真假木马进程巧分辨（上）

经常上网而没中过木马的人，恐怕找不出多少，特别是菜鸟用户。我们怎么判断自己中了木马呢？最简单的是看系统是否变满了。如果表面现象不明显，我们又怎么判断呢？检测进程，把木马揪出来！
一、利用工具快速查木马
1. 用Procexp 揪出简单伪装的木马
Process Explorer 是一款进程查看工具，与Windows 任务管理器相比其功能更显强大，它不仅具备监视、暂停、终止进程的功能，而且还可以查看到进程所调用的DLL 文件，包括隐藏进程和内核进程。如果木马仅仅是简单的伪装了进程名，我们从Process Explorer 程序里，可以轻松将它找出。
运行“ Procexp 客户端” 程序，在编辑区下方的窗口所显示的信息，则是选择进程的详细内容，我们可以通过其提示得知进程主要调用哪些DLL 文件。这里展开普通进程树EXPLORER.EXE （如图1 ），从中找到自己认为可疑的程序，例如svch0st.exe 看似系统进程，竟然出现在了普通进程树里，因此可以肯定它就是运行在系统里的木马进程。

图1
小提示：有些木马为了迷惑用户，会将所运行的进程名称，更改成与其系统及为相近的进程名称，因此如不仔细观察，很容易让其木马“ 蒙混过关” 。
一般容易被伪装的系统进程有svchost.exe 、iexplore.exe 、explorer.exe 、winlogon.exe 、csrss.exe 等名称，其木马会在进程名上做修改，比如将里面的字母o 改成极为相似的数字0 ，字母l 改成数字1 等等。2. 利用《 智能杀毒伴侣》 分辨木马进程
智能杀毒伴侣是一款病毒木马清除工具，它可以帮助你自动分辨进程与木马的安全性，让你不必费心就能轻松揪出系统里的木马程序。运行《 智能杀毒伴侣》 客户端，在弹出的软件界面内，选择“ 进程管理” 标签，此时右侧编辑区就会显示出当前系统所有运行的程序进程，并且《 智能杀毒伴侣》 已经自动为进程作上了安全标记，其安全栏内有UN 出现的标记，都被视为可疑进程，对于这些进程请根据里面的“ 描述” 和“ 文件路径” 信息，来判定木马病毒即可（如图2 ）。

图2    智能杀毒伴侣
小提示：刚才《 智能杀毒伴侣》 检测出带有UN 标签的“ huigezi.exe ” 程序，里面没有进程描述，也没有文件路径信息，虽然勉强能判定是木马，但是其木马来历不详，以免错杀了其他辅助程序，因此这里用右键点击该进程，选择“ 百度搜索” 或者“ Google 搜索” 选项，来对不明进程进行查询，从而可以得知程序的真实身份。