|
一、什么是Explorer.exe进程
打开电脑的任务管理器,可以看到这个进程,占用内存还不小,大约10MB左右。完毕 这个进程后,打开的几个窗口都关闭了,而且Windows 7 系统桌面上的图标也全没有了。
之所以出现这个状况 ,正是Explorer.exe在发挥作用。简单地说,Explorer.exe进程就是操作系统的程序管理器,也就是我们平常 说的资源管理器,用于管理操作系统的图形界面,包括开始菜单、任务栏,桌面和文件管理。该进程随系统一同 启动,直到系统关闭或者人为完毕 该进程。
可以通过下面的橾作恢复桌面到正常状态:在“任务管理器”中,依次单击“文件”一“新建任务(运行…)”菜单。再在打开的窗口中输入“Explorer.exe”进程名单击“确定”按钮即可完成重建进程的过程了,桌面环境也就恢复了。
二、Explorer.exe容易被冒充
首先,病毒还是会应用 障眼法来干扰大家,正常的进程名是Explorer.exe,而一些病毒的进程名则为Explorer.exe(用数宇1替代 了宇母1),还有的病毒进程名为ExpiOrer.exe(用数字0替代 宇母0),乍一看,基本 就辨别 不出来,实在令人防不胜防。大名鼎鼎的MyDoom病毒就是通过Explorer.exe来进行毁坏 的。
小知识:MyDoom是一沖通过电子邮件附件和P2P网络传播的病毒当用户打幵并运行附件内的病毐程序后,病毐就会以用户信箱内的电子邮件地址为目的 ,伪造邮件的源地址,向外发送大屋带有病毐附件的电子邮件,同时茌用户主机上生成Explorer.exe进程。
针对这类状况 ,除了我们留意进程名宇外,还有其他方法进行检测和防御 吗?我们可以根搪Explorer.exe进程的路径来判别 ,正常的Explorer.exe进程位于系统根目录下(比方 系统盘为C盘,则路径为C:WindowsExplorer.exe),这里我们可以僚助一些进程辅助软件来进行查看,比方 “360安全卫士”,这里可以看到正在运行的进程的路径以及用户名等。假如 发现Explorer.exe的运行路径不在这个目录,说明肯定被其他病毒冒充。当然,假如 进程名不对,肯定也是有问题的。
除此之外,在系统的system.ini文件中(C:Winrlowssystem.ini),在[BOOT]下面有个“sheil=文件名'正确的文件名应该是“explorer•exeM,假如 不是“explorer.exe”,而是“sheil=explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,这标明 你已经中“木马”了。
提示:病毒除了通过文件名类似 来假装 explorer.exe进程外,主要是通过线程插入技术来应用 这个进程。比方 曾经的厂外幽魂 、最新的魔波病毐变种也是应用 这个进程。线程插入技术使得这些病毐木马可以将他们的服务端程序插入到正常的explorer.exe进程中,从而让用户找不到病毐的妹丝马迹。具体的线程插入技术我们将茌以后进行解说 。对于这类采用线程插入的木马病毐,Windows 7 旗舰版用户可以借助“木马诵助査找器”来进行査看,茌“进程监控”选项中,勾选explorer.exe进程,茌下面的DLL文件窗□中将显示相应的DLL文件的路径和文件名,发现可疑的文件,则直接终止相应的进程即可。当然,这需要. 大家对一些常见的木马有基本的理解 ,否则操作超来就显得比较难。
此外,在注册表中的状况 比皎复杂,通过regedlt命令打开注册表编辑器,依次打开HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录,查看键值中有没有自己. 不熟习 的自动启动文件,扩展名为EXE。注意有的“木马”程序生成的文件很像系统本身 文件,想通过假装 蒙混过关,如“AcirtBatteryvl.0木马”,它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer键值改为Explorer=“C:WINDOWSexpiorer.exe",“木马”程序与真正的Explorer之间只有“i”与“1”的差异 。这需要. 大家高度警觉 。 |
|
|
|
|
|
|