最近有网友将任务管理器从Longhorn测试版操作系统中剥离出来 , 放在网上供下载(http://www.cniti.com/soft/epc/2004-10/taskmgr.rar) 。这个版本的任务管理器可以直接升级WindowsXP/Server 2003的任务管理器 , 而且同原有版本相比 , 在识别木马和分析系统方面的能力大大增强 。今天就让我们来看看这个版本的任务管理器是如何揪出木马的 。
Longhorn版任务管理器的源文件包括三个程序文件 , 分别拷贝到“C:Windowssystem32dllcache”和“C:windowssystem32”中 , 这个时候操作系统会弹出一个“Windows 文件保护”对话框 , 点击“取消”按钮 , 接着点击“是”按钮就可以了 。
以前我们经常说可以利用进程来判断系统中是否有木马 , 但是旧版任务管理器在进程分析和判断方面功能过于弱小 , 对于一般用户来说掌握这种方法有一定难度 。现在好了 , Longhorn版“任务管理器”可以采用进程名、进程路径及用户名三方面相结合的方法来判断病毒及木马 。
一般来说木马和病毒会采取两种途径潜伏在进程中 。一是直接利用系统现有进程 。比如explorer.exe、rundll32.exe这些进程 。还有一种就是通过改头换面 , 生成新的进程 , 但进程名称同系统基本进程非常相似 , 不容易被发现 。比如exlporer.exe、internet.exe 。
后者主要是通过查看“映像名称”来揪出木马 。而前者则需要分析进程所在路径 。
在这里我们看到系统中有一个svchost.exe , 这是WindowsXP中最熟悉的进程之一 。但是当我们通过点击鼠标右键菜单的“打开所在目录” , 却意外发现这个进程所在的路径是C:Windows 。要知道这个进程一般是在C:windowssystem32下面 。那么现在就可以初步判定这个进程存在问题 。接下来通过专门的木马工具进行扫描 。
其实还有更为简便的方法 , 利用“映像路径”直接判断进程是否存在问题 。当然你首先需要在新版任务管理器面板上面打开“查看→选择列” , 勾选其中的“映像路径”选项 。然后回到“进程”选项卡 , 就能够直接看到svchost.exe进程的路径了 , 有没有问题就一目了然 。
注意“用户名”也是另外一个发现进程是否正确的方法 。如果是系统的进程(“用户名”为“SYSTEM”) , 则是正常的 , 如果是用户的进程 , 则可能是病毒了 。比如 , 有一个svchost.exe进程的用户名是其它名字 , 那你就需要杀毒了 。
总的来说 , Longhorn版任务管理器在进程管理方面得到了大大改善 , 灵活利用它 , 将帮助你迅速发现系统中是否存在病毒或者木马 , 便于你及时进行清除 。
小资料
基本进程:smss.exe、csRSS.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe、spoolsv.exe、explorer.exe、System Idle Process;
【用Longhorn“任务管理器”查木马】常见进程:internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、MSNmsgr.exe、wmIExe.exe ,
推荐阅读
- 没有标304的不锈钢碗能用吗
- Longhorn未上市便被诉 技术涉嫌侵权遭禁用
- 小米max2分屏模式怎么使用?分屏模式使用方法介绍
- 怎么用ps打印一寸照片
- 微软高管驳Longhorn无用论 测试版月底发布
- 苹果朗读文本怎么用
- 微软再披露Longhorn部分新功能 更容易使用
- Longhorn再遭刁难 发布时间可能延迟
- 安全阀的作用 安全阀有什么作用
- 手机连电脑怎么连接