軟體 - 如何識別非法工作行程與手工殺毒

[psac]

如何識別非法工作行程與手工殺毒

簡單地說，工作行程是程式在電腦上的一次執行活動。當你執行一個程式，你就啟動了一個工作行程。工作行程又分為系統工作行程和用戶工作行程。系統工作行程主要用於完成操作系統的功能，而QQ、Foxmail等應用程式的工作行程就是用戶工作行程。

　　工作行程的重要性體現在可以通過觀察它，來判斷系統中到底執行了哪些程式，以及判斷系統中是否入駐了非法程式。正確地分析工作行程能夠幫助我們在殺毒軟件不起作用時，手動除掉病毒或木馬。

　　瞭望工作行程

　　如何知道系統中目前有哪些工作行程？在Windows98/Me/2000/XP/2003中，按下「Ctrl+Alt+Delete」組合鍵就可以直接檢視工作行程，或打開「Windows 任務管理器」的「工作行程」選項來檢視工作行程。通常來說，系統常見的工作行程有winlogon.exe，services.exe，explorer.exe，svchost.exe等。要熟悉工作行程，首先就要熟悉最常見的系統工作行程，這樣當發現其它奇怪的工作行程名（如HELLO，GETPASSWORD，WINDOWSSERVICE等等）時就方便判斷了。
　
一般殺滅工作行程法

　　1.有的工作行程在工作行程選項中無法刪除，這時可以打開註冊表編輯器（在「開始→執行」中鍵入regedit），找到「HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun」下面的鍵，將可疑的選項刪除。

　　2.另外，還可以通過系統的「管理工具」裡面的「服務」檢視目前的全部工作行程。這裡重點要看服務中啟動選項為「自動」的那部分工作行程，檢查它們的名字、路徑以及登入賬戶、服務內容的「恢復「裡面有沒有重啟電腦的選項（有些機器不斷內容的重新啟動的秘密就在這裡）。一旦發現可疑的名字需要馬上禁止此工作行程的執行。

　　而要徹底刪除這些程式工作行程可以用下面的辦法：

　　打開註冊表編輯器,展開分支「HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices」,在右側視窗內中顯示的就是本機安裝的服務項，如果要刪除某項服務，只要刪除註冊表中相關鍵值即可。

　　3.除了上面兩種方法，我們還可以先檢視這個工作行程文件所在的路徑和名稱。重啟系統，按F8鍵進入安全模式，然後在安全模式下刪除這個程式。

　　這裡，筆者編寫了容易被大家認出來的非法工作行程服務（系統工作行程）舉例說明：HELLO-WORLD SERVICE 1。我們可以輕鬆地在工作行程列表和「服務」中找到它。根據上面的方法，我們可以把這個工作行程殺掉或禁用。

　　不少病毒和木馬是以用戶工作行程的形式出現的，所以大部分人認為「病毒是不可能獲得『SYSTEM』權限的」。其實，這是個錯誤的想法，很多病毒或木馬也能獲得SYSTEM權限，並偽裝成系統工作行程出現在你面前。所以這類病毒就相當容易迷惑人，遇到這種情況，只有不斷提高並關注系統安全方面的知識，才能準確判斷該工作行程是否安全。