1. 什么是Explorer.exe進程
打開的電腦的任務管理器��,可以看到這個進程,占用內(nèi)存不大��,大約10MB左右�����。結束這個進程后�����,打開的幾個窗口都關閉了��,而且桌面上的圖標也全沒有了�。
之所以出現(xiàn)這個情況,正是Explorer.exe在發(fā)揮作用����。簡單地說,Explorer.exe進程就是操作系統(tǒng)的程序管理器�����,也就是我們平時說的資源管理器�����,用于管理操作系統(tǒng)之家的圖形界面�,包括開始菜單���、任務欄,桌面和文件管理���。該進程隨系統(tǒng)一起啟動����,直到系統(tǒng)關閉或者人為結束該進程��?��?梢酝ㄟ^下面的操作恢復桌面到正常狀態(tài):在“任務管理器”中,依次單擊“文件”-“新建任務(運行)”菜單���。在打開的窗口中輸入“Explorer.exe”進程名單擊“確定”按鈕即可完成重建進程的過程了�,桌面環(huán)境也就恢復了����。
2.Explorer.exe容易被冒充
首先,病毒還是會利用障眼法來干擾大家��,正常的進程名是Explorer.exe��,而一些病毒的進程名則為ExpIorer.exe(用數(shù)字I代替了字母l),還有的病毒進程名為ExplOrer.exe(用數(shù)字0代替o)�,乍一看,根本就區(qū)分不出來 ���,實在令人防不勝防�����。大名鼎鼎的MyDoom病毒就是通過Explorer.exe來進行破壞的���。
小知識 MyDoom是一種通過電子郵件附件和P2P網(wǎng)絡傳播的病毒,當用戶打開并運行附件內(nèi)的病毒程序后���,病毒就會以用戶信箱內(nèi)的電子郵件地址為目標�����,仿造郵件的源地址�����,向外發(fā)送大量帶有病毒附件的電子郵件�����,同時在用戶主機上生成Explorer.exe進程����。
針對這類情況,除了我們留意進程名字外���,還有其他方法進程檢測和防范呢?我們可以根據(jù)Explorer.exe進程的路徑來判斷���,正常的Explorer.exe進程位于系統(tǒng)根目錄下(比如系統(tǒng)盤為C盤,則路徑為C:WindowsExplorer.exe)�,這里我們可以借助一些進程輔助軟件來進行查看��,比如“360”等能查看進程的軟件��,觀察一下進程路徑�。
除此之外,在系統(tǒng)的system.ini文件中(C:Windowssystem.ini)�����,在[BOOT]下面有個“shell=文件名”���。正確的文件名應該是“Explorer.exe”如果不是“Explorer.exe”而是“shell=Explorer.exe程序名”�,那么后面跟著的那個程序就是“木馬”程序,這表明你已經(jīng)中了“木馬”了�。
此外,在注冊表中的情況比較復雜��,通過regedit命令打開注冊表編輯器�����,依次打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun目錄下����,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE�����,注意有的“木馬”程序生成的文件很像系統(tǒng)自身文件��,想通為偽裝蒙混過關����,如“Acid Battery v1.0木馬”,它將注冊表“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的Explorer鍵值改為Explorer=“C:Windowsexpiorer.exe”�,和ghost xp程序就差一個字母���。這需要大家高度警惕。
病毒除了通過文件名相似為偽裝Explorer.exe進程外����,主要是通過線程插入技術來利用這個進程。比如說曾經(jīng)的廣外幽靈�、魔波病毒變種也是利用系統(tǒng)下載進程。線程插入技術使得這些病毒木馬可以將他們的服務端程序插入到正常的Explorer.exe進程中���,從而讓用戶找不到病毒的蛛絲馬跡��。對于這類采用線程插入的木馬病毒�����,我們可以借助“木馬輔助查找器”來進行查看,在“進程監(jiān)控”選項中��,勾選Explorer.exe進程�����,在下面的DLL文件窗口中將顯示相應的DLL文件的路徑和文件名���,發(fā)現(xiàn)可疑的最新xp系統(tǒng)下載文件��,則直接終止相應的進程即可����。當然,這需要大家對常見的木馬有基本的了解��,否則操作起來就顯得比較難���。
