文章大纲：

• 1、杀毒软件是怎么识别木马和病毒的
• 2、怎么辨别木马病毒进程和常见病毒进程
• 3、怎样才能鉴别什么样的是木马病毒？
• 4、病毒的种类，以及怎样区分他们，木马病毒怎样识别！！！
• 5、怎样辨别木马
• 6、怎么分辨自己中的是病毒还是木马?

杀毒软件是怎么识别木马和病毒的

目前大部分是通过特征码识别

即在木马样本里找出几段和待检测的程序样本进行匹配

匹配成功就说明它是XX木马或病毒

现在还有一个技术叫行为检测

监控系统的可疑行为来判断

比如同一一个木马

在运行时

它的行为是固定的流程

如果符合条件即为该木马/病毒

另外如果检测到和木马病毒相似行为的可疑操作

就报告给用户或杀软公司

再进行详细的判断.

以上是主流的两种 ***

其它每个杀软都有自己的特点和新技术

这在该杀软的介绍中有详细的说明

怎么辨别木马病毒进程和常见病毒进程

任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的 *** 。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看本文。

病毒进程隐藏三法

当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：

1.以假乱真

系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

2.偷梁换柱

如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下（Windows2000则是C:WINNTsystem32目录），如果病毒将自身复制到“C:WINDOWS”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？

3.借尸还魂

除了上文中的两种 *** 外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

系统进程解惑

上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

svchost.exe

常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”，而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。

在Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe；而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测 *** 也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“C:WINDOWSsystem32”目录外，那么就可以判定是病毒了。

explorer.exe

常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建任务”，输入“explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。

explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:Windows”目录，除此之外则为病毒。

iexplore.exe

常被病毒冒充的进程名有：iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像，因此比较容易搞混，其实iexplorer.exe是Microsoft Internet Explorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了，iexplorer.exe进程名的开头为“ie”，就是IE浏览器的意思。

iexplore.exe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中，存在于其他目录则为病毒，除非你将该文件夹进行了转移。此外，有时我们会发现没有打开IE浏览器的情况下，系统中仍然存在iexplore.exe进程，这要分两种情况：1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。

rundll32.exe

常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为“C:Windowssystem32”，在别的目录则可以判定是病毒。

spoolsv.exe

常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序，其作用是管理所有本地和 *** 打印队列及控制所有打印工作。如果此服务被停用，计算机上的打印将不可用，同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统资源。停止并关闭服务后，如果系统中还存在spoolsv.exe进程，这就一定是病毒伪装的了。

限于篇幅，关于常见进程的介绍就到这里，我们平时在检查进程的时候如果发现有可疑，只要根据两点来判断：

1.仔细检查进程的文件名；

2.检查其路径。

通过这两点，一般的病毒进程肯定会露出马脚。

找个管理进程的好帮手

系统内置的“任务管理器”功能太弱，肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具，例如Procexp。Procexp可以区分系统进程和一般进程，并且以不同的颜色进行区分，让假冒系统进程的病毒进程无处可藏。

运行Procexp后，进程会被分为两大块，“System Idle Process”下属的进程属于系统进程，

explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“System Idle Process”，如果你在“explorer.exe”中发现了svchost.exe，那么不用说，肯定是病毒冒充的。

怎样才能鉴别什么样的是木马病毒？

建议重启电脑按住F8，进入安全模式杀毒，使用360急救箱。360系统急救箱(原顽固木马专杀大全)包括各种流行木马的查杀工具，可以快速、准确地查杀各类流行木马，如：犇牛、机器狗、灰鸽子、扫荡波、磁碟机等。新版系统急救箱搭载了最新一代的云查杀引擎，拥有最强力的木马查杀能力。

病毒的种类，以及怎样区分他们，木马病毒怎样识别！！！

你好：

一.病毒的分类

二.木马的识别

一.病毒的分类

E-mail 蠕虫：E-mail 蠕虫通过E-mail来进行传播。大部分情况下，该类蠕虫通过将其自身的副本作为邮件的附件或正文中的链接发送，再诱骗接收者运行附件或点击链接下载文件的方式来进行传播。

