巧妙从进程中判断出病毒和木马

explorer.exe

病毒经常模仿的进程名称有:iexplorer.exe、expiorer.exe和explore.exe。Explorer.exe是我们经常使用的“资源经理”。如果你在任务管理器中完成了explorer.exe进程，所有的文件包括任务栏、桌面和打开的文件都会消失。点击任务管理器→文件→新建任务，进入“explorer.exe”。消失的东西会再回来。explorer.exe的作用是让我们管理计算机中的资源。

默认情况下，explorer.exe进程是随系统启动的，其对应的可执行文件的路径是“C:\Windows”目录，否则就是病毒。

iexplore.exe

经常被病毒冒充的进程名称有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上述文章中的explorer.exe进程名称非常相似，很容易混淆。实际上，iexplorer.exe是微软IE浏览器(也就是我们通常使用的IE浏览器)生成的一个进程。知道之后应该更容易认清角色。iexplorer.exe进程的开始名字是“ie”，意思是IE浏览器。

iexplore.exe进程对应的可执行程序位于C:\ Program Files \ Internet Explorer目录下，如果存在于其他目录下就是病毒，除非你转移文件夹。另外，有时候我们会发现，在不打开IE浏览器的情况下，iexplore.exe进程仍然存在于系统中，这可以分为两种情况:1。这种病毒伪装成iexplore.exe进程的名字。2.该病毒通过iexplore.exe在后台偷偷做坏事。所以，如果出现这种情况，请用杀毒软件快速查杀。

rundll32.exe

经常被病毒模仿的进程的名字是:rundl132.exe和rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数。系统中有多少Rundll32.exe进程就意味着Rundll32.exe启动了多少DLL文件。实际上，我们经常使用rundll32.exe，它可以控制系统中的一些dll文件。比如在“命令提示符”中输入“rundll32 . exe user32.dll，锁定工作站”，按enter后系统会快速切换到登录界面。rundll32.exe的路径是“C:\Windows\system32”，在其他目录下也可以判断为病毒。

spoolsv.exe

经常被病毒模仿的进程的名字是:spoo1sv.exe和spolsv.exe。它是与spoolsv.exe系统服务“打印假脱机程序”相对应的可执行程序，其作用是管理所有本地和网络打印队列并控制所有打印作业。如果此服务被停止，计算机上的打印将不可用，并且spoolsv.exe进程将从计算机上消失。如果您没有打印机设备，请关闭此服务以节省系统资源。停止并关闭服务后，如果spoolsv.exe进程仍然存在于系统中，它一定是被病毒伪装了。

限于篇幅，常用流程介绍到此。如果我们平时检查流程时发现了可疑之处，只需要根据两点来判断即可:

1.仔细检查进程的文件名；

2.检查它的路径。

通过这两点，一般的病毒过程肯定会露出端倪。

找个好帮手管理流程。

系统内置的“任务管理器”功能太弱，肯定不适合查杀病毒。所以我们可以使用专业的流程管理工具，比如Procexp。Procexp可以区分系统进程和一般进程，用不同的颜色区分，让假冒系统进程的病毒进程无处藏身。

运行Procexp后，进程会被分成两个块，“系统空闲进程”下的进程属于系统进程。

Explorer.exe“从属过程属于一般过程。我们介绍的svchost.exe、winlogon.exe等系统进程都属于“系统闲置进程”。如果你在“explorer.exe”里找到了svchost.exe，不言而喻，那一定是病毒。