怎样查看木马进程

Posted 2023-04-21

隐藏的木马程序怎么查看？

第一步：打开任务管理器。根据和常见进程比较，很明显会发现两个“熟悉的陌生人”(和系统基本进程名称相似，但不相同)：“internet.exe”和“systemtray.exe”。请和上一实例中的”配角“进程比较。
第二步：打开“系统信息”的“软件环境→正在运行任务”，查看路径信息，两者均指向WindowsSystem32目录，而且文件大小、日期均相同，但从文件日期来看并不属于微软的系统文件。进入资源管理器查看其版本属性，虽然公司标明为Microsoft，但与系统文件中的微软公司名称书写并不相同，基本可断定是非法进程，并且为双进程模式。
第三步：在尝试结束进程时，第一次选择“systemtray.exe”来结束进程树，结果进程马上就再生了，任务管理器中又显示出这两个进程！于是再次选择“internet.exe”，然后结束进程树●。进程没有再生，从而将木马进程从系统中清除。
实例三：真真假假系统进程
许多病毒和木马为避免从进程名称中发现它们的踪影，往往会采用“障眼法”，使用和系统文件或系统进程名称类似的进程名称。
1.文件名伪装
(1)修改常见程序或进程个别字符
例如，上面介绍的“Falling Star”木马的进程名称“internet.exe”就与输入法进程“internat.exe”十分相似。“WAY无赖小子”的服务端进程名称为“msgsvc.exe”，与系统基本进程“msgsrv32.exe”类似，还有Explorer.exe和Exp1orer.exe的区别，不仔细的话你能看出来吗？(数字“1”取代了字母“l”)
(2)修改扩展名
著名的冰河木马的服务端进程为Kernel32.exe，乍一看很熟悉，好像是哪个系统进程，其实系统根本不存在这样一个文件，Windows 9x的基本进程中却有一个叫做“Kernel32.dll”的。诸如此类的还有“Shell32.exe”的木马进程是从“Shell32.dll”这个大家都很熟悉的文件“演变”而来的，实际在系统中都是不存在的。
2.路径伪装
Windows目录和System目录是系统核心文件所在地，一般是“闲人免进”。因此，出入它们的文件一般都被人们认为是系统文件，而病毒和木马就借机将源文件放在这两个目录中。对于这类情况，一般只需要通过系统信息找到其源文件路径，打开文件的属性，从日期(这个非常重要，可以看是否与系统文件日期一样)、版本、公司名称信息中即可看出破绽。没有哪个病毒、木马文件能设计得与系统文件完全一致。
实例四：优化系统从进程开始
除系统运行必须的基本进程外，每个程序运行后都会在系统中生成进程，每个进程都会占用一定的CPU资源和内存资源。过多的进程和一些设计不良的进程就会导致系统变慢、性能下降，这时可对它们进行一下优化。
1.精简进程
系统中的一些进程并不是必须的，结束它们并不会对系统造成什么损害。
比如：internat.exe(显示输入法图标)、systray.exe(显示系统托盘小喇叭图标)、ctfmon.exe(微软Office输入法)、mstask.exe(计划任务)、sysexplr.exe(超级解霸伺服器)、winampa.exe(Winamp代理)、wzqkpick.exe(WinZip助手)等。
有一款叫做“进程杀手”的免费小工具，具备自动精简进程功能，可自动中止系统基本进程以外的所有进程。在怀疑电脑运行了某些黑客进程或病毒进程但又不能确定是哪一个时，该软件就可以有效清除那些非法进程。不过它只适合Windows 9x/Me。下载地址http://js-http.skycn.net:8080/down/prockiller_23.rar。
2.杀死不良进程
有时你会发现系统运行速度特别慢，这时可打开任务管理器，单击“进程”标签，点击“CPU”列标签让进程按CPU资源占用排序，可以很明显地看到资源占用最高的程序。同样方法，可以点击“内存”列标签，查看那些内存占用大户，及时结束进程。
这里有一种情况比较特殊：在查看CPU占用率时，一个叫做“System Idle Process”的进程会一直显示在90%左右。不必担心，实际上它并没有占用这么多系统资源，单击“性能”标签可看到其实际的CPU资源占用情况。
★对于Windows 9x，使用任务管理器是无法像Windows 2000/XP那样看到所有进程以及CPU、内存占用情况，推荐使用Process Explorer(下载地址http://www.sysinternals.com/ntw2k/freeware/procexp.shtml)。
★如果某个16位程序影响了系统运行，而且死活也关不掉，可进入任务管理器的进程选项卡，找到NTVDM.exe进程，将其关掉即可杀掉所有16位应用程序，而不用重启。
3.优化软件或游戏性能
你还可以通过改变软件和游戏进程优先级来提高其性能，这样能使它们运行得更快，当然负作用就是可能影响到其他正在运行的进程。比如，为避免刻录缓存溢出问题造成刻录失败，可进入任务管理器的进程选项卡，找到并右击刻录软件的进程项，选择“设置优先级”，然后在弹出的子菜单中选择“高”。如果你不想每次都这样设置，可使用下面的方法。
第一步：打开软件或游戏所在目录，比如：D:/game，在这里新建一个文本文件，在其中输入以下语句：
echo off
start /priority game.exe
说明：将priority替换为所需的CPU优先级，建议使用high(高)、abovenormal(高于标准)，因为它们的效果最好。将game.exe替换为软件或游戏的可执行文件名称，比如：stvoy.exe。
第二步：做完以上修改后将其保存为game.bat，现在就能通过这个文件来启动游戏或软件，而它将会使游戏或软件具有更高的CPU优先级。不过要注意的是，该文件必须要保存在游戏或软件所在目录 参考技术A 隐藏的木马进程怎么查看？？ 首先鄙视下那些给别人介绍杀毒软件的copy族！！！

