任何病【rèn hé bìng】毒和木马存在于系统中，都无法😗彻底和进程【jìn chéng】脱离关系【lí guān xì】，即使采🐡用了隐藏技术【cáng jì shù】，也还是【yě hái shì】能够从📉进程【jìn chéng】中🔧找到蛛【zhǎo dào zhū】丝马迹♌，因此，查看系统中活动的进程【jìn chéng】😴成为我【chéng wéi wǒ】们检测病毒木马最🍪直接的【zhí jiē de】方法❕。但是系统中同🖼时运行【shí yùn háng】🙀的进程【jìn chéng】😴那么多🚟，哪些是【nǎ xiē shì】正常的系统进程【tǒng jìn chéng】，哪些是【nǎ xiē shì】木马的【mù mǎ de】进程【jìn chéng】😴，而经常被病毒🍀木马假➖冒的系【mào de xì】统进程【tǒng jìn chéng】在系统🛷中又扮演着什🧓么角色【me jiǎo sè】呢？

病毒进程隐藏三法

当我们确认系统中存【tǒng zhōng cún】在病毒🦊，但是通【dàn shì tōng】🤮过“任务管【rèn wù guǎn】理器🤕”查看系统中的进程时🍹又找不出异样的进程，这说明【zhè shuō míng】病毒采🕗用了一【yòng le yī】些隐藏✴措施【cuò shī】，总结出来有三🐏法【fǎ】：

1.以假乱真

系统中【xì tǒng zhōng】的正常进【zhèng cháng jìn】程有🤷：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等⏲，可能你【kě néng nǐ】发现过🐃系统中【xì tǒng zhōng】存在这🔦样的进👀程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区【fā xiàn qū】别了么？这是病🍓毒经常使用的【shǐ yòng de】🦒伎俩，目的就😽是迷惑用户的【yòng hù de】🥛眼睛【yǎn jīng】🌛。通常它🥧们会将系统中【xì tǒng zhōng】正常进【zhèng cháng jìn】程名的【chéng míng de】o改为🍆0，l改为🍆i，i改为🍆j，然后成【rán hòu chéng】为自己的进程【de jìn chéng】名，仅仅一😮字之差【zì zhī chà】🚊，意义却完全不【wán quán bú】同。又或者🕧多一个🎂字母或【zì mǔ huò】少一个🗡字母【zì mǔ】，例如explorer.exe和iexplore.exe本来就【běn lái jiù】容易搞混【hún】👲，再出现个iexplorer.exe就更加混【hún】👲乱了。如果用户不仔细，一般就忽略了【hū luè le】，病毒的【bìng dú de】进程就逃过了😻一劫【yī jié】。

2.偷梁换柱

如果用【rú guǒ yòng】户比较【hù bǐ jiào】心细📸，那么上面这招【zhāo】🕸就没用【jiù méi yòng】🕘了【le】🔌，病毒会被就地🔜正法【zhèng fǎ】。于是乎，病毒也学聪明了【le】🔌，懂得了【le】🐐偷梁换柱这一💫招【zhāo】🕸。如果一个进程【gè jìn chéng】的名字【de míng zì】🐒为【wéi】✍svchost.exe，和正常的系统【de xì tǒng】➖进程名🤖分毫不🐋差。那么这个进程【gè jìn chéng】是不是【shì bú shì】就安全了【le】🔌呢？非也【fēi yě】，其实它🔚只是利【zhī shì lì】用了【yòng le】🈸“任务管【rèn wù guǎn】❄理器💏”无法查看进程🍎对应可【duì yīng kě】执行文【zhí háng wén】件这一缺陷。我们知道svchost.exe进程对应的可执行文【zhí háng wén】件位于“C:\WINDOWS\system32”目录下🦕（Windows2000则是【zé shì】🥡C:\WINNT\system32目录），如果病毒将自身复制到【dào】“C:\WINDOWS\”中【zhōng】，并改名😑为【wéi】✍svchost.exe，运行后，我们在【wǒ men zài】“任务管【rèn wù guǎn】❄理器💏”中【zhōng】看到【dào】的也是svchost.exe，和正常的系统【de xì tǒng】➖进程无异🐳。你能辨别出其中哪一【zhōng nǎ yī】个是病毒的进【dú de jìn】💰程吗【chéng ma】？

3.借尸还魂

除了上【chú le shàng】文中的【wén zhōng de】🍄两种方🥙法🍦外，病毒还有一招【yǒu yī zhāo】终极大法🍦——借尸还【jiè shī hái】💼魂。所谓的借尸还【jiè shī hái】💼魂就是病毒采用了进【yòng le jìn】🎎程插入技术【jì shù】，将病毒运行所【yùn háng suǒ】💕需的dll文件插入正常的系统【de xì tǒng】🚫进程中，表面上🦈看无任【kàn wú rèn】何可疑【hé kě yí】🐄情况【qíng kuàng】，实质上系统进🥃程已经被病毒控制了【kòng zhì le】⛎，除非我们借助专业的【zhuān yè de】进程检测工具，否则要想发现🛑隐藏在💁其中的病毒是【bìng dú shì】🚨很困难的。

　　＆＆＆我们平时在检【shí zài jiǎn】查进程的时候【de shí hòu】如果发🏊现有可疑🤲，只要根据两点来判断【lái pàn duàn】🔵：

1.仔细检查进程的文件名；

2.检查其路径。