Colección de citas famosas - Diccionario de frases chinas - En WinXP, ¿hay algún programa o virus que pueda ejecutarse en segundo plano sin aparecer en el administrador de tareas? ¿Por qué?

En WinXP, ¿hay algún programa o virus que pueda ejecutarse en segundo plano sin aparecer en el administrador de tareas? ¿Por qué?

¡Puedes pensarlo de esta manera! Déjame hacer algo de divulgación científica == 1. El administrador de tareas muestra el "proceso" de Windows. Pero puede haber muchos "hilos" en un proceso, y cada uno de estos hilos puede completar cosas diferentes. Por ejemplo, cuando navega por un sitio web, hay un hilo en iexplore.exe que es responsable de conectarse al sitio web y obtener los datos. atrás, y otro hilo es responsable de renderizar y mostrar lo que ves. Los virus y troyanos pueden "añadir" un hilo a su programa normal para ejecutar código malicioso. Por supuesto, no puede verlo en el administrador de tareas. 2. Los virus y troyanos también pueden crear un nuevo proceso y hacerlo invisible para usted. El principio es que cuando el Administrador de tareas muestra un proceso, envía una solicitud al kernel de Windows: "Por favor, deme una lista de los procesos que se están ejecutando actualmente". Si hay código malicioso en el kernel del sistema, la solicitud se puede interceptar y la lista devuelta se puede modificar para filtrar los procesos que el usuario no desea ver. 3. Incluso si el proceso se muestra en el administrador de tareas, es posible que no pueda verlo. ¿Sabe qué svchost.exe ejecuta un servicio normal y cuál svchost.exe ejecuta un servicio troyano de virus? ¿Qué significa cuando cmd.exe aparece en el proceso cuando no abre el símbolo del sistema? Aunque está firmado digitalmente por Microsoft, no necesariamente realiza operaciones normales. ¿Cómo descubrir estos autores intelectuales ocultos? 1. Compruebe si hay módulos anormales en el proceso; casi todo el software ARK (AntiRootkit) tiene esta función. Los módulos sin firmas digitales válidas suelen ser anormales y, en algunos software ARK, estos módulos se mostrarán en diferentes colores. 2. Verifique si hay controladores anormales en el kernel; algunos programas ARK tienen esta función y el método de identificación es el mismo que el anterior. 3. Compruebe si hay un gancho del kernel anormal (HOOK): el método de "interceptar solicitudes del kernel" presentado anteriormente es un gancho. Aunque los programas normales también pueden establecer ganchos de kernel, son muy raros (generalmente se encuentran en software antivirus, firewalls y entornos sandbox).

上篇: ¿Algunas preguntas sobre la aplicación de N2? 下篇: QQ felicidad y firma estética 81 frases