系统档案亦真亦假的计划

三、危机仍在:小心病毒的骗局

最危险的情况莫过于：由于信任鸿沟的存在 由于e进程的特殊性，它隐藏了真正运行的程序的名称，在表面看到的只是e进程，这个特性同时也让许多病毒、木马有空可钻，企图以此迷惑用户。那么如何判断系统中的多个e进程是否正常呢？下面针对这类病毒常用的几种欺骗手法来进行分析。

骗局1:利用假冒e名称的病毒程序

火眼金睛:这种方式运行的病毒并没有直接利用真正的e进程，而是启动了另外一个名称同样是e的病毒进程，由于这个假冒的病毒进程并没有加载系统服务，它和真正的e进程是不同的，只需在命令行窗口中运行一下“Tasklist /svc”，如果看到哪个e进程后面提示的服务信息是“暂缺”，而不是一个具体的服务名，那么它就是病毒进程了，记下这个病毒进程对应的PID数值(进程标识符)，即可在任务管理器的进程列表中找到它，结束进程后，在C盘搜索e文件，也可以用第三方进程工具直接查看该进程的路径，正常的e文件是位于%systemroot%\\System32目录中的，而假冒的e病毒或木马文件则会在其他目录，例如“rm”病毒假冒的e就隐藏在Windows\\System32\\Wins目录中，将其删除，并彻底清除病毒的其他数据即可。

骗局2:一些高级病毒则采用类似系统服务启动的方式，通过真正的e进程加载病毒程序，而e是通过注册表数据来决定要装载的服务列表的，所以病毒通常会在注册表中采用以下方法进行加载：

添加一个新的服务组，在组里添加病毒服务名

在现有的服务组里直接添加病毒服务名

修改现有服务组里的现有服务属性，修改其“ServiceDll”键值指向病毒程序

判断方法:病毒程序要通过真正的e进程加载，就必须要修改相关的注册表数据，可以打开[HKEY_LOCAL_MacHINE\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Svchost]，观察有没有增加新的服务组，同时要留意服务组中的服务列表，观察有没有可疑的服务名称，通常来说，病毒不会在只有一个服务名称的组中添加，往往会选择LocalService和netsvcs这两个加载服务较多的组，以干扰分析，还有通过修改服务属性指向病毒程序的，通过注册表判断起来都比较困难，这时可以利用前面介绍的服务管理专家，分别打开LocalService和netsvcs分支，逐个检查右边服务列表中的服务属性，尤其要注意服务描述信息全部为英文的，很可能是第三方安装的服务，同时要结合它的文件描述、版本、公司等相关信息，进行综合判断。例如这个名为PortLess BackDoor的木马程序，在服务列表中可以看到它的服务描述为“Intranet Services”，而它的文件版本、公司、描述信息更全部为空(见图7)，如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\\WINDOWS\\System32\\e -k netsvcs”中可以看出这是一款典型的利用e进程加载运行的木马，知道了其原理，清除方法也很简单了：先用服务管理专家停止该服务的运行，然后运行e打开“注册表器”，删除[HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\IPRIP]主键，重新启动计算机，再删除%systemroot%\\System32目录中的木马源程序“l”，通过按时间排序，又发现了时间完全相同的木马安装程序“e”，一并删除即可