上一篇：多图!Longhorn 5048全球最火速试用 >>

用Longhorn“任务管理器”查木马

　　最近有网友将任务管理器从Longhorn测试版操作系统中剥离出来，放在网上供下载（http://www.cniti.com/soft/epc/2004-10/taskmgr.rar）。这个版本的任务管理器可以直接升级WindowsXP/Server 2003的任务管理器，而且同原有版本相比，在识别木马和分析系统方面的能力大大增强。今天就让我们来看看这个版本的任务管理器是如何揪出木马的。

　　Longhorn版任务管理器的源文件包括三个程序文件，分别拷贝到“C:\windows\system32\dllcache”和“C:\windows\system32”中，这个时候操作系统会弹出一个“Windows 文件保护”对话框，点击“取消”按钮，接着点击“是”按钮就可以了。

　　以前我们经常说可以利用进程来判断系统中是否有木马，但是旧版任务管理器在进程分析和判断方面功能过于弱小，对于一般用户来说掌握这种方法有一定难度。现在好了，Longhorn版“任务管理器”可以采用进程名、进程路径及用户名三方面相结合的方法来判断病毒及木马。

　　一般来说木马和病毒会采取两种途径潜伏在进程中。一是直接利用系统现有进程。比如explorer.exe、rundll32.exe这些进程。还有一种就是通过改头换面，生成新的进程，但进程名称同系统基本进程非常相似，不容易被发现。比如exlporer.exe、internet.exe。

　　后者主要是通过查看“映像名称”来揪出木马。而前者则需要分析进程所在路径。

　　在这里我们看到系统中有一个svchost.exe，这是WindowsXP中最熟悉的进程之一。但是当我们通过点击鼠标右键菜单的“打开所在目录”，却意外发现这个进程所在的路径是C:\Windows。要知道这个进程一般是在C:\windows\system32\下面。那么现在就可以初步判定这个进程存在问题。接下来通过专门的木马工具进行扫描。

　　其实还有更为简便的方法，利用“映像路径”直接判断进程是否存在问题。当然你首先需要在新版任务管理器面板上面打开“查看→选择列”，勾选其中的“映像路径”选项。然后回到“进程”选项卡，就能够直接看到svchost.exe进程的路径了，有没有问题就一目了然。

　　注意“用户名”也是另外一个发现进程是否正确的方法。如果是系统的进程（“用户名”为“SYSTEM”），则是正常的，如果是用户的进程，则可能是病毒了。比如，有一个svchost.exe进程的用户名是其它名字，那你就需要杀毒了。

　　总的来说，Longhorn版任务管理器在进程管理方面得到了大大改善，灵活利用它，将帮助你迅速发现系统中是否存在病毒或者木马，便于你及时进行清除。

　　小资料

　　基本进程：smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe、spoolsv.exe、explorer.exe、System Idle Process；

　　常见进程：internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe，

返回顶部

下一篇：对Longhorn系统的10个愿望 >>