Q }K]sr
>D >:2a_
当感染一台服务器成功了以后 , 如果受感染的机器是中文的系统后 , 该程序会休眠2天 , 别的机器休眠1天 。当休眠的时间到了以后 , 该蠕虫程序会使得机器重新启动 。该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年 , 如果是 , 受感染的服务器也会重新启动 。当Windows NT系统启动时 , NT系统会自动搜索C盘根目录下的文件explorer.exe , 受该网络蠕虫程序感染的服务器上的文件explorer.exe也就是该网络蠕虫程序本身 。该文件的大小是8192字节 , VirtualRoot网络蠕虫程序就是通过该程序来执行的 。同时 , VirtualRoot网络蠕虫程序还将cmd.exe的文件从Windows NT的system目录拷贝到别的目录 , 给黑客的入侵敞开了大门 。它还会修改系统的注册表项目 , 通过该注册表项目的修改 , 该蠕虫程序可以建立虚拟的目录C或者D , 病毒名由此而来 。值得一提的是 , 该网络蠕虫程序除了文件explorer.exe外 , 其余的操作不是基于文件的 , 而是直接在内存中来进行感染、传播的 , 这就给捕捉带来了较大难度 。>5k~ bzyV
w"`k2N5
//1?.J6eO
”程序的文件名 , 再在整个注册表中搜索即可 。ydQm/ZYQ
#>SSBg }v
,? xO?P
我们先看看微软是怎样描述svchost.exe的 。在微软知识库314056中对svchost.exe有如下描述:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称 。YvRFxSi
9_`mL+
ZWjQgVc+]
其实svchost.exe是Windows XP系统的一个核心进程 。svchost.exe不单单只出现在Windows XP中 , 在使用NT内核的Windows系统中都会有svchost.exe的存在 。一般在Windows 2000中svchost.exe进程的数目为2个 , 而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上 。所以看到系统的进程列表中有几个svchost.exe不用那幺担心 。Z@qfg/\:
S4hgvi6!3
R" #O,N%j
svchost.exe到底是做什幺用的呢? rU]YW.pC(^
<YFni| :
>+ ]?F(
首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种 。由于Windows系统中的服务越来越多 , 为了节约有限的系统资源微软把很多的系统服务做成了共享模式 。那svchost.exe在这中间是担任怎样一个角色呢? Q/Z Il
6 w T&;N
AC My f
svchost.exe的工作就是作为这些服务的宿主 , 即由svchost.exe来启动这些服务 。svchost.exe只是负责为这些服务提供启动的条件 , 其自身并不能实现任何服务的功能 , 也不能为用户提供任何服务 。svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务 。@owIz
/ aY;a&k%
'g4p<)
svchost.exe是病毒这种说法是任何产生的呢? )9$4Wh;
^,ecVi F
8:y{l6
因为svchost.exe可以作为服务的宿主来启动服务 , 所以病毒、木马的编写者也挖空心思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的 。e<4wkris
g( q;+b
XqZKDM
如何才能辨别哪些是正常的svchost.exe进程 , 而哪些是病毒进程呢? n j7gePxU
7F`CJM
!} i{
svchost.exe的键值是在“HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost” , 如图1所示 。图1中每个键值表示一个独立的svchost.exe组 。W_6:B\WC
wM1d_2
=-~Kt{
微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法 。以Windows XP为例:在“运行”中输入:cmd , 然后在命令行模式中输入:tasklist /svc 。系统列出如图2所示的服务列表 。图2中红框包围起来的区域就是svchost.exe启动的服务列表 。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可 。如果你怀疑计算机有可能被病毒感染 , svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况 。一般只会找到一个在:“C:WindowsSystem32”目录下的svchost.exe程序 。如果你在其它目录下发现svchost.exe程序的话 , 那很可能就是中毒了 。v:]R1rH 6
推荐阅读
- ps上咋消除拼接痕迹,如何用ps把两张无痕迹弄在一起
- 酷狗音乐应该如何才能加好友
- 咋进行发送qq邮箱,电脑上怎么发邮件给别人的qq邮箱
- 欢迎来到天堂入口是什么歌
- r星是不是屏蔽了qq邮箱
- 生蚝煮多久可以吃
- 月圆之夜契约师怎么玩,月圆之夜契约师吸血鬼剑怎么偷
- 玻璃胶六小时能沾水,玻璃胶六小时能沾水吗
- QQ空间背景要咋进行设置,手机qq空间背景透明度怎么设置