任何病毒和木马存在于系统中，都无法彻协调历程脱离关系，即使采用了潜匿手艺，也仍是能够年夜历程中找到蛛丝马迹，是以，查看系统中勾当的历程成为我们检测病毒木马最直接的体例。可是系统中同时运行的历程那么多，哪些是正常的系统历程，哪些是木马的历程，而经常被病毒木马冒充的系统历程在系统中又饰演着什么脚色呢?请看本文。

　　病毒历程潜匿三法

　　当我们确认系统中存在病毒，可是经由过程“使命打点器”查看系统中的历程时又找不出异样的历程，这声名病毒采用了一些潜匿法子，总结出滥暌剐三法：

　　1.以假乱真

　　系统中的正常历程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的历程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么?这是病毒经常使用的手法，目的就是迷惑用户的眼睛。凡是它们会将系统中正常历程名的o改为0，l改为i，i改为j，然后成为自己的历程名，仅仅一字之差，意义却完全分歧。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe原本就轻易搞混，再呈现个 iexplorer.exe就加倍杂乱了。如不美观用户不细心，一般就忽略了，病毒的历程就逃过了一劫。

　　2.偷梁换柱

　　如不美观用户斗劲心细，那么膳缦沔这招就没用了，病毒会被就地处死。于是乎，病毒也学聪了然，懂得了偷梁换柱这一招。如不美观一个历程的名字为svchost.exe，和正常的系统历程名分毫不差。那么这个历程是不是就平安了呢?非也，其实它只是操作了“使命打点器”无法查看历程对应可执行文件这一缺陷。我们知道svchost.exe历程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000 则是C:WINNTsystem32目录)，如不美观病毒将自身复制到“C:WINDOWS”中，并更名为svchost.exe，运行后，我们在“ 使命打点器”中看到的也是svchost.exe，和正常的系统历程无异。你能分辩出其中哪一个是病毒的历程吗?

　　3.借尸还魂

　　除了上文中的两种体例外，病毒还有一招最终年夜法——借尸还魂。所谓的借尸还魂就是病毒采用了历程插入手艺，将病毒运行所需的dll文件插入正常的系统历程中，概况上看无任何可疑情形，本色上系统历程已经被病毒节制了，除非我们借助专业的历程检测工具，否则要想发现潜匿在其中的病毒是很坚苦的。

　　系统历程解惑

　　上文中提到了良多系统历程，这些系统历程到底有何浸染，其运行事理又是什么?下面我们将对这些系统历程进行一一讲解，相信在熟知这些系统历程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

　　svchost.exe

　　常被病毒假充的历程名有：svch0st.exe、schvost.exe、scvhost.exe。跟着Windows系统处事不竭增多，为了节约系统资本，微软把良多处事做成共享体例，交由svchost.exe历程来启动。而系统处事是以动态链接库(DLL)形式实现的，它们把可执行轨范指向scvhost，由cvhost挪用响应处事的动态链接库来启动处事。我们可以打开“节制面板”→“打点工具”→处事，双击其中 “ClipBook”处事，在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击 “Alerter”处事，可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”，而“Server”处事的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。恰是经由过程这种挪用，可以省下不少系统资本，是以系统中呈现多个svchost.exe，其实只是系统的处事而已。

　　在Windows2000系统中正常存在svchost.exe历程，一个是RPCSS(RemoteProcedureCall) 处事历程，此吐矣闽则是由良多处事共享的一个svchost.exe;而在WindowsXP中，则一般有4个以上的svchost.exe处事历程。如不美观在xp和之前的系统中svchost.exe历程的数目多于5个，就要小心了，很可能是病毒冒充的。可是到了Vista和Windows7时代，8-12个svchost历程都是正常的!是否为系统正常历程的检测体例也很简单，使用一些历程打点工具，例如Vista优化巨匠的历程打点功能，查看svchost.exe的可执行文件路径，如不美观在“C:WINDOWSsystem32”目录窃噩那么就可以剖断是病毒了。

(责任编辑：)