一、火眼金睛——巧抓恶意程序
防火墙能让系统的安全性大大提高,但它们也不是万能的。如果想达到“万毒身边过,片毒不染身”的最高境界,就必须熟悉可疑进程的判断方法。
1.从CPU资源占用分析
恶意程序活动时,不可避免地占用部分CPU资源,当你怀疑系统染毒时,可观察“任务管理器”的CPU资源占用一栏,往往能直捣黄龙、迅速揪出害群之马。
举个笔者亲身经历的例子。有一次笔者打开IE时,发现首页被更改,打开“Internet属性”窗口进行更改,但重新打开IE还是老样子。初步估计,肯定有不怀好意的程序在背后作祟!打开Windows XP的“任务管理器”,切换到“进程”页面,为了更好地观察CPU占用情况,先单击“CPU”栏进行排序,然后打开IE的“Internet属性”更改主页。当单击“确定”返回时,笔者发现了,有一个名为“Deskstar.exe”的进程十分可疑,CPU资源瞬间占用了几个百分点!肯定是它了,找到该文件的存储位置,将其删除,重新更改首页,终于成功了。
2.文件名与常见程序相似
乔装打扮是恶意程序必须学会的“首要”本领,只有这样才不容易被发现。比如冰河木马的服务器程序,主进程的文件名是“Kern-el32.exe”,貌似Windows系统文件“Kernel32.dll”;再如,“Falling Star”木马,它的主进程文件名“internet.exe”,不小心看还以为是输入法进程“internat.exe”。对于这些名称类似系统文件的进程,你可要长个心眼!
一般情况下,任务管理器提供的进程列表会多得让你眼花,如果能将属于系统的正常进程先行排除,接下来的分析将会“清爽”好多。“柳叶擦眼”就有这个特效,你可迅速将目标集中在非系统文件上。为了让软件正确地进行分析,建议你先单击“参数设置”,定义好相关的文件列表。
这里要提醒大家注意的是,对于windows 2000/XP,存在着一个名为“System Idle Process”的进程,CPU空闲多少资源,将在这个进程上体现出来,切莫以为该进程是不良程序。
二、连环杀手——巧用进程树对付再生木马
现在一些病毒、木马程序已摆脱过去那种容易被“宰割”的处境,被删除后的木马又自动再生,明知道有恶意程序存在,但就是不能彻底删除,再有耐心的人都会着急!为何被删除的木马能自动再生?关键是采用了双进程互相保护的技术手段,两个进程相互照应,当其中一个木马进程发现另一个不存在时,它就会自动将其复活。如此反复!
对于此类木马,应该使用“结束进程树”的方法,才能将相关的进程全部删除。一个程序运行后,如果还调用其他程序来执行操作,这两个程序就构成一个“进程树”,前者称为“父进程”,后者称为“子进程”。对于不断再生的程序,你只需找到对应的父进程,然后结束它的“进程树”。解决方法分两步。
第1步:查找对应的父进程。
PrcView能帮你查看进程树的状况。启动PrcView,执行主菜单“查看”→“进程树”,你将直观地查看到各个进程间的“父子”关系。比如笔者在QQ中打开腾讯浏览器,“tbrowser”就成了“qq”的子进程。
第2步:结束进程树。
Windows XP的“任务管理器”提供了“结束进程树”的功能。打开“任务管理器”后,使用鼠标右键单击刚才找到的父进程,从弹出菜单中选择“结束进程树”。
三、有为无为——清理指定进程的内存
对于内存容量有限的朋友来说,系统执行一段时间后,往往需要对内存进行优化清理。清理后,虽然可用的内存空间增多了,但再次执行原来加载过的程序时,相关的内存资源全部需要重新分配,程序启动的时间会有所增加。鱼和熊掌能否兼得?事实上,微软早就考虑到这一问题,它为开发者提供的资源包中,就包含着这样的一个小工具——Empty,该命令将对指定进程进行清理。在实际使用中,如果你发现某个软件占用的内存资源特别多,可考虑让它帮忙一下。
[1] [2]
第1步:获取进程的ID号。Windows XP的“任务管理器”提供了进程ID号信息。如果没有显示出来,请执行主菜单“查看”→“选择列”,选择“PID(进程标识符)”。
第2步:在命令行窗口使用Empty命令。格式:Empty 进程ID号。
笔者做了个试验,清理前IE占用了14 144kB的物理内存,使用Empty清理后,内存占用减少到2472kB,一下子缩减了10MB以上的内存占用。
文中提到工具的下载地址——
【立即点击下载PrcView】
【立即点击下载Empty】
(出处:http://www.sheup.com)
[1] [2]