2.警惕“披着羊皮的狼”
Windows的Shell调用了如此多的DLL应用程序扩展,以致恶意程序可以轻易侵袭Explorer.exe,轻则在文件(夹)右键添加某些选项菜单,重则Explorer.exe被恶意程序利用,甚至导致系统无法正常启动,成了“披着羊皮的狼”。
这些都是利用“外壳”的弱点,比较容易解决:先清除注册表中相关的Shell键值,如文件夹右键菜单就位于[HKEY_CLASSES_ROOTFoldershell]以及[HKEY_CLASSES_ROOTDirectoryshell]下。通过进程、服务查看可以找出隐藏运行的进程,终止后即可删除、卸载。如果Explorer.exe有问题,可以进入“带命令行提示的安全模式”,用replace命令替换为正常的系统文件(用“help replace”可查询用法),再搜索注册表修复与“Explorer.exe”相关的键值、改正被恶意程序关联的项,最后删除恶意程序相关的文件。
二、并不安全的“内核”进程:System
系统启动后,“任务管理器”中的几个系统进程(在“进程”列表中“用户名”显示为“SYSTEM”的进程)是按什么顺序启动的?System是位于系统底层的“内核”进程,其他一些系统进程都以它为基础,所以可以把它称为其他系统进程的“父进程”。这些系统进程启动的顺序是:System→smss.exe→csrss.exe→Winlogon.exe。
Windows中,作为底层的System进程可以调用上千个驱动程序(SYS系统文件)。而杀毒软件正是以驱动程序模块安装到系统中,才能在系统登录之前“抢先”运行保护系统安全;同样“与时俱进”的木马也“学会”了这一招,在System进程的保护下“暗渡陈仓”。这些有问题的“驱动”可能导致的后果就是System进程的高CPU占用。
下面我们来揪出System进程占用100%CPU的“元凶”。
1.运行“perfmon”打开性能管理,右击右窗格选择“添加计数器”,在“性能对象”下拉菜单中选择“Thread”,“从列表中选择范例”选中所有Syetem的线程(如System/0、System/1),然后点击“添加→关闭”。查看CPU占用最高的线程对应的System实例,记下实例号。这里以25为例,如下图。
2.找一张XP的安装盘,将光盘目录SUPPORTTOOLSSUPPORT.CAB中的pviewer.exe、pstat.exe两个文件解压到WindowsSystem32目录下。运行“pviewer”,在“Process”列表选择“System”,点击下面的“Threads”列表中“25”一项,记住那个“Start Address”,如“0xf98b9f90”,如下图。
小提示
无安装盘可以“KB838079”为关键字搜索,下载微软SP2支持工具,解压后也能得到SUPPORT.CAB。
3.打开命令提示行,键入“pstat”,查找最后的“ModuleName”(模块名)字段,对照“Load Addr”,找出与“f98b9f90”相似的内存地址,如“F9824000”,逐一排查即可找出有问题的系统文件,根据此文件创建的时间找出可疑的程序,如下图。
Word教程网 | Excel教程网 | Dreamweaver教程网 | Fireworks教程网 | PPT教程网 | FLASH教程网 | PS教程网 |
HTML教程网 | DIV CSS教程网 | FLASH AS教程网 | ACCESS教程网 | SQL SERVER教程网 | C语言教程网 | JAVASCRIPT教程网 |
ASP教程网 | ASP.NET教程网 | CorelDraw教程网 |