应,这样情况下,计算机病毒就入侵成功。
3.2盗用正常进程名
第一种情形,很多细心的用户能很快发现并手动删除。于是,病毒制造者更新了隐藏病毒的方法。如将进程名称改成与正常进程一致。其利用计算机的“任务管理器”无法对一切可执行的文件进行一一查看的设计缺陷,加大了计算机中毒的风险。
3.3强行插入进程
有些病毒程序能将病毒运行必需的dll文件利用进程插入技术,在正常进程序列中插队排列。一旦插入,计算机系统就宣告中毒,只有借助专业的自动检测工具才能找到其中深藏的计算机病毒进程。
4计算机病毒在进程中的隐藏处理
4.1explorer.exe
此进程是我们常用到的“资源管理器”,作用是管理计算机中的一切资源。常见的被冒充的进程名有:iexplorer.exe,expiorer.exe,explore.exe,explorer.exe等。如果在“任务管理器”中关闭explorer.exe进程,计算机桌面及任务栏和当前打开的文件都会消失不见。但当依次单击“任务管理器—文件—新建任务”后,输入explorer.exe,就会重新显示消失的画面。总体来讲,正常的explorer.exe进程采取的是系统默认值,启动随系统一起进行,在“C:\Windows”目录路径下,能找到其对应的可执行文件。一旦不符合上述条件则是病毒进程。
4.2spoolsv.exe
spoolsv.exe进程作为系统打印服务“PrintSpooler”所对应的可执行程序,其作用是管理与计算机关联的所有本地和网络打印队列的打印工作。其常被干扰病毒冒充和顶替的进程名有:spoo1sv.exe,spolsv.exe,spoolsv.exe等。如果停用“PrintSpooler”服务,计算机所有关联的打印功能将不能正常运行,同时,点开进程列表发现spoolsv.exe进程也消失不见。如果安装计算机后需要打印机设备,那么,为节省计算机系统资源,可以把“PrintSpooler”服务关闭掉。停止并关闭“PrintSpooler”服务后,如果发现系统进程中还存在spoolsv.exe进程,那就可以肯定该进程是病毒进程伪装的。
5结语
计算机病毒虽然在进程中能进行很好的伪装隐藏,但只要多加留意,认真检查就能及时清除病毒。用户在检查计算机系统进程时,可根据两点来及时判断隐藏的可疑病毒进程:第一是观察核实不确定的进程文件名;二是检查正在运行的进程对应执行的文件路径。通过上述方法,能及时发现并处理隐藏在计算机系统进程中的病毒,从而有效确保用户的计算机系统安全运行。
作者:江江 韩涛 单位:安徽省蚌埠市公安局
本文html链接: http://www.istpei.com/qkh/67277.html