IM 蠕虫：该类蠕虫通过IM（即时通讯工具）客户端进行传播，这一类的客户端包括：ICQ，MSN，AOL Instant Messenger，雅虎通， *** 或 Skype。

通常，这一类蠕虫都会使用联系人列表来发送包含一个链接的信息，这个链接可能会引导用去到其网站上下载一个包含该蠕虫副本的文件，当用户下载并运行该类文件后，蠕虫将激活。

IRC 蠕虫：这一类的蠕虫通过互联网多线聊天系统（IRC，一种用于多人在互联网上实时聊天的服务系统）来进入用户的计算机。

该类蠕虫将会在互联网聊天室中发布包含其副本的文件或是到此类文件的链接。当用户下载并打开此类文件时，病毒将被激活。

Net-蠕虫:该类蠕虫通过 *** 进行传播。

与其它种类的蠕虫不同， *** 蠕虫实在没有用户的参与下进行传播的。它们会搜索本地 *** 中使用了包含漏洞程序的计算机。为了实现搜索，它们会发送特殊的包含其自身代码或部分此类代码的 *** 数据包。如果 *** 中存在一个具有漏洞的计算机，这类计算机就将收到此类数据包。一旦蠕虫成功地完全感染该计算机，它就将激活。

P2P-蠕虫:文件交换蠕虫将通过点到点的文件交换 *** 进行传播，如：Kazaa，Grokster，EDonkey，FastTrack， *** 或 Gnutella。

其它蠕虫:其它的 *** 蠕虫还包括：

通过 *** 资源传播其副本的蠕虫。如通过可用的 *** 文件夹等进行传播。

使用不包含在以上表格中所列方式进行传播的蠕虫。

压缩包炸弹型木马程序:一类压缩包，当对它们进行解压缩时，它们的大小将会增大到足以让计算机工作中断的地步。当您尝试解开这一类压缩包时，计算机将会开始工作缓慢或是停滞，硬盘中将会被空的数据文件填满。压缩包炸弹对于文件和邮件服务器是最为危险的。

远程管理型木马程序:这一类的程序是木马程序中最为危险的，黑客可以通过它们随时对计算机进行远程管理。这些程序是在用户毫不知晓的情况下进行安装的， 然后其会将计算机的远程管理权限提供给入侵者。

木马:木马包含以下的恶意程序：

经典的木马程序： 该类木马只会执行木马程序的主要功能，如阻止、修改或清除数据，中断计算机或计算机 *** 的运行。它们不会具备该表格中描述的其它种类木马程序的特征。

多目的的木马程序：该类的木马具有其它木马程序的附加功能。

勒索敲诈型木马程序:该类木马程序会劫持用户计算机上的“人质”信息，修改或是隐藏这些信息，或是中断计算机的工作使用户无法使用这些数据。然后，入侵者会向用户要求赎金，以交换用户恢复数据的程序。

点击型木马:该类程序会从用户计算机来访问网页 - 它们会通过向网页浏览器发送命令或是替换存储在系统文件中的网页地址来实现这一操作。

入侵者通过使用这样的程序，就能够阻止针对某个网站的 *** 攻击，或是帮助某些网站增加访问量，提高广告条的播出率。

下载型木马:该类木马程序将会访问入侵者的网页，从其上下载其它的恶意程序，并将其安装在用户计算机上。它们会将可下载的恶意程序文件名存储在自身中或是在登录网站时从网站获取。

