病毒、木馬的伎倆之一就是攻擊系統(tǒng)進(jìn)程，或是偽裝或是注入，降低人們的警惕性。如果能對常用的進(jìn)程有些初步了解，就能掌握判斷惡意進(jìn)程的基本手段。

自從家里上網(wǎng)后，小蔡中過幾次木馬病毒，每次請高手來檢查，都看到他先按下“Ctrl+Alt+Del”鍵，打開任務(wù)管理器查看進(jìn)程。兩三次后小蔡就學(xué)會了，可是當(dāng)他自己打開以后，哇，這么多奇奇怪怪的名字，都是些什么?。▓D1）？

看來啊，這個高手還不是那么容易當(dāng)?shù)摹＿€有兩個問題小蔡也想不明白，用戶名為SYSTEM的就是系統(tǒng)進(jìn)程了吧，為什么病毒木馬經(jīng)常盯著它們呢？它們?yōu)槭裁茨敲础按嗳酢?，一招就死?/p>

小蔡打開任務(wù)管理器之后，雖然看不大明白，但也努力去熟悉。怎么有兩個SVCHOST.EXE，不對，是三個……他點了一下按映像名稱排序（圖2），嘩，一共是5個SVCHOST.EXE。這太奇怪了！

小蔡還注意到名稱一樣的“SVCHOST.EXE”對應(yīng)的“用戶名”卻不相同，又增加了一些可疑。那么，SVCHOST.EXE到底是哪路神仙？是正常的系統(tǒng)進(jìn)程還是感染了木馬、病毒呢？

放服務(wù)的CD機(jī)

趕忙打個電話給高手，沒想到他哈哈大笑，然后給小蔡慢慢說明。其實，SVCHOST.EXE是Windows 2000/XP/2003等操作系統(tǒng)中獨有的進(jìn)程，它是Service Host（服務(wù)宿主）的縮寫。

在系統(tǒng)中有很多被稱作“服務(wù)”的模塊，當(dāng)操作系統(tǒng)正常運行時，各個功能都是由這些“服務(wù)”合作完成的。這些“服務(wù)”是一些擴(kuò)展名為DLL的動態(tài)鏈接庫文件，它們不像可執(zhí)行程序（*.exe、*.bat等）那樣能夠直接運行，而是要一個專用的程序來啟動，這個程序就是SVCHOST.EXE了。

如果還不容易理解，你可以把系統(tǒng)中的每個服務(wù)比喻成一張音樂CD或是VCD光盤，而要想播放這些光盤，就需要相應(yīng)的播放機(jī)，SVCHOST.EXE就是專門用來播放這些光盤（服務(wù)）的播放機(jī)了。

各司其職

原來如此，小蔡有些明白了，第一個問題解決。那么為什么會同時出現(xiàn)這么多個SVCHOST.EXE？

系統(tǒng)會運行多個SVCHOST.EXE，分別來負(fù)責(zé)不同性質(zhì)的服務(wù)。就好比光盤分為音樂CD、VCD、SVCD、DVD等，播放這些不同格式的光盤就需要具備相應(yīng)功能的播放機(jī)。這些SVCHOST.EXE相互分工很明確。

打開“ 開始”→“ 運行” 輸入r e g e d i t，打開注冊表編輯器，依次展開“HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Svchost”，在左側(cè)窗口便可以看到6個鍵值項，每個都代表一組服務(wù)，這樣的每組服務(wù)啟動時都會通過單獨的SVCHOST.EXE進(jìn)程來裝載（圖3）。

這么說來，Windows XP中應(yīng)該可以看到6個SVCHOST.EXE了，怎么只有5個呢？這6組服務(wù)通常并不都是啟動狀態(tài)的，WindowsXP會有4～6個SVCHOST.EXE進(jìn)程，而Windows 2000通常會有兩個。

順藤摸瓜 小蔡決定多了解點關(guān)于服務(wù)的知識，現(xiàn)在知道了6組服務(wù)，那么能查看這么服務(wù)做什么嗎？不要再看注冊表了啊，那個嚇人，看得頭暈。

通過注冊表查看服務(wù)確實麻煩點，但能查到服務(wù)具體的文件。要簡單的方法也有，單擊“開始→運行”，輸入“services.msc”并回車即可打開服務(wù)管理器（圖4）。

既然想刨根問底，就推薦你用一款軟件參看。用《全能助手Windows服務(wù)管理專家》可以看到更詳細(xì)的信息，比如運行文件名，服務(wù)文件名、版本號、服務(wù)作用以及發(fā)行公司。在這里可以清楚地看到運行這些服務(wù)的是SVCHOST.EXE（圖5）。

