任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。

一、病毒进程隐藏三法

当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：

1.1 以假乱真

系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么?这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个 iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

1.2 偷梁换柱

如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为 svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是 C:WINNTsystem32目录)，如果病毒将自身复制到“C:WINDOWS”中，并改名为svchost.exe，运行后，我们在“任务管理器” 中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?

1.3 借尸还魂

除了上文中的两种方法外，病毒还有一招终极********借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

二、系统进程解惑

上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

2.1 svchost.exe

常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“ClipBook” 服务，在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”，而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。

在Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。如果 svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“C:WINDOWSsystem32”目录外，那么就可以判定是病毒了。

2.2 explorer.exe

常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建任务”，输入“explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。

explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:Windows”目录，除此之外则为病毒。

我的u盘中了木马病毒，我想把里面的东西拷出来，又怕电脑中病毒。怎么办？

网上下载一个U盘病毒专杀工具-USBCleaner

杀毒就好了

要么把优盘别往电脑上接，过些日子，用刚升级的瑞星杀毒软件杀毒也是可行的。

电脑中了木马病毒怎么办?

（一）一般情况下，电脑中毒或者中木马或者病毒之后，木马病毒都会破坏系统的，一般杀毒软件是不能解决这些问题的，推荐你使用360杀毒配合360安全卫士对系统进行修复，我就是这样解决问题的。建议你安装专业的杀毒软件，国产推荐金山毒霸安全套装或微点，国外推荐小红伞，AVAST，nod32。

（二）你可以装个360系统急救箱试试，这个不但能有效的杀死顽固病毒，还能修补有损的360。具体使用步骤如下：

1、下载后重新启动电脑按F8进入安全模式，双击360系统急救箱，然后单击“开始系统急救”。

2、系统引擎初始化完成后，单击“修复”，勾选需要修复的类型，然后单击“立即修复”，完成后重新启动电脑。如果你不知道属于哪一类故障不懂得应该修复哪一类可以使用系统推荐的修复级别，不用选择而直接单击“立即修复”，或者勾选“全选”然后直接单击“立即修复”。

这样处理后重新安装360杀毒应当可以解决。

注意要进入安全模式来使用。

（三）如果实在中毒太深，360也打不开，可使用下面这个解决方案

新建一个记事本文件，把后缀名改成bat格式。在记事本中写入以下代码：

@echo off 关闭回显

cd\ 转换到根目录

cd /d %systemdrive% 转换到系统盘根目录

cd program files\ rising\ rav 进入杀毒软件安装目录

rd ws2_32.dll/s/q??? 删除ws2_32.dll文件

copy %windir%\system32\ws2_32.dll???? 将system32下面ws2_32.dll拷贝到杀毒软件安装目录下

attrib +s +h +r ws2_32.dll??? 设置ws2_32.dll为只读文件、系统文件、隐藏文件属性。

将批处理放到桌面上，如果遇到用伪造Ws2_32.dll文件禁用杀毒软件的此类病毒，双击它即可正常使用杀毒软件。

在打开360系统急救箱自定义全盘扫描，查杀一遍，查杀完成后重启电脑。然后再打开360系统急救箱，选择修复功能（修复选项可全选），立即修复。

（四）如果还是不能解决问题，那就重装系统吧。

希望以上方案对你有帮助

问,? 木马病毒是怎样传到我们电脑上来的.?

木马，病毒本质上也是一个软件程序，所以很容易的嵌套到一些软件、程序中去进行传播、感染，自我复制。

木马，病毒传播的途径主要有二大方面：一外部，二是内部。外部就是网络传播，比如浏览网页、文件下载、电子邮件，内部就是软盘、U盘、光盘等等，尤其是通过U盘感染。

木马病毒一般是怎么传送过来的

毕竟世界上没有绝对完美的防御。没有什么电脑可以一点漏洞都没有。所以我们大家都会入侵某某网站、个人计算机。但是相对于我们这方面的技术，欠缺的是防御自己计算机方面的方法与意识。今天我就把我个人知道的一些方法和知识写出来，和大家一起分享。

安全软件：杀毒软件、防火墙、病毒木马专杀软件、流氓软件清理类。（Windows系统上最好安装上这些安全产品）

Windows 的系统更新对于计算机安全来说由为重要，系统更新一定要打开，以及时修补计算机漏洞。

必要的计算机设置，比如：关闭潜在危险的服务telnet、ftp、3389、netbios等；给管理员用户设置一个强度密码，不要使用弱口令；删除其他无用的用户帐号、禁用guest用户、删除默认共享 $admin $c\d\e\f $ipc。

