Shunze 學園 >電腦資訊學系 >病毒追追追 > 《分享》標準程序解惑 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
《分享》標準程序解惑引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

由於很多木馬、病毒會冒充系統的標準程序在電腦中運作,以假亂真的迷惑了使用者的眼睛。
所以本文列出幾個較容易被冒充的標準程序及其正確路徑給大家參考。

  • svchost.exe
    正確的svchost.exe應該是在C:\WINDOWS\system32\下。
    在其它目錄出現的分身,都有問題!

    隨著Windows係統服務不斷增多,為了節省係統資源,
    微軟把很多服務做成共享方式,交由svchost.exe進程來啟動。
    所以在Windows作業系統中,常會看到很多個它在運行。
    在Windows 2000中一般存在2個svchost.exe;XP中則有5個左右。

    通常會被svch0st.exe、schvost.exe、scvhost.exe這幾個假的程式給冒充。

  • explorer.exe
    正確的explorer.exe應該是在C:\WINDOWS\下,除此之外的目錄都很有問題!

    它是整個使用者環境的“殼”。結束它,使用者會被強迫登出。

    通常會被iexplorer.exe、expiorer.exe、explore.exe這幾個假的程式給冒充。

  • rundll32.exe
    正確的rundll32.exe 應該是在C:\Windows\system32\下,除此之外的目錄不應該存在。

    在系統中的作用是執行DLL文件中的內部函數。
    系統中存在多少個Rundll32.exe進程,就表示Rundll32.exe啟動了多少個的DLL文件。

    通常會被rundl132.exe、rundl32.exe這幾個假的程式給冒充。

  • spoolsv.exe
    正確的spoolsv.exe應該是在C:\WINDOWS\system32\下,在其它目錄不應該出現!

    spoolsv.exe是系統服務“Print Spooler”所對應的執行程序。
    其作用是管理所有本機和網絡印表機中的列印工作。
    如果此服務被停用,電腦將無法列印。

    通常會被spoo1sv.exe、spolsv.exe這幾個假的程式給冒充。

  • iexplore.exe
    正確的iexplore.exe應該是在C:\Program Files\Internet Explorer\下。

    iexplore.exe就是Windows系統中的IE瀏覽器,這個不用多說了吧∼

    通常會被iexplorer.exe、iexploer.exe、iexplorer.exe這幾個假的程式給冒充。

  • lsass.exe
    正確的lsass.exe應該是在C:\WINDOWS\system32\下,在其它目錄不應該出現!

    lsass.exe是一個系統程序,用於本機安全權限服務及登入管理。

    通常會被1sass.exe、sass.exe這幾個假的程式給冒充。


不過即使知道正確的系統程序路徑為何,也不見得有多大幫助?
因為傳統的工作管理員taskmgr.exe只會顯示影像名稱、使用者名稱、CPU、記憶體使用量這四項,
全然無法得知運作中的程序是否正確,實在有點遺憾...

還好我們在微軟網站可以下載一個好用軟體Process Explorer
Process Explorer是一款免費的『進階版工作管理員』。
它在視窗中提供了每一個程序的原始所在位址、佔用記憶體大小、 CPU 資源使用率、相關的動態連結檔...等詳細資訊,
讓使用者在刪除程序時能夠進行更詳細的確認。
在資訊欄位中,我們還可以自由決定檢視內容,把程序路徑也顯示出來。



如此一來,一些不知名的程序(病毒、木馬程式)也能夠順利從中發現,讓使用者刪除。

下載位址
http://download.sysinternals.com/Files/ProcessExplorer.zip



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2007-05-11, 14:03 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR