如何通过系统进程分析病毒

现在很多朋友依靠杀毒软件来修复电脑上的病毒。其实常见的几种病毒都喜欢冒充系统文件，无论如何，如果发现电脑异常先检查自己的进程有没有问题，通常病毒冒充的进程名称有：svch0st.exe、schvost.exe、scvhost.exe。我们可以查看系统进程，分析并发现病毒。

现在随着Windows系统服务的日益增多，为了节省系统资源，微软已经使许多服务以共享的方式，由svchost.exe进程来启动。我们一定要了解进程里面的病毒常用，迷惑了你的一些进程程序，做防范，也要知道，下面几个小例子也是常见的几个病毒喜欢的系统文件。

svchost.exe简介

我们可以打开“控制面板”“管理工具”“服务”，双击“剪贴簿”服务，对应的可执行文件路径可以在其属性面板中找到“C:\WINDOWS\system32\clipsrv.exe”。双击Alerter服务。可执行文件的路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”。“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这个调用，您可以节省大量的系统资源，所以多个svhost。系统上的前任实际上只是系统服务。

在Windows2000中，通常有两个svchost.exe进程：一个是RPCSS(RemoteProcedureCall)服务进程，另一个是由多个服务共享的svchost.exe进程。在WindowsXP中，通常有四个以上的svchost.exe服务进程。如果svchost.exe进程超过5个，就要小心了。可能是假病毒检测方法非常简单。如果它位于C:\WINDOWS\system32目录之外，则可以确定它是病毒。

explorer.exe

Exe、explorer . Exe和explorer . Exe进程经常被病毒冒充。exe是我们经常使用的“资源管理器”。如果在任务管理器中结束explorer.exe进程，包括任务栏、桌面和打开的文件在内的所有内容都会消失。点击“任务管理器”“文件”“新建任务”，输入“explorer.exe”，消失的东西又会出现。explorer.exe进程的任务是让我们管理计算机上的资源。

“explorer.exe”进程默认随系统启动，其对应的可执行文件在“C:\Windows”目录下，否则为病毒。

iexplore.exe

常见的病毒模拟进程名有：iexplorer.exe、iexplorer.exe、iexplorer.exe、iexplorer.exe。Exei和explorer.exe进程的名称与上面的explorer.exe进程相似，因此很容易混淆。iexplorer.exe是由Microsoft Internet Explorer(我们使用的Internet Explorer浏览器)创建的进程。“iexplorer.exe”进程名称以“ie”开头，即ie浏览器的含义。

“iexplorer .exe”进程对应的可执行程序在“C:\ProgramFiles\InternetExplorer”目录下。除非您移动该文件夹，否则它在任何其他目录中都是病毒。另外，有时我们会发现在没有打开ie浏览器的情况下，系统上仍然存在iexplorer .exe进程。这可以在两种情况下完成：1。该病毒模拟iexplorer .exe进程名。2. 该病毒秘密地在后台使用iexplorer .exe做坏事。因此，最好使用杀毒软件将其杀死。

rundll32.exe

进程名为“rundl132.exe”和“rundl32.exe”。rundll32.exe在系统中的作用是执行DLL文件的内部功能。系统中“Rundll32.exe”进程个数表示由“Rundll32.exe”启动的DLL文件个数。Exe rundll32。其实我们经常使用，他可以控制系统的一些DLL文件，例如，在“命令提示符”中输入“rundll32”。Exe user32。DLL, LockWorkStation”，回车返回，系统将迅速切换到登录界面。“rundll32.exe”的路径为“c:\ windows \system32”。在其他目录中，您可以确定它是病毒。

spoolsv.exe

常被病毒冒充的进程名有：spo1sv .exe和spolsv.exe。spolsv .exe是与系统服务“打印假脱机程序”对应的可执行文件，它管理所有本地和网络打印队列并控制所有打印工作。如果禁用此服务，则计算机上的打印将不可用，并且spolsv .exe进程将从计算机上消失。如果没有打印机设备，请将其关闭以节省系统资源。停止并关闭服务后，如果系统上仍然存在“spoolsv.exe”进程，则该进程一定是病毒。