释放型木马:该类程序自身会包含其它的木马程序，能够将它们释放至计算机磁盘上并且安装。

入侵者可以使用释放型木马：

在用户不知情的情况下安装恶意程序：释放型木马在安全恶意程序时不会显示任何信息或是显示假冒的报错信息。如，提示压缩包有错误，或是与操作系统版本不兼容等；

保护其它的已知恶意程序不被发现：并不是所有的反病毒程序都能够检测出包含在释放型木马中的恶意程序。

通知型木马:这类木马程序会通知入侵者受感染的计算机已联网，并且把该计算机的相关信息发送给入侵者，包括：IP地址、开放端口号或邮件地址等。它们会通过邮件、FTP、访问入侵者网页或其它的方式与入侵者联系。

*** 型木马:这类木马将会帮助入侵者匿名使用用户的计算机作为访问网页的 *** ，也会使用户计算机发送垃圾邮件。

盗取密码型木马:会盗取密码的木马程序。它们会盗取用户的账户信息，如软件的注册信息等。它们会在注册表和文件系统中搜寻用户的私密信息，然后通过电子邮件、FTP或登录入侵者网站等方式将其传送给入侵者。

间谍程序型木马:该类程序用于对用户的行为进行刺探，它们会收集用户在计算机上的操作信息。如，它们会截取用户通过键盘输入的数据，对屏幕进行截屏，以及收集活动程序列表等。然后，它们会通过电子邮件、FTP或登录入侵者网站等方式将其传送给入侵者。

*** 攻击型木马:该类程序会从用户计算机端向远端的服务器发送大量的数据请求，服务器的资源就会被这样的攻击耗尽，从而停止服务(拒绝服务 (DoS))。该类程序常被用于感染大量的计算机，然后通过它们对服务器发起攻击。

等等，还有很多，以上只是一个简单的分类。要想查看更多相关信息，请访问：查询,该网站是卡巴斯基的网站。

二.木马的识别

1.简单分析（分析其行为）

2.逆向工程工具分析（IDAPro, OllyDBG, Immunity DBG, SoftICE,GDB）

1.利用工具查看该程序做了哪些操作（需要一定的专业知识）

2.病毒分析人员利用工具分析

1）精通X86，C,C++等

2）系统底层知识

3）熟悉各种常用互联网协议

4）熟练运用IDAPro, OllyDBG, Immunity DBG, SoftICE,GDB等逆向工程工具

5）熟悉Perl, Python等脚本语言

卡巴斯基Eric

怎样辨别木马

杀毒软件 如果你电脑有安装

那么一旦遇见木马 都是会提示你的

至少我用的腾讯电脑管家每次都这样的

木马（Trojan）这个名字来源于古希腊传说，

木马的种类很多，会造成各种不同的异常

例如：

1远程操作，这个也是数量多，危害大的一种

2信息发送，把你的信息发送到对方

3破坏性质，破坏计算机里面的文件，系统

一般中毒都是通过下载软件，浏览未知网页，

或者是接收陌生人给你发送的文件，

如果电脑中了木马建议尽快杀毒以免造成系统问题，

可以先做一次全盘杀毒，然后在改密码，

病毒没有清除就改密码，对方一样可以知道，

所以在杀毒完毕之后更改密码，

最后开启实时防毒保护。

怎么分辨自己中的是病毒还是木马?

因为根据病毒的课传染性，你可以插上一根空白的U盘，然后再把文件夹选项改下，看看U盘里面的空间是不是比没插前多了几K到几百K。当然假如是最新的病毒的话杀毒软件是不会报出来的。

而木马就不同了，木马是固定的程序，比如灰鸽子，damewareNT，盗Q木马，游戏木马....而只是他们生成的SERRVER.EXE只要他们的免杀技术到位，杀毒软件一般不会报出来的，他们种类也就那么多，这是和病毒本质的区别。

木马还有一种区分 *** ：你在进程里面看system.exe或者是IEXPLORER.EXE的用户权限假如是system的话，说明你的机子中灰鸽子木马了。

还有就是木马不可以传染给别的机子。他是不可传染性的，木马一般是你下的软件或者视频文件捆绑了它的，或者你浏览的网站被别人挂马的。而病毒 *** 是根据系统漏洞可以进行整个互联网的传播。除了ARP病毒。。所以想确定机子是