当然了,我们是来查杀木马的,当然不会满足于仅仅知道这是一组服务,这一组中是不是会藏着一个木马呢?所以,我们还要知道这一组服务都分别是哪一个,怎么来查看呢?再来看下图:03-5
上面的是什么呢?上面的就是我们在第一章中所提到的“
注册表”。依次选择–à开始—à运行—à输入“Regedit.exe”—-à确定。
就可以调用系统自带的注册表编辑器来打开注册表,再依次展开:HKEY_LOCAL_MACHINE—àSYSTEM—àCurrentControlSet—àServices,还记得上面03-4图中的服务名称么?对了就是那个“wuauserv”,在Services键下打开如上图所示的“wuauserv”再展开,选中其下面的“Parmeters”,看右边的窗口中,是不是找到了此服务所对应的程序文件了?就是那个C:\WINDOWS\system32\wuauserv.dll喽。
每一个Svchost.exe中的服务都可以通过这种方式找到其对应的程序文件。
看到这里,朋友们是不是头都大了?这么麻烦啊?查个进程居然这么麻烦,而且就算找到了,又怎么能知道C:\WINDOWS\system32\wuauserv.dll是正常的程序还是木马呢?
呵,不要着急,也不要怕。上面不是在教给你知识么,而且在当年,没有专业工具之前,我们可都是这么一个个来找的。当然了,现在有了各种专业工具,的确是没必要非手动去找了。再看下图03-6:
在狙剑的进程管理列表中(图03-2),选中Svchost.exe,然后按鼠标右键—à选择“查看模块”,就可以得到上图中的列表,注意被蓝条选中的那个是不是就是费半天劲所找到的那个:C:\WINDOWS\system32\wuauserv.dll呢?
找是找到了,可如何判断这是不是系统的服务模块呢?这一点
微软为我们想的很周到,他将大多数的系统文件都进行了数字签名,我们只需要检查一下这个文件有没有系统文件的数字签名,就可以准确的判断,这是不是一个系统文件。