还有一些安全常识，要知道：有些木马病毒的隐藏性很好，而且事先一定做好了病毒免杀，所以不要把系统的安全全部放在杀毒软件上，也不要过分依赖于软件，要学会手动查杀计算机病毒木马。一般来说计算机病毒木马程序分为：键盘记录、远程控制、后门类等。因为杀毒软件的隐藏性都很好，一般是加载到启动项，这样系统在下次启动的时候就可以秘密的启动病毒木马程序。现在我要说一下病毒木马的几种启动方式：加载到win.ini、注册表启动项、引导扇区，一般来说就算病毒木马经过了免杀处理也就是：改变程序的入口点、插入进程技术等。使用病毒木马专杀工具就可以很有效的清除病毒木马程序。但是如果上面的方式都无法清除病毒木马程序的话，你可以尝试手动清理的方式，经常听见大家说手动清理病毒木马程序，但是有很多朋友还是不知道怎么清理。今天我就为大家介绍如何实现手动清理病毒木马程序。有几个病毒木马程序隐藏的地方我先告诉大家：注册表、引导扇区、win.ini、system32目录等，都是病毒木马程序隐藏的地方。一般来说首先要先删除病毒木马程序的启动项，然后再删除病毒木马程序的源文件，清理一下引导扇区、内存就可以了。

入侵一般是冲着你电脑里的重要资料来的，或者是广泛的入侵（大范围扫描）。所以之前最好对自己电脑里的数据资料做加密处理，这样才能有效的保护好你的资料不被其他人下载和阅读。

还有就是大家最好都有些安全意识。比如你的电脑感染了木马程序（这里指键盘记录程序），首先你运行了某些程序之后大概过了几分钟之后你的程序突然掉了，那就不要在登陆帐号了，因为很有可能你的电脑已经感染了病毒木马，感染这类木马你也不需要太过担心只要你不登陆帐号你也不怕什么的，有些木马程序是全局范围的，只要你在Windows上的text框输入字符木马程序都会记录下来并发送出去。而有些木马则是记录指定程序的，你不运行指定程序的时候那木马是不会工作的。

在你怀疑自己电脑感染了病毒木马程序的时候首先你可以先用专杀工具查杀一便，也可以看看有没有什么可疑进程在运行，有没有开放可疑端口。一般隐藏好的木马这两点是不会暴露的。找到了可疑木马病毒程序你可以在注册表和计算机的系统盘搜索一下，把注册表启动项目删除，再把分区内的源文件删除。然后再检测一下内存、引导扇区，应该没问题了。

还有一些是针对黑客入侵，大家都知道HACK技术入侵之前要做的事情。先会扫描我们计算机是否存在漏洞，我们可以先用安全工具检测一下自己的电脑是否也存在安全漏洞。比如默认共享要关闭、IPC共享、ADMIN共享。还有文件和打印机共享。此漏洞存在远程缓冲区溢出漏洞。

系统管理员密码最好是高强度密码，千万不要使用弱口令。远程连接服务不需要的话也一定要关闭：telnet、ftp、3389之类的。

因为我不经常使用那些软件，我的爱好是计算机编程。虽然我现在还在学习阶段，也不经常用软件。我建议大家不要过分依赖于软件。有的人使用了好几年的软件最后还都不知道软件实现的原理。

如果你要是学会了一门计算机语言那对你以后学习HACK技术会有很大帮助，只是会用工具、对黑客来说会有很大的局限性，做的事也很受限制。

再回到计算机防御上来说吧，防御好自己的计算机一点都不简单，我上面所说的也只是针对一般性的入侵。但对于真正的黑客我想可能也是没用的，我相信真正的黑客一定掌握着一种以上没被发现的漏洞。因为他没有公布所以很少人知道此漏洞。MS也不知道吧？

下面介绍一下常见的病毒木马欺骗的方法，以提高大家的安全意识。

WEB挂马，我想大家也都知道有些站点被黑客入侵以后首页被挂上了木马程序。只要用户打开对应的页面，木马就会利用浏览器的漏洞自动下载并执行。（所以本地电脑最好把杀毒软件的WEB监视功能打开）。

不要轻易接受陌生网友传送过来的文件和图片，软件有可能被恶意捆绑木马病毒程序。

尽量要去一些大型、专业的网站下载软件，打开软件之前要先查毒。

要禁得住诱惑！要知道天上没掉馅饼的时候，不要轻易去点别人发给你的连接地址（地址很有可能已经被挂上了木马病毒程序）。

因为现在大部分的漏洞也都是针对IE，如果不是很有必要就不要使用IE了，个人推荐使用Firefox浏览器。

把杀毒软件的下载更新打开、或者定期下载杀毒软件的更新补丁，以保持杀毒软件的最新病毒库。不然你的杀毒软件就行同虚设。