不能放松警惕

雖然了解了SVCHOST.EXE的來龍去脈，但它和病毒也不是完全沒有關(guān)系哦。由于它可以啟動服務(wù)，所以黑客們也挖空心思地借用它入侵、破壞電腦，將自己編寫的病毒、木馬程序偽裝成SVCHOST.EXE迷惑用戶，或者自身偽裝成服務(wù)欺騙SVCHOST.EXE。

如果懷疑系統(tǒng)可能感染了病毒，SVCHOST.EXE異常，可以在系統(tǒng)中搜索一下“SVCHOST.EXE”，該文件只存在于“C:\\Windows\\System32”目錄下，如果在其他目錄下也找到了，那就十分可疑了，最好立即用殺毒軟件掃描系統(tǒng)。

要辨別偽裝成服務(wù)的病毒也很方便，對了，就是使用上面介紹的軟件來查看，發(fā)行公司、服務(wù)作用不明的十有八九是病毒。

還有一個出現(xiàn)很多數(shù)量的進(jìn)程

小蔡想起來還看過有兩個相似的進(jìn)程，很可疑，現(xiàn)在就有一個“explorer.exe”的進(jìn)程，以前還看到過iexplore.exe進(jìn)程，也是同時出現(xiàn)過好幾個。它倆長得如此像，是兄弟嗎？

其實，iexplore.exe是MicrosoftInternet Explorer的主程序，打開IE瀏覽器后，在進(jìn)程列表中便可以看到它。它的個數(shù)與當(dāng)前打開的IE瀏覽器窗口數(shù)目一致。例如，如果你同時打開5個IE瀏覽器窗口，在進(jìn)程列表中就會有5個“iexplore.exe”進(jìn)程（圖6）。

而與它長得相似的“explorer.exe”則是系統(tǒng)資源管理器對應(yīng)的進(jìn)程。它專門負(fù)責(zé)Windows系列系統(tǒng)中的開始菜單、任務(wù)欄、桌面和文件管理的，只有它正常運行時，才能系統(tǒng)的桌面。如果禁用該進(jìn)程后，Windows桌面就無法使用，它是系統(tǒng)自動加載的。

因此，iexplore.exe與explorer.exe雖然長得非常相似，但它們卻各自負(fù)責(zé)著不同的功能，一個是IE瀏覽器的程序，一個是資源管理器程序。

辨別真?zhèn)?/p>

這兩個進(jìn)程是系統(tǒng)中常駐的進(jìn)程，因此，病毒制造者們也將目標(biāo)瞄準(zhǔn)了它們，如何判斷它們是否為病毒的偽裝呢？

方法一

仔細(xì)核對進(jìn)程名稱

很多病毒都使用了障眼法，將它們的名稱更換一個非常相似的字母，例如，將字母“o”更換成數(shù)字“0”，將“i”更換為“l(fā)”等，如果不細(xì)心地看，肯定看不出它們之間的區(qū)別，除了使用字母更換偽裝外，一些病毒則使用大、小寫字母的手段來達(dá)到迷惑的目的，將“explorer.exe”更改成“EXPLORER.EXE”，甚至還有些病毒根據(jù)人們的語感習(xí)慣用“iexplorer.exe”。

如果看到進(jìn)程列表中有疑似進(jìn)程，首先，仔細(xì)地對照其名稱，如果有上述情況之一，那個進(jìn)程肯定是病毒進(jìn)程。另外，如果你沒有開啟IE瀏覽器程序，在進(jìn)程列表中存在外表類似“iexplore.exe”的進(jìn)程，那百分之百是病毒程序的進(jìn)程。

方法二

查看系統(tǒng)資源占用情況及文件所在位置

通常，病毒程序一旦運行后會瘋狂地占用系統(tǒng)的資源，如果發(fā)現(xiàn)某個可疑進(jìn)程占用了系統(tǒng)資源（CPU、內(nèi)存）非常大，可以初步判定其為病毒進(jìn)程。

正常情況下，iexplore.exe通常占用的內(nèi)存大小為5MB左右，explorer.exe占用約12MB，這個數(shù)據(jù)會隨著系統(tǒng)運行的軟件多少而上下浮動，可以作為參考。

另外，iexplore.exe進(jìn)程對應(yīng)的可執(zhí)行程序在IE安裝目錄（通常為C:\\Program Files\\Internet Explorer），如果感覺系統(tǒng)不對勁時，可以使用搜索功能來搜索，如果在其他文件夾中搜索出多個可疑的類似名稱的程序，則說明有可能是病毒程序。

相應(yīng)的，e x p l o r e r . e x e 通常位于C: \\WINDOWS目錄中，也可以通過這個方法來判斷。

本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。