如何通过系统进程分析病毒

　　如何通过系统进程分析病毒
　　现在好多朋友都依赖杀毒软件搞定电脑上的病毒。其实常见的几种病毒喜欢假扮系统文件，不管怎么样，如果发现电脑出现异常先查看你的进程有没有出现问题，常被病毒冒充的进程名有：svch0st。exe、schvost。exe、scvhost。exe。我们完全可以通过查看系统进程，分析并发现病毒。
　　现在随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost。exe进程来启动。我们一定要认识进程里面病毒常用的、迷惑大家的一些进程程序，做到有所防，也要有所知才行，下面举的几个小例子也是常见的几种病毒喜欢的系统文件。
　　svchost。exe简介
　　我们可以打开ldquo；控制面板rdquo；rarr；ldquo；管理工具rdquo；rarr；服务，双击其中ldquo；ClipBookrdquo；服务，在其属性面板中可以发现对应的可执行文件路径为ldquo；C：WINDOWSsystem32clipsrv。exerdquo；。再双击ldquo；Alerterrdquo；服务，可以发现其可执行文件路径为ldquo；C：WINDOWSsystem32svchost。exekLocalServicerdquo；，而ldquo；Serverrdquo；服务的可执行文件路径为ldquo；C：WINDOWSsystem32svchost。exeknetsvcsrdquo；。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost。exe，其实只是系统的服务而已。
　　在Windows2000系统中一般存在2个svchost。exe进程，一个是RPCSS（RemoteProcedureCall）服务进程，另外一个则是由很多服务共享的一个svchost。exe；而在WindowsXP中，则一般有4个以上的svchost。exe服务进程。如果svchost。exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost。exe的可执行文件路径，如果在ldquo；C：WINDOWSsystem32rdquo；目录外，那么就可以判定是病毒了。
　　explorer。exe
　　常被病毒冒充的进程名有：iexplorer。exe、expiorer。exe、explore。exe。explorer。exe就是我们经常会用到的ldquo；资源管理器rdquo；。如果在ldquo；任务管理器rdquo；中将explorer。exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击ldquo；任务管理器rdquo；rarr；ldquo；文件rdquo；rarr；ldquo；新建任务rdquo；，输入ldquo；explorer。exerdquo；后，消失的东西又重新回来了。explorer。exe进程的作用就是让我们管理计算机中的资源。
　　explorer。exe进程默认是和系统一起启动的，其对应可执行文件的路径为ldquo；C：Windowsrdquo；目录，除此之外则为病毒。
　　iexplore。exe
　　常被病毒冒充的进程名有：iexplorer。exe、iexploer。exei、explorer。exe进程和上文中的explorer。exe进程名很相像，因此比较容易搞混，其实iexplorer。exe是MicrosoftInternetExplorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了，iexplorer。exe进程名的开头为ldquo；ierdquo；，就是IE浏览器的意思。
　　iexplore。exe进程对应的可执行程序位于C：ProgramFilesInternetExplorer目录中，存在于其他目录则为病毒，除非你将该文件夹进行了转移。此外，有时我们会发现没有打开IE浏览器的情况下，系统中仍然存在iexplore。exe进程，这要分两种情况：1。病毒假冒iexplore。exe进程名。2。病毒偷偷在后台通过iexplore。exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。
　　rundll32。exe
　　常被病毒冒充的进程名有：rundl132。exe、rundl32。exe。rundll32。exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32。exe进程，就表示Rundll32。exe启动了多少个的DLL文件。其实rundll32。exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在ldquo；命令提示符rdquo；中输入ldquo；rundll32。exeuser32。dll，LockWorkStationrdquo；，回车后，系统就会快速切换到登录界面了。rundll32。exe的路径为ldquo；C：Windowssystem32rdquo；，在别的目录则可以判定是病毒。
　　spoolsv。exe
　　常被病毒冒充的进程名有：spoo1sv。exe、spolsv。exe。spoolsv。exe是系统服务ldquo；PrintSpoolerrdquo；所对应的可执行程序，其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，计算机上的打印将不可用，同时spoolsv。exe进程也会从计算机上消失。如果你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统资源。停止并关闭服务后，如果系统中还存在spoolsv。exe进程，这就一定是病毒伪装的了。