还有在任务管理器里是不可能看到的（除非是个弱智的木马，现在的木马，像灰鸽子之类的任务管理器里根本没有它的踪影）
还有那个4楼的，你不要误导别人啊，什么正常有24个进程，不同的电脑是不一样的，特别是不同的电脑装了不同的软件，怎么可能都有24个进程？？？

最后告诉你，手工杀毒经常用到的暴强工具——冰刃。可以查看隐藏的进程。当然，现在的木马相当厉害，都没有进程了，直接以服务启动，没有进程当然看不到了，不管用什么软件都一样。

还有有些是没有自己本身的进程，他们会注入到其他的进程中，像svchost.exe经常被注入，还有IE等等。。。。这种情况你可以用冰刃查看进程的模块信息，看有没有可疑的dll，有的话就强制卸载。

3楼的明显是copy族的，答得不对马嘴，6楼的也是，这样根本帮组不了别人！！！ 参考技术B 回答

软件在“红色特卫队”的网站上有下。我曾经在网吧用过，因为网管不厚道，在网吧下啊啦大盗，我就用这个反盗了他的邮箱。

提问

我账号被盗了、我想给盗号者一些教训我可以做什么呢？

回答

木马如果查询到，您何必做木马

提问

另一位博主说可以用反译方法查询通道可以找到，木马主人的邮箱地址或者是I P地址可以找到他大概的住所，涉案金额大于1000可以报警处理了，算盗窃罪

回答

亲木马有些报警了他也是查询不到，做为木马的他，不会随便把ID或者其他暴露出来，他可以用虚拟或者网吧

 参考技术C 推荐你使用 DSWLAB 数据安全实验室的---ast tools loader （1、 什么是toolsloader?
toolsloader(简称tl)是一款由数据安全实验室推出的完全免费的安全辅助软件。

2、 tl的功能是什么？
它可以辅助任何反病毒软件，完成对未知病毒的清理。还可以对系统进行优化处理，加快系统运行速度。它集成了超级巡警中除扫描杀毒模块的全部其他功能。

3、 为什么要发布这样一个产品？
背景：
众多木马和恶意软件把攻击目标转向超级巡警，除了在早期熊猫烧香病毒会查找窗口标题有超级巡警字样而关闭巡警外，目前还有阻止巡警进程ast.exe启动，映像劫持\ast\等情况。
据我们统计，目前在网上传播病毒，大部分都会针对现有知名的杀毒软件与安全辅助工具做相应的处理，以达到不被发现的目的。还有的病毒会通过文件关联、监控 windows窗体中指定字符串或映像劫持等手段，屏蔽或终止杀毒软件和安全辅助工具。针对现有病毒的反杀毒软件特征，数据安全实验室推出了 tl,方便广大网民维护计算机安全和进行系统优化。

