La seguridad informática siempre ha sido un problema en torno a Lao Zhang. Desde que entré en contacto con la computadora, ya lo he pasado bien porque no se puede encender la computadora. Por lo tanto, para un novato como él, la discriminación entre virus y troyanos es muy difícil. De hecho, en lo que respecta al virus actual, no importa qué medios se utilicen para ocultarlo, eventualmente ingresará al sistema en forma de proceso o servicio. Por lo tanto, cómo encontrar el proceso o servicio problemático se convierte en la clave para encontrar el virus. Ante tantos procesos y servicios del sistema, ¿cómo puede Lao Zhang encontrar el problema de manera efectiva? El hijo de Lao Zhang le presentó los siguientes trucos. Incluso si se trata de un novato, solo necesitas aprender a mirar "yan" ver "color", y puedes resolver el problema fácilmente. El primer truco: vista simple, encontrar pistas El proceso de exploración de seguridad es una herramienta de vista de proceso, en comparación con el administrador de tareas de Windows, su característica más importante es marcar el proceso del color. Verde puro significa muy seguro, rojo puro significa extremadamente peligroso, mientras que verde con rojo significa un riesgo para la seguridad. Cuanto más largo sea el bloque de color rojo, mayor es el riesgo. Si el nivel de seguridad está en blanco, significa que la seguridad no se puede juzgar temporalmente. Por supuesto, juzgar si el proceso tiene un problema no es suficiente para explicar el problema, ya que algunos virus adoptarán el método de inyección en el proceso normal, que se puede evaluar al ver información más detallada del proceso. Simplemente seleccione el proceso sospechoso, haga clic con el botón derecho, seleccione " detalles ", en la ventana abierta, puede ver el nombre del proceso, ID, prioridad, nombre de la empresa y otra información, haga clic en " módulo usado " La etiqueta también puede ver el archivo DLL al que llama, etc., como se muestra en la figura (SecurityProcessExplorer01.jpg), para identificar más el proceso y encontrar el proceso sospechoso. Para procesos sospechosos, puede hacer clic en el botón " proceso de máscara " en la ventana para agregar el proceso a la lista de bloqueados y finalizar la ejecución. El proceso bloqueado es generalmente difícil comenzar de nuevo. Para procesos desconocidos, además de protegerlos directamente, también pueden ayudar a la red a comprender la información relevante para juzgar la seguridad del proceso. Después de hacer clic en el proceso correspondiente, haga clic en el enlace "Más información" en la parte inferior de la ventana, y luego se abrirá una página web en inglés, que es el sitio web oficial de la compañía de software. Puede ver la evaluación del proceso realizada por el usuario. No importa si no entiende E. Simplemente haga clic en el botón " traducción " en su navegador para llamar a Google para la traducción. La traducción es bastante buena. La segunda medida: la especialización de la industria, la identificación inteligente del proceso svchost Creo que cuando abra el administrador de tareas, verá un proceso svchost.exe múltiple. Entonces, ¿qué están haciendo estos procesos svchost.exe? ¿Por qué es diferente de otros procesos, habrá más de uno? De hecho, svchost.exe es un programa del sistema que pertenece al sistema operativo Microsoft Windows, que se utiliza para ejecutar archivos DLL. Los servicios del sistema son ejecutados por él. Por esta razón, hay muchos virus que también simulan ser el proceso svchost.exe. ¿Cómo identificamos lo que hace cada proceso svchost.exe? ¿Cuál de los múltiples svchost.exes que aparecen en el sistema es seguro y cuál no es seguro? Aquí presento dos softwares pequeños específicamente para svchost.exe, para que puedas aprender a ver las flores en la niebla y verlas claramente. 1.Svchost Process Analyzer Svchost Process AnalyzerSvchost Process Analyzer es un programa de análisis de procesos de svchost que se utiliza para mostrar la información detallada del proceso de svchost que se ejecuta en el sistema operativo Windows. Primero abra el navegador en http://upload.cfan.com.cn/2014/1126/1416964313662.jpg). Si desea conocer un contenido más detallado, puede hacer clic en el botón " Detalles " y se mostrará el proceso de svchost detallado con diferentes identificadores. El rojo es problemático y debe comprobarse la seguridad. Si el usuario no es consciente de su seguridad, puede ser detectado al descargar el software de administración de tareas de Security Task Manager exportado por la empresa. El representante ecológico es el propio programa de Microsoft, y el amarillo representa un proceso de una compañía que no es de Microsoft, pero sigue siendo seguro. También hay algunas banderas grises que indican que no están activadas. Puede hacer clic en el botón gris para ver el estado del proceso específico y el SPA también identifica el proceso en el que es seguro o no. A través del criterio básico del SPA, podemos realizar algún procesamiento en el proceso identificado como inseguro para lograr la seguridad del sistema. . 2.svchost viewersvchost viewer es un software ecológico que puede ver específicamente los servicios ejecutados por svchost.exe. Se puede utilizar después de extraerlo a cualquier directorio. Después de ejecutar el visor de svchost por primera vez, se le solicitará que obtenga la información de svchost.exe. Haga clic en el botón " sí " el software analizará automáticamente todos los procesos que se ejecutan actualmente en el sistema, y esperará un momento para mostrarlo como una lista. La información de svchost.exe en el proceso se muestra en la Figura 2 (SV01.jpg). Haga clic en la lista de la izquierda para mostrar una descripción detallada del servicio relevante en la ventana derecha, y se le indicará el estado del servicio. Si svchost.exe no es un proceso importante del sistema, verá la marca √ después de que el servicio pueda detenerse a continuación, lo que significa que el proceso svchost.exe se puede cerrar, lo que ahorra recursos del sistema. Los servicios señalados por el inútil proceso svchost.exe también pueden cerrarse. Si sospecha de un proceso o no conoce la función del proceso, puede usar el administrador de procesos para ver el número PID del proceso, luego encontrar el valor PID correspondiente en el visor de eventos, abrir el subelemento correspondiente, puede ver el proceso en la ventana derecha Los detalles se han ido. Este contenido puede incluir el tamaño de los datos de lectura y escritura, la cantidad total de subprocesos, etc. Otra cosa a tener en cuenta es que el proceso svchost.exe normal debería estar en la carpeta windows \\ system32. En otros directorios, es muy probable que esté infectado con un virus o un troyano. Si ha confirmado que un proceso tiene un virus, puede forzar que se elimine con el comando ntsd. En la ventana de la línea de comandos, ingrese el comando ntsd -cq -p PID para eliminarlo a la fuerza. Debido al poderoso comando ntsd, puede eliminar todos los procesos excepto el sistema, SMSS y CSRSS.exe. Habrá problemas con el proceso de no poder eliminar. En resumen, los programas pequeños mencionados anteriormente tienen sus propias ventajas. El primero se centra en la seguridad general. El segundo se centra en la detección de procesos específicos. Combinar los dos y hacer un uso eficaz puede convertirse en un hip-hop para la seguridad informática.