上篇回顾:windows手工杀毒-寻找可疑进程之进程图标-CSDN博客
上篇中我们简单介绍了什么是电脑病毒,也介绍了一种发现可疑进程的方法即根据进程图标确认是否是病毒,这种方法存在的理论基础是,通过图标可以很容易在电脑上找到想要的文件,黑客通常会使用很多工具,为了区分功能和文件同样会使用图标。而这些图标也就间接标识了黑客组织。这篇我们介绍一种新的发现可疑进程的方法:进程名称
我们通过上节课介绍的工具查看进程列表,获取进程名称
可疑进程名称分类:
1. 固定进程名
这类进程每次运行时进程的名称都是一样的,有些病毒程序会冒充合法进程名。比如svchost是系统使用的进程名,且不同的电脑中数量可能不一样,恶意进程就可以使用svchost作为他的进程名。
2. 固定前缀加随机字符
很多合法进程的进程名很长,用户通常不会关注进程名后部分,病毒程序通过追加或修改这后部分字符,伪装合法的进程。试想一下如果出现一个你经常用的软件(PS,Chrom等)的前缀的长进程名,你会轻易发现它是恶意的进程吗?
3. 随机进程名
这类进程基本上都是恶意进程,是被EDR,杀毒软件等安全程序发现过的,并记录在监控规则中。为了逃避检测,使用随机的进程名。当然也有部分是合法的进程,比如部分安全软件,为了避免被恶意进程检测并关闭,也会采用随机进程名。至于怎么判断进程名是否是随机这可能涉及到更复杂的自然语言分析相关的技术,不过在这里我可以给出几个简单方法:
- 用搜索引擎搜索,看搜索到的结果条数。随机进程名搜索到的数目会少很多。这个很好理解因为随机值在网络中很少出现,搜索到的结果自然少
- 使用翻译软件尝试翻译进程名,随机进程名大概率翻译不出有意义的结果
总结:
恶意进程可能冒充合法的进程名,可能使用合法进程名前缀并拼接随机字符,也可以完全使用随机的进程名用来规避安全软件的检测。我们可以通过查看进程各个资源的使用率结合进程名查找可疑进程。比如一个进程在大量使用cpu,而且进程名是无意义的,那多半是恶意进程
