这7个必要的Windows进程很可能隐藏病毒

病毒喜欢伪装成合法的Windows进程。以下是最有可能被恶意软件盯上的几个进程。

布加迪编译

进程是Windows中不可避免的一部分，在任务管理器中看到数十个乃至数百个进程并不罕见。每个进程都是一个运行中的程序或者其组件。遗憾的是，恶意软件编写者知道这一点，经常将恶意软件隐藏在合法进程名称的后面。

下面介绍几个最常被劫持或复制的进程，以及它们应该位于何处、如何发现恶意版本。

1. Svchost.exe

Service Host（即svchost.exe）是一个共享服务进程。它允许其他各种Windows服务共享进程。这有助于减少资源使用，使系统更高效。您几乎肯定会在任务管理器中看到Svchost.exe的多个实例，这很正常。如果这些文件中一个或多个被恶意软件破坏，您可能会注意到性能明显下降。

图1

合法的Svchost文件应该位于C:\Windows\System32。如果您怀疑它已被劫持，检查C:\Windows\Temp，如果在这里看到svchost.exe，它可能是恶意文件。使用反病毒软件扫描该文件，必要的话隔离它。

2. Explorer.exe

Explorer.exe负责图形外壳（shell）。没有它，就不会有任务栏、开始菜单、文件管理器，甚至不会有桌面。因此它是Windows的必要组成部分，不能被禁用。

一些病毒可能使用Explorer.exe文件名来隐藏自己，包括trojan.w32.ZAPCHAST。合法文件将位于C:\Windows中。如果您在System32中发现它，务必用反病毒软件检查一番。

3.Winlogon.exe

Winlogon.exe进程是Windows操作系统的必要组成部分。它处理诸多事务，比如登录过程中加载用户配置文件，屏幕保护程序运行时锁定电脑。遗憾的是，由于它处理安全组件，Windows Logon和winlogon.exe进程通常是威胁分子的目标。

包括Vundo在内的几种木马病毒可能在winlogon.exe中或伪装成winlogon.exe。Winlogon.exe文件的通常位置是C:\Windows\System32。如果您在C:\Windows\WinSecurity中发现它，它可能是恶意文件。内存使用量高得出奇是表明进程被劫持的迹象。

病毒和恶意软件不仅仅隐藏在Windows进程的后面，恶意软件还可能通过另外一些途径隐藏在电脑上，详见https://www.makeuseof.com/can-malware-go-undetected-how-viruses-hide-from-you/。

4. Csrss.exe

客户端/服务器运行时子系统（Csrss.exe）是一个必要的Windows进程。虽然它在现代Windows版本中没有被广泛使用，但仍是系统所需要的，不能被禁用。

图2

众所周知，Nimda.E病毒模仿Csrss.exe进程，不过这不是唯一的潜在威胁。合法文件应该位于System32或SysWOW64文件夹中。鼠标右击任务管理器中的Csrss.exe进程，选择“打开文件位置”。如果它位于别处，表明它很可能是恶意文件。

5. Lsass.exe

Lsass.exe是负责Windows安全策略的必要进程。它主要验证登录名和密码，还处理其他安全程序。这个进程不太可能被劫持。如果它没有正常运行，您通常会从电脑被自动注销。但病毒也会使用该文件名来隐藏自己。

在C:\Windows\System32目录下寻找Lsass.exe文件，这是它所在的唯一位置。如果您在其他位置看到它，比如C:\Windows\system或C:\Program Files，就要留个心眼，使用反病毒软件扫描该文件。

6. Services.exe

Services.exe进程负责启动和停止各种必要的Windows服务。就像本文介绍的其他Windows进程一样，病毒和恶意软件也盯上了Services.exe，因为该进程让它们可以隐藏起来。

如果该文件被劫持，您可能会在PC启动和关机过程中发现问题。在System32文件夹中寻找真正的Services.exe文件。如果它位于别处，比如C：\Windows\ConnectionStatus，表明该文件可能是病毒。

7. Spoolsv.exe

Windows打印假脱机程序服务（Spoolsv.exe）是打印接口的重要组成部分。它在后台运行，在需要时等待管理打印队列之类的任务。该进程不依赖打印机已连上这个前提，因此在任务管理器中看到它不必惊讶。

图3

也许是由于Spoolsv.exe很容易被忽视，病毒可能借其名称来冒充合法进程。真正的spoolsv文件位于C:\Windows\System32。假冒文件通常会出现在C:\Windows或用户配置文件文件夹中。

如何检查进程是不是合法进程？

您在寻找可疑活动时，任务管理器是好助手。受感染的进程往往表现异常，消耗比平常更多的CPU和内存资源。但情况并非总是如此，下面是检查进程是不是合法进程的另几种方法。

本文介绍的必要进程大多数应该只出现在System32文件夹中。您可以在任务管理器中轻松检查可疑文件的位置。鼠标右击某个进程，选择“打开文件位置”。检查打开的文件夹的路径，以确保文件在正确的位置。

另一种判断文件是不是合法文件的方法是检查文件大小。这些必要进程的.exe文件大多数都小于200kb。在任务管理器中鼠标右击进程名，选择“属性”，即可查看大小。如果文件异常大，进一步查看它是否安全。

您还可以检查EXE文件的证书。合法文件会有微软颁发的安全证书。如果您看到别的证书，它很可能是恶意文件。

最后要做的是用最新的反病毒扫描程序扫描可疑文件。隔离并删除被标记为受感染的任何文件。幸好现代版本的Windows都内置了Microsoft Defender，可以用它来检查任何可疑文件。

可能隐藏病毒的Windows进程

如果想让您的Windows PC远离恶意软件和病毒，一个方法就是知道它们藏在哪里。有时恶意文件会表现异常，耗用太多的CPU和内存资源，但并非总是如此。因此，通过其他方法发现可疑文件是一项实用的技能。

       资讯来源：https://www.makeuseof.com/essential-windows-processes-could-be-hiding-virus/

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课