任何（hé）病毒和木馬存（cún）在於係統中，都無法徹底和（hé）進程（chéng）脫（tuō）離關係，即使采用（yòng）了隱藏技術，也還（hái）是能夠從進程（chéng）中找到（dào）蛛絲馬（mǎ）跡，因（yīn）此，查看係（xì）統中活動的進（jìn）程（chéng）成為我（wǒ）們檢測病毒木馬最直接的方法。但是（shì）係統中同時運行的進程那麽多，哪些是正常的係統進（jìn）程，哪些是木馬的進程，而經（jīng）常被病毒（dú）木馬假冒的係統進程在係統中又扮（bàn）演著什麽角（jiǎo）色呢？

病毒（dú）進程隱藏三法

當我（wǒ）們確認係（xì）統中存在病（bìng）毒，但是（shì）通過“任務管理器”查（chá）看係統中的進程時又（yòu）找不出（chū）異樣的進程，這說明（míng）病毒采用了（le）一些隱（yǐn）藏措施，總結出（chū）來有三法：

1.以假亂真

係統中的正（zhèng）常進程（chéng）有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等（děng），可能你發（fā）現過係統中存在這樣的進（jìn）程（chéng）：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。對比（bǐ）一下，發現區別（bié）了（le）麽？這是病毒（dú）經常使用的（de）伎倆，目的（de）就（jiù）是迷惑用戶的（de）眼睛。通常（cháng）它們會（huì）將係統中正常進程名的（de）o改為0，l改（gǎi）為i，i改（gǎi）為j，然後（hòu）成為自己（jǐ）的進程名，僅（jǐn）僅一字之（zhī）差，意義（yì）卻完全不（bú）同。又或者（zhě）多一個字母或少一（yī）個（gè）字母（mǔ），例如explorer.exe和iexplore.exe本來就（jiù）容（róng）易（yì）搞混（hún），再出現（xiàn）個iexplorer.exe就更加混亂（luàn）了。如果用戶不仔細，一般就忽略了（le），病毒的進（jìn）程就逃過（guò）了一（yī）劫。

2.偷（tōu）梁換柱

如果用戶比較心細，那麽上（shàng）麵這招就沒用了，病毒會被就地正（zhèng）法。於是乎，病（bìng）毒也學聰明了（le），懂得了偷（tōu）梁（liáng）換柱這一招（zhāo）。如果一個進程的名字為svchost.exe，和（hé）正常的係統進程名（míng）分毫（háo）不差（chà）。那（nà）麽這個進程是（shì）不是就安（ān）全（quán）了呢（ne）？非也（yě），其（qí）實它隻是（shì）利用了（le）“任務管理器”無法查看進程對應可執行文（wén）件這一缺陷。我們（men）知道svchost.exe進程對應的可執（zhí）行文件位於“C:\WINDOWS\system32”目（mù）錄下（xià）（Windows2000則是C:\WINNT\system32目錄），如果病毒將自身複製到（dào）“C:\WINDOWS\”中，並改（gǎi）名為svchost.exe，運行後，我們在“任務管理器”中看到的也是svchost.exe，和正常的係統進程（chéng）無異。你能辨（biàn）別出其中（zhōng）哪一個是病毒的進程（chéng）嗎？

3.借屍還魂

除了上文中的兩種方（fāng）法外，病毒還有一招終極（jí）大（dà）法（fǎ）——借屍（shī）還（hái）魂。所謂的借屍還魂就是病毒采用了進程插入技術，將病毒運行（háng）所需的dll文件插（chā）入（rù）正常的係（xì）統（tǒng）進程中，表麵上看無（wú）任何可疑情況，實質上係統進程已經被病毒控（kòng）製了（le），除非我（wǒ）們借助專業的進程檢測工具，否則要想發現（xiàn）隱藏在其中的病毒（dú）是（shì）很困難（nán）的。

　　＆＆＆我們平時（shí）在檢查（chá）進程（chéng）的時候如果發現有（yǒu）可疑，隻（zhī）要根據（jù）兩點來判（pàn）斷：

1.仔細檢（jiǎn）查進（jìn）程（chéng）的（de）文（wén）件名；

2.檢查其路徑。