慢点博客 » ◎网络 应用 » 如何识别真假进程文件?

如何识别真假进程文件?

      svchost.exe 是基于NT核心技术的操作系统非常重要的进程,它提供许多系统服务,比如远程过程调用系统服务RPCSS)、动态主机配置协议DPCH)服务等与网络相关的服务。现在广大计算机用户普遍使用的w indows XP 、 windows 2003 等操作系统都涉及该进程,但是现在很多病毒、木马都以此为依托,感染、攻击广大计算机用户,尤其是给上互联网的用户带来许多不方便,那么作为计算机用户,快速、及时的识别真假 svchost.exe 显得尤为重要。

       根据用户操作系统和提供的服务不同,您的操作系统可能提供不同数量的svchost.exe,一般情况下, windows xP提供四个或四个以上的该进程,我们可以通过快捷键ctrl + Alt + Delet 。打开任务管理器,观察svchost.exe 。一般用户发现有问题时,通常是想在任务管理器结束该进程。但是,要么结束一个立即又生成一个,要么提示60秒关机,非常讨厌。那么如何来解决这个问题呢?

       显然靠以上结束进程的方法不太实用,我们可以通过以下几步快速的辨别真假 svchost.exe 进程,并及时关闭相应的非法进程:

       第一步:单击“开始”菜单,选择“程序”菜单下的“附件”子菜单,选择其下的“命令提示符”选项,或者单击“开始”菜单,选择“运行”选项,在其中输人:cmd,回车,进人DOS提示符下。

       第二步:由于系统多个svchost.exe 中,有的是正常的,有的可能是病毒,用户不能根据数目的多少来判断,要判断该进程是否是病毒,可以通过该程序的发起程序来判断,这是非常谁确的方法,用户在命令提示符下输入:netstat abnov , 回车,在反馈的信息中用户可以看到每个进程的发起程序或者文件列表,这时就可以通过相关的知识判断该进程是否为病毒或者木马发起的,比如svchost.exe ,它的发起程序或者文件列表是在Windows xP安装目录下的System32子目录中,而假冒的 svchost . exe,比如冲击波变种病毒“ w32.welchina.worm ”则隐藏在System32目录下的Wins中,然后记住该进程的PID 号(进程标识符)。另一种方法是用户还可以在命令提示符中输人:Tasklist/svc,回车,如果显示svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程或者木马了,记下这个病毒进程或者木马的PID号。

       第三步:快捷键Ctrl + Alt + Delete打开任务管理器,单击“查看”菜单下“选择列”选项,弹出“选择列”对话框,勾选“PID (进程标识符)”,这样用户可以在任务管理器中显示 PID 号,这样根据第二步查到的病毒或者木马程序的 PID 号,结束该进程,然后找到该程序,将其删除即可。以上方法主要是针对 svchost.exe进行讨论的,其实是一种方法,可以用这样的办法解决类似问题。

0 Comments

发表留言


点击更换验证码

无觅关联推荐,快速提升流量