當前位置:係統粉 >  係統教程 > Xp係統教程 >  判斷Explorer.exe進程真假

判斷Explorer.exe進程真假

時間:2015-04-16 來源:互聯網 瀏覽量:

   1. 什麼是Explorer.exe進程

  打開的電腦的任務管理器,可以看到這個進程,占用內存不大,大約10MB左右。結束這個進程後,打開的幾個窗口都關閉了,而且桌麵上的圖標也全沒有了。

  之所以出現這個情況,正是Explorer.exe在發揮作用。簡單地說,Explorer.exe進程就是操作係統的程序管理器,也就是我們平時說的資源管理器,用於管理操作係統之家的圖形界麵,包括開始菜單、任務欄,桌麵和文件管理。該進程隨係統一起啟動,直到係統關閉或者人為結束該進程。可以通過下麵的操作恢複桌麵到正常狀態:在“任務管理器”中,依次單擊“文件”-“新建任務(運行)”菜單。在打開的窗口中輸入“Explorer.exe”進程名單擊“確定”按鈕即可完成重建進程的過程了,桌麵環境也就恢複了。

  2.Explorer.exe容易被冒充

  首先,病毒還是會利用障眼法來幹擾大家,正常的進程名是Explorer.exe,而一些病毒的進程名則為ExpIorer.exe(用數字I代替了字母l),還有的病毒進程名為ExplOrer.exe(用數字0代替o),乍一看,根本就區分不出來 ,實在令人防不勝防。大名鼎鼎的MyDoom病毒就是通過Explorer.exe來進行破壞的。

  小知識 MyDoom是一種通過電子郵件附件和P2P網絡傳播的病毒,當用戶打開並運行附件內的病毒程序後,病毒就會以用戶信箱內的電子郵件地址為目標,仿造郵件的源地址,向外發送大量帶有病毒附件的電子郵件,同時在用戶主機上生成Explorer.exe進程。

  針對這類情況,除了我們留意進程名字外,還有其他方法進程檢測和防範呢?我們可以根據Explorer.exe進程的路徑來判斷,正常的Explorer.exe進程位於係統根目錄下(比如係統盤為C盤,則路徑為C:WindowsExplorer.exe),這裏我們可以借助一些進程輔助軟件來進行查看,比如“360”等能查看進程的軟件,觀察一下進程路徑。

  除此之外,在係統的system.ini文件中(C:Windowssystem.ini),在[BOOT]下麵有個“shell=文件名”。正確的文件名應該是“Explorer.exe”如果不是“Explorer.exe”而是“shell=Explorer.exe程序名”,那麼後麵跟著的那個程序就是“木馬”程序,這表明你已經中了“木馬”了。

  此外,在注冊表中的情況比較複雜,通過regedit命令打開注冊表編輯器,依次打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,注意有的“木馬”程序生成的文件很像係統自身文件,想通為偽裝蒙混過關,如“Acid Battery v1.0木馬”,它將注冊表“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的Explorer鍵值改為Explorer=“C:Windowsexpiorer.exe”,和ghost xp程序就差一個字母。這需要大家高度警惕。

  病毒除了通過文件名相似為偽裝Explorer.exe進程外,主要是通過線程插入技術來利用這個進程。比如說曾經的廣外幽靈、魔波病毒變種也是利用係統下載進程。線程插入技術使得這些病毒木馬可以將他們的服務端程序插入到正常的Explorer.exe進程中,從而讓用戶找不到病毒的蛛絲馬跡。對於這類采用線程插入的木馬病毒,我們可以借助“木馬輔助查找器”來進行查看,在“進程監控”選項中,勾選Explorer.exe進程,在下麵的DLL文件窗口中將顯示相應的DLL文件的路徑和文件名,發現可疑的最新xp係統下載文件,則直接終止相應的進程即可。當然,這需要大家對常見的木馬有基本的了解,否則操作起來就顯得比較難。

我要分享:
版權信息

Copyright @ 2011 係統粉 版權聲明 最新發布內容 網站導航