任何病毒和木马存在于电脑系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看病毒进程隐藏三法，他就能告诉您。

　　当我们确认系统中存在病毒，但是通过"任务管理器"查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：

　　一.以假乱真

　　系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

    常见系统进程解惑：

    进程文件：svchost 或 svchost.exe

    进程描述：svchost.exe是一个属于微软Windows操作系统的系统程序，微软官方对它的解释是：Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对你系统的正常运行是非常重要,而且是不能被结束的。因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，但如果你的svchost.exe进程不是在C:\windows\system32\这个目录下的话，那么就要当心了。

    进程文件：explorer 或 explorer.exe

    进程全称：Microsoft Windows Explorer

    中文名称：微软windows资源管理器

    进程描述：Windows 资源管理器，可以说是 Windows 图形界面外壳程序，它是一个有用的系统进程。注意它的正常路径是 C:\Windows 目录，否则可能是 W32.Codered 或 W32.mydoom.b@mm 病毒。explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播，当你打开病毒发送的附件时，即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。

    进程文件：iexplore 或 iexplore.exe

    进程名称：Microsoft Internet Explorer

    进程描述：iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪，和访问本地Interanet网络。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分，这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒，该病毒会终止你的反病毒软件，和一些Windows系统工具。

    进程文件：winlogon 或 winlogon.exe

　　进程名称：Microsoft Windows Logon Process

　　进程描述：Windows Logon Process，Windows NT 用户登陆程序，管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行，若不是以上路径且不以 SYSTEM 用户运行，则可能是 W32.Netsky.D@mm 蠕虫病毒，该病毒通过 EMail 邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建 SMTP 引擎在受害者的计算机上，群发邮件进行传播。

　　二.偷梁换柱

　　如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了"任务管理器"无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于"C:\WINDOWS\system32"目录下（Windows2000则是C:\WINNT\system32目录），如果病毒将自身复制到"C:\WINDOWS\"中，并改名为svchost.exe，运行后，我们在"任务管理器"中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？

    此时需要借助第三方软件来查看进程的所在目录，比较重要的系统进程，如：svchost.exe、winlogon.exe等，正常路径是 C:\Windows\System32，如果不是那么就要小心了。

    另外需要提醒大家注意的是，在选择用来查看进程或实现其它辅助功能的第三方软件时也要谨慎，不要随便安装一些不知名的小软件或系统插件，因为木马和病毒也往往会隐藏在其中。目前大部分的知名杀毒软件或与杀软配套的安全助手类工具，都具备基本的系统维护功能，如垃圾文件清理、进程管理、系统修复、启动项管理等。

    以瑞星卡卡安全助手为例，在进程管理功能中可以看到每个进程的对应命令行，安全助手已将所有进程进行了安全级别划分，智能识别出哪些是安全可靠的系统进程，哪些是无法判断的可疑进程和危险进程。

    这样一来，面对众多进程就不会感到无从下手了，我们可以跳过所有安全进程，主要关注那些未被识别的进程，判断与其对应的可执行文件是否为已知程序。

　　三.借尸还魂

　　除了上文中的两种方法外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

　　什么是进程插入技术？

    在Windows中，每个进程都有自己的私有内存地址空间，当使用指针(一种访问内存的机制)访问内存时，一个进程无法访问另一个进程的内存地址空间，比如QQ在内存中存放了一张图片的数据，而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性，如果你的进程存在一个错误，改写了一个随机地址上的内存，这个错误不会影响另一个进程使用的内存。

　　对于用户来说，独立的地址空间使操作系统将变得更加健壮，因为一个应用程序无法破坏另一个进程或操作系统的运行。但仍有很多种方法可以打破进程的界限，访问另一个进程的地址空间，那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后，就可以对另一个进程为所欲为，比如盗QQ。

　　普通情况下，一个应用程序所接收的键盘、鼠标操作，别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢？木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程，这样该木马DLL就赫然成为了QQ的一部分！然后在用户输入密码时，因为此时木马DLL已经进入QQ进程内部，所以也就能够接收到用户传递给QQ的密码键入了！

    如何清除采用进程插入技术，隐藏了进程的DLL病毒

    最常见的是进程插入explorer.exe和winlogon.exe中，目前很多杀毒软件针对这种动态链接库的病毒查杀，效果都不理想，有时杀毒软件甚至会出现误判。

　　插入explorer.exe中的DLL文件，大部分可以利用工具将DLL文件卸载，然后手工删除DLL病毒文件。

　　而插入winlogon.exe中的DLL文件，少数可以利用卸载，然后手工删除DLL病毒文件，但大部分是不可以"卸除"的，

　　对于上述两种不可以"卸除"的情况，需要在安全模式下，手工删除DLL病毒文件。

　　另外，目前还有些病毒或木马程序有时还会感染U盘，在U盘产生Autorun.inf和相应的EXE文件。