特点：
1、随机标题
tl使用随机窗口标题的设计，能有效防止自身被某些监控窗体中指定字符串的病毒拦截或关闭。
2、文件改名
tl可以任意更改程序的文件名，可以有效防止根据文件名进行屏蔽杀毒软件及辅助安全工具和进行ifeo hijack的病毒。
3、易于使用
tl延续了超级巡警的界面风格和功能模块分布，超级巡警的老用户会很快上手。人性化的设计还可以使新手轻松晋级。
4、功能强大
tl继承了超级巡警九大模块二十多个功能。
5、及时响应
系统诊断模块，不仅可以给出详细的系统诊断报告，并且会在您提出求助请求时，第一时间给出反馈信息，并给出专业的
安全建议。
6、便于升级
tl更容易加载新模块，只须要下载几十k甚至几k的更新组件。安全实验室还会对网友的建议进行统计，对比较好的建议。
在第一时间推出更新组件，更好的满足用户的需要。
7、兼容杀软
tl兼容当今各种主流杀毒软件，可有效进行辅助杀毒和系统优化。

4、 tl是否兼容超级巡警本身，可以共用并存么？
tl与超级巡警是兼容的。运行超级巡警的同时，如果有必要的话可以运行多个tl。tl的主程序文件，放在超级巡警的安装目录下，就可以加载超级巡警除扫描杀毒外的其他模块。当超级巡警被恶意程序屏蔽时，只要一个几十k的tl，就可以加载所有辅助功能。） 参考技术D 1、打开资源管理器，执行“工具/文件夹选项”命令，在打开的对话框中，切换到“查看”选项卡，然后在下方的选项列表框中选择“显示所有文件和文件夹”选项，单击“确定”按钮即可查看隐藏的文件了。

怎样查看lInux系统中的所有运行进程

可以使用ps命令。它能显示当前运行中进程的相关信息，包括进程的PID。Linux和UNIX都支持ps命令，显示所有运行中进程的相关信息。

ps命令能提供一份当前进程的快照。如果想状态可以自动刷新，可以使用top命令。

ps命令

输入下面的ps命令，显示所有运行中的进程：

1	# ps aux | less

　

其中，

-A：显示所有进程

a：显示终端中包括其它用户的所有进程

x：显示无控制终端的进程

任务：查看系统中的每个进程。

1 2	# ps -A # ps -e

　　任务：查看非root运行的进程

1	# ps -U root -u root -N

　　任务：查看用户vivek运行的进程

1	ps -u vivek

任务：top命令

top命令提供了运行中系统的动态实时视图。在命令提示行中输入top：

1

# top

　　

输出：

 

按q退出，按h进入帮助。

任务：显示进程的树状图。

pstree以树状显示正在运行的进程。树的根节点为pid或init。如果指定了用户名，进程树将以用户所拥有的进程作为根节点。

1

$ pstree

　输出示例：

 

任务：使用ps列印进程树

1 2	# ps -ejH # ps axjf

　　

任务：获得线程信息

输入下列命令：

# ps -eLf
# ps axms

任务：获得安全信息

输入下列命令：

1 2 3

# ps -eo euser,ruser,suser,fuser,f,comm,label # ps axZ # ps -eM

　　

任务：将进程快照储存到文件中

输入下列命令：

1	# top -b -n1 > /tmp/process.log

　你也可以将结果通过邮件发给自己：

1	# top -b -n1 | mail -s \'Process snapshot\' you@example.com

　　

1 2 3

任务：查找进程   使用pgrep命令。pgrep能查找当前正在运行的进程并列出符合条件的进程ID。例如显示firefox的进程ID：

　　

1	$ pgrep firefox

　　下面命令将显示进程名为sshd、所有者为root的进程。

1	$ pgrep -u root sshd

　　

1 2 3

向htop和atop说hello   htop是一个类似top的交互式进程查看工具，但是可以垂直和水平滚动来查看所有进程和他们的命令行。进程的相关操作(killing，renicing)不需要输入PID。要安装htop输入命令：

　　

1	# apt-get install htop

　　或

# yum install htop
在命令提示行中输入htop：

1

# htop

　　输出示例：

 

　

atop工具

atop是一个用来查看Linux系统负载的交互式监控工具。它能展现系统层级的关键硬件资源(从性能角度)的使用情况，如CPU、内存、硬盘和网络。

它也可以根据进程层级的CPU和内存负载显示哪个进程造成了特定的负载;如果已经安装内核补丁可以显示每个进程的硬盘和网络负载。输入下面的命令启动atop：

1

# atop

　　输出示例：

 

原文链接：http://hi.baidu.com/imlidapeng/blog/item/4ef37d634b58b957eaf8f83