详细分析Win XP的操作系统进程(3)
一旦目标机器激活了配置好的程序,“Devil4.exe”将立即插入至指定进程中。我们可使用“fport v2.0”这款系统工具查看所有开放的TCP和UDP端口,并显示相应的应用程序(支持WinNT4/2000/XP)。运行“命令提示符”后,进入fport程序的存储路径,运行它。
大家注意查看其中的“Explorer.exe”进程,看到其TCP协议开放端口为适才笔者所定制9000端口,此时表明病毒进程插入成功(图6)。“Devil4.exe”后门本身具有删除程序,运行“DelDevil4.exe”程序后,就可清除驻留系统中的后门。
图 6
小提示:如果大家要封杀可疑端口,可以使用Active Ports及DBPort之类的第三方端口工具。这两款软件均是图形化界面,操作方法非常类似。不仅可自动刷新进程,还能够立即关闭指定端口。对于线程插入类木马的查杀,并非一件轻而易举的事,由于在配置插入进程时使用者可随意指定,因此,大家一定要安装杀毒软件并定期升级病毒库。
如果要手动查杀,则需要用户具有相当的知识水平与一定的经验积累。在此给大家推荐一款比较优秀的软件——进程间谍。利用它,可以查看窗口和子窗口句柄、ID、标题,以及父进程ID线程个数路径等,还可获知指定父进程的下属模块……我们要着重利用该程序的可查看DLL模块的功能,试图找出可疑的插入进程。
软件名称:进程间谍
软件版本:V1.0.2.1
软件语言:简体中文
软件类型:共享软件
应用平台:Win9X/Me/2000/XP/2003
运行《进程间谍》程序后,查看“进程树”标签页,点击“刷新进程”按钮,而后选择左侧列表的进程,当选定一个进程后,程序开始处理相关信息。我们切换到当前右侧视图中的“模块”标签页(图7),在此显示了很多该进程中插入的DLL线程,包括“模块名”(需要着重查看)、“基地地址”、“大小”及“进入口”。大家从中即可仔细排查可疑线程,例如广外女生的DLL插入线程是“%system32gwboydll.dll”。
图 7
进程级别有高低
我们在使用MyIE 2浏览网页时,又同时运行了下载工具等。这种情况下,我们就可以通过相应的设置,使系统优先处理MyIE 2,为它分配更多的CPU资源。
按“Ctrl+Alt+Del”组合键,调出“Windows任务管理器”,查看“进程”标签页,选定其中希望优先处理的程序后,在其右键弹出菜单中选择“设置优先级→‘高’或‘高于标准’”(图8)。而其它在后台处理的程序,则可将进程设置为“低”或“低于标准”。
图 8
小提示:如果调节进程优先级别后,感觉CPU占用率过高,要实时还原为原来的级别,以免系统因资源耗尽而当机。
相关文章:
- [2021年01月25日]Windows 10更新状态一直显示:正在准备-0%
- [2021年01月25日]笔记本电脑关机后掉电快的缓解方法
- [2021年01月18日]win10系统如何关闭摄像头
- [2020年02月24日]简述CPU、GPU、TPU
- [2020年02月24日]word2010以上版本无法保存作者信息的解决办法
- [2019年09月28日]笔记本与台式机选哪个?
- [2018年11月17日]移动硬盘使用前需格式化的解决办法
- [2017年09月18日]换新显卡后停滞在主板logo画面不动
- [2017年02月19日]Win7系统睡眠之后风扇还在转怎么办?
- [2017年02月11日]Win7系统中如何在任务栏中设置“显示桌面”图标