可疑进程的藏身之处在哪里?
以前看到很多关于可疑进程的帖子,但我感觉好象没有一个很完美的解决方法,比如现在发现有可疑进程,我可以暂时把它关闭,重启又会出现,除了注册表里那几个RUN,可疑进程还可以通过什么方式开机运行?
还请各位知道的贴一下,也算作个汇总^_^
问题点数:20、回复次数:11Top
1 楼icuc88(职业特种兵)回复于 2005-01-25 10:59:09 得分 5
1、我们熟悉的Run/Winlogon之类的地方
2、IE的插件
3、ShellExecuteHooksTop
2 楼methuselah(三代目吸血鬼)回复于 2005-01-25 11:37:10 得分 3
借这讨论个问题,ring3的内存驻留程序可以拦截其他的进程创建吗?升到0呢?Top
3 楼jb99334(↑飞刀客↑)回复于 2005-01-25 12:26:22 得分 3
一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件。
注册表中RUN、RUNSERVEICE等几项
注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page)
HKEY_CLASSES_ROOT\inifile\shell\open\command和 HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改Top
4 楼funsuzhou(☆【处变不惊】☆)回复于 2005-01-25 12:27:00 得分 0
icuc88,能否具体一点呢?^_^Top
5 楼funsuzhou(☆【处变不惊】☆)回复于 2005-01-25 12:36:46 得分 0
希望知道的朋友贴一下Top
6 楼gamedna(要上进 天为什么是蓝色的???)回复于 2005-01-25 13:08:50 得分 3
跟一下
Top
7 楼mydo(侯佩|hopy|ks)回复于 2005-01-25 13:11:57 得分 3
[转贴]
隐藏进程的简单办法
http://www.77169.com/Article/Class33/Class34/200407/6268.html
win2k下隐藏进程
http://blog.csdn.net/3moods/articles/78129.aspx
更详细的请 See:
http://www.wzxg.com/sdbot/down/Article_Show.asp?ArticleID=6
Top
8 楼kowloons(0分帖先锋)回复于 2005-01-25 13:54:37 得分 3
给你的看家宝贝:“PrcView”-Process Viewer Application,一个顶呱呱的软件!
Top
9 楼funsuzhou(☆【处变不惊】☆)回复于 2005-01-25 19:48:07 得分 0
TO mydo(坎道斯)
我是要找出可疑进程的藏身之处,不是要隐藏进程^_^Top
10 楼icuc88(职业特种兵)回复于 2005-01-25 20:09:14 得分 0
您可以通过注册表搜索法搞到这些东西
运行regedit,搜索程序执行名字,然后可能会找到相关的GUID,然后搜索GUID,你就知道确切的位置了。
Top
11 楼funsuzhou(☆【处变不惊】☆)回复于 2005-01-26 09:19:28 得分 0
TO icuc88:
--我打算这样处理:
在注册表里查找可疑进程名,删除;
在注册表里查找可疑进程的GUID,删除
注册表里RUN和WINLOGON很多,不知道哪个是有效的!
IE插件如果包含可疑进程的话病毒程序能检测出来吗?检测不出来的话只能删除插件了
ShellExecuteHooks怎么用呢?Top
