首页
社区
课程
招聘
[翻译][翻译]这7个必要的Windows进程很可能隐藏病毒
发表于: 2023-2-18 10:05 6515

[翻译][翻译]这7个必要的Windows进程很可能隐藏病毒

2023-2-18 10:05
6515

这7个必要的Windows进程很可能隐藏病毒

病毒喜欢伪装成合法的Windows进程。以下是最有可能被恶意软件盯上的几个进程。

布加迪编译

 

进程是Windows中不可避免的一部分,在任务管理器中看到数十个乃至数百个进程并不罕见。每个进程都是一个运行中的程序或者其组件。遗憾的是,恶意软件编写者知道这一点,经常将恶意软件隐藏在合法进程名称的后面。

下面介绍几个最常被劫持或复制的进程,以及它们应该位于何处、如何发现恶意版本。

1. Svchost.exe

Service Host(即svchost.exe是一个共享服务进程。它允许其他各种Windows服务共享进程。这有助于减少资源使用,使系统更高效。您几乎肯定会在任务管理器中看到Svchost.exe的多个实例,这很正常。如果这些文件中一个或多个被恶意软件破坏,您可能会注意到性能明显下降。

1

合法的Svchost文件应该位于C:\Windows\System32。如果您怀疑它已被劫持,检查C:\Windows\Temp如果在这里看到svchost.exe,它可能是恶意文件。使用反病毒软件扫描该文件,必要的话隔离它。

2. Explorer.exe

Explorer.exe负责图形外壳(shell。没有它,就不会有任务栏、开始菜单、文件管理器,甚至不会有桌面。因此它是Windows的必要组成部分,不能被禁用。

一些病毒可能使用Explorer.exe文件名来隐藏自己,包括trojan.w32.ZAPCHAST。合法文件将位于C:\Windows中。如果您在System32中发现它,务必用反病毒软件检查一番。

3.Winlogon.exe

Winlogon.exe进程是Windows操作系统的必要组成部分。它处理诸多事务,比如登录过程中加载用户配置文件,屏幕保护程序运行时锁定电脑。遗憾的是,由于它处理安全组件,Windows Logonwinlogon.exe进程通常是威胁分子的目标。

包括Vundo在内的几种木马病毒可能在winlogon.exe中或伪装成winlogon.exeWinlogon.exe文件的通常位置是C:\Windows\System32。如果您在C:\Windows\WinSecurity中发现它,它可能是恶意文件。内存使用量高得出奇是表明进程被劫持的迹象。

病毒和恶意软件不仅仅隐藏在Windows进程的后面,恶意软件还可能通过另外一些途径隐藏在电脑上,详见https://www.makeuseof.com/can-malware-go-undetected-how-viruses-hide-from-you/

4. Csrss.exe

客户端/服务器运行时子系统(Csrss.exe是一个必要的Windows进程。虽然它在现代Windows版本中没有被广泛使用,但仍是系统所需要的,不能被禁用。

2

众所周知,Nimda.E病毒模仿Csrss.exe进程,不过这不是唯一的潜在威胁。合法文件应该位于System32SysWOW64文件夹中。鼠标右击任务管理器中的Csrss.exe进程,选择“打开文件位置”。如果它位于别处,表明它很可能是恶意文件。

5. Lsass.exe

Lsass.exe是负责Windows安全策略的必要进程。它主要验证登录名和密码,还处理其他安全程序。这个进程不太可能被劫持。如果它没有正常运行,您通常会从电脑被自动注销。但病毒也会使用该文件名来隐藏自己。

C:\Windows\System32目录下寻找Lsass.exe文件,这是它所在的唯一位置。如果您在其他位置看到它,比如C:\Windows\systemC:\Program Files,就要留个心眼,使用反病毒软件扫描该文件。

6. Services.exe

Services.exe进程负责启动和停止各种必要的Windows服务。就像本文介绍的其他Windows进程一样,病毒和恶意软件也盯上了Services.exe,因为该进程让它们可以隐藏起来。

如果该文件被劫持,您可能会在PC启动和关机过程中发现问题。在System32文件夹中寻找真正的Services.exe文件。如果它位于别处,比如C\Windows\ConnectionStatus,表明该文件可能是病毒。

7. Spoolsv.exe

Windows打印假脱机程序服务(Spoolsv.exe)是打印接口的重要组成部分。它在后台运行,在需要时等待管理打印队列之类的任务。该进程不依赖打印机已连上这个前提,因此在任务管理器中看到它不必惊讶。

3

也许是由于Spoolsv.exe很容易被忽视,病毒可能借其名称来冒充合法进程。真正的spoolsv文件位于C:\Windows\System32。假冒文件通常会出现在C:\Windows或用户配置文件文件夹中。

如何检查进程是不是合法进程?

您在寻找可疑活动时,任务管理器是好助手。受感染的进程往往表现异常,消耗比平常更多的CPU和内存资源。但情况并非总是如此,下面是检查进程是不是合法进程的另几种方法。

本文介绍的必要进程大多数应该只出现在System32文件夹中。您可以在任务管理器中轻松检查可疑文件的位置。鼠标右击某个进程,选择“打开文件位置”。检查打开的文件夹的路径,以确保文件在正确的位置。

另一种判断文件是不是合法文件的方法是检查文件大小。这些必要进程的.exe文件大多数都小于200kb。在任务管理器中鼠标右击进程名,选择“属性”,即可查看大小。如果文件异常大,进一步查看它是否安全。

您还可以检查EXE文件的证书。合法文件会有微软颁发的安全证书。如果您看到别的证书,它很可能是恶意文件。

最后要做的是用最新的反病毒扫描程序扫描可疑文件。隔离并删除被标记为受感染的任何文件。幸好现代版本的Windows都内置了Microsoft Defender,可以用它来检查任何可疑文件。

可能隐藏病毒的Windows进程

如果想让您的Windows PC远离恶意软件和病毒,一个方法就是知道它们藏在哪里。有时恶意文件会表现异常,耗用太多的CPU和内存资源,但并非总是如此。因此,通过其他方法发现可疑文件是一项实用的技能。

       资讯来源:https://www.makeuseof.com/essential-windows-processes-could-be-hiding-virus/



[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2023-2-28 05:52 被clearwater编辑 ,原因: 配上相应的插图
收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//