|
由於很多木馬、病毒會冒充系統的標準程序在電腦中運作,以假亂真的迷惑了使用者的眼睛。
所以本文列出幾個較容易被冒充的標準程序及其正確路徑給大家參考。
- svchost.exe
正確的svchost.exe應該是在C:\WINDOWS\system32\下。
在其它目錄出現的分身,都有問題!
隨著Windows係統服務不斷增多,為了節省係統資源,
微軟把很多服務做成共享方式,交由svchost.exe進程來啟動。
所以在Windows作業系統中,常會看到很多個它在運行。
在Windows 2000中一般存在2個svchost.exe;XP中則有5個左右。
通常會被svch0st.exe、schvost.exe、scvhost.exe這幾個假的程式給冒充。
- explorer.exe
正確的explorer.exe應該是在C:\WINDOWS\下,除此之外的目錄都很有問題!
它是整個使用者環境的“殼”。結束它,使用者會被強迫登出。
通常會被iexplorer.exe、expiorer.exe、explore.exe這幾個假的程式給冒充。
- rundll32.exe
正確的rundll32.exe 應該是在C:\Windows\system32\下,除此之外的目錄不應該存在。
在系統中的作用是執行DLL文件中的內部函數。
系統中存在多少個Rundll32.exe進程,就表示Rundll32.exe啟動了多少個的DLL文件。
通常會被rundl132.exe、rundl32.exe這幾個假的程式給冒充。
- spoolsv.exe
正確的spoolsv.exe應該是在C:\WINDOWS\system32\下,在其它目錄不應該出現!
spoolsv.exe是系統服務“Print Spooler”所對應的執行程序。
其作用是管理所有本機和網絡印表機中的列印工作。
如果此服務被停用,電腦將無法列印。
通常會被spoo1sv.exe、spolsv.exe這幾個假的程式給冒充。
- iexplore.exe
正確的iexplore.exe應該是在C:\Program Files\Internet Explorer\下。
iexplore.exe就是Windows系統中的IE瀏覽器,這個不用多說了吧∼
通常會被iexplorer.exe、iexploer.exe、iexplorer.exe這幾個假的程式給冒充。
- lsass.exe
正確的lsass.exe應該是在C:\WINDOWS\system32\下,在其它目錄不應該出現!
lsass.exe是一個系統程序,用於本機安全權限服務及登入管理。
通常會被1sass.exe、sass.exe這幾個假的程式給冒充。
不過即使知道正確的系統程序路徑為何,也不見得有多大幫助?
因為傳統的工作管理員taskmgr.exe只會顯示影像名稱、使用者名稱、CPU、記憶體使用量這四項,
全然無法得知運作中的程序是否正確,實在有點遺憾...
還好我們在微軟網站可以下載一個好用軟體Process Explorer。
Process Explorer是一款免費的『進階版工作管理員』。
它在視窗中提供了每一個程序的原始所在位址、佔用記憶體大小、 CPU 資源使用率、相關的動態連結檔...等詳細資訊,
讓使用者在刪除程序時能夠進行更詳細的確認。
在資訊欄位中,我們還可以自由決定檢視內容,把程序路徑也顯示出來。
如此一來,一些不知名的程序(病毒、木馬程式)也能夠順利從中發現,讓使用者刪除。
下載位址
http://download.sysinternals.com/Files/ProcessExplorer.zip
♥順子老婆的網拍,請多關照∼
If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
|
2007-05-11, 14:03
《分享》標準程序解惑
