文章大纲：

• 1、杀毒软件是如何判断病毒（木马）？
• 2、怎么辨别木马病毒进程和常见病毒进程
• 3、怎样判断某个网站是否有病毒或者木马之类的？
• 4、下载东西老提示是病毒，怎样识别哪些是木马病毒？
• 5、如何判断一个网站是有病毒的呢？
• 6、如何判断我的电脑里是否有木马病毒啊???

杀毒软件是如何判断病毒（木马）？

杀毒软件判断病毒木马的方式如下：

特征库扫描法：检查文件中是否存在与常见病毒相同的代码。如果匹配，则说明存在病毒。由于该 *** 较慢，因此现在一般使用通配符扫描法进行代替。

云扫描法：将可疑文件上传到云服务器进行检查。需要 *** 连接。

虚拟机脱壳法：使用虚拟机引擎进行文件脱壳（仅支持部分壳类型）。脱壳后的文件将会进一步接受上两种扫描方式的检查。

怎么辨别木马病毒进程和常见病毒进程

任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的 *** 。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看本文。

病毒进程隐藏三法

当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：

1.以假乱真

系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

2.偷梁换柱

如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下（Windows2000则是C:WINNTsystem32目录），如果病毒将自身复制到“C:WINDOWS”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？

3.借尸还魂

除了上文中的两种 *** 外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

系统进程解惑

上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

svchost.exe

常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”，而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。

在Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe；而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测 *** 也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“C:WINDOWSsystem32”目录外，那么就可以判定是病毒了。

explorer.exe

常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建任务”，输入“explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。

explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:Windows”目录，除此之外则为病毒。

iexplore.exe

常被病毒冒充的进程名有：iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像，因此比较容易搞混，其实iexplorer.exe是Microsoft Internet Explorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了，iexplorer.exe进程名的开头为“ie”，就是IE浏览器的意思。

iexplore.exe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中，存在于其他目录则为病毒，除非你将该文件夹进行了转移。此外，有时我们会发现没有打开IE浏览器的情况下，系统中仍然存在iexplore.exe进程，这要分两种情况：1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。

rundll32.exe

常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为“C:Windowssystem32”，在别的目录则可以判定是病毒。

spoolsv.exe

常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序，其作用是管理所有本地和 *** 打印队列及控制所有打印工作。如果此服务被停用，计算机上的打印将不可用，同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统资源。停止并关闭服务后，如果系统中还存在spoolsv.exe进程，这就一定是病毒伪装的了。

限于篇幅，关于常见进程的介绍就到这里，我们平时在检查进程的时候如果发现有可疑，只要根据两点来判断：

1.仔细检查进程的文件名；

2.检查其路径。

通过这两点，一般的病毒进程肯定会露出马脚。

找个管理进程的好帮手

系统内置的“任务管理器”功能太弱，肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具，例如Procexp。Procexp可以区分系统进程和一般进程，并且以不同的颜色进行区分，让假冒系统进程的病毒进程无处可藏。

运行Procexp后，进程会被分为两大块，“System Idle Process”下属的进程属于系统进程，

explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“System Idle Process”，如果你在“explorer.exe”中发现了svchost.exe，那么不用说，肯定是病毒冒充的。

怎样判断某个网站是否有病毒或者木马之类的？

检查一个网站是否有病毒或者木马，可以使用Unmask

Parasites工具检测。

Unmask

Parasites使用步骤如下：

1、进入

Unmask

Parasites

网站后，界面如下图所示，输入要检测的网站并按“Check”按钮。

2、如果检测后得到的结果是绿色的“clean”，说明这个网站是安全的。

3、如果检测后得到的结果是红色的“suspicious”，说明这个网站可能有问题，检测报告中会给出问题的所在。

4、如果是你自己的网站，你可以根据提示的问题进行修复。如果是别人的，那你就只能在别人没有修复之前不去访问了

下载东西老提示是病毒，怎样识别哪些是木马病毒？

1.伪装成图片文件。这是黑客常用来骗别人执行木马的 *** 。将木马说成为图像文件，比如说是照片，只要入侵者扮成美眉及更改服务端程序的文件名为“类似”图像文件的名称，然后再假装传送照片给受害者，一般情况下受害者就会立刻执行它，致使电脑系统感染木马。

2.伪装成应用程序扩展组件。这类扩展组件的木马最难识别。黑客通常将木马程序写成各种类型的文件，然后挂到一个出名软件的安装目录中，由于软件本身很出名，所以通常不会有人怀疑它的安全性，更不会检查它的文件是否多了，当运行这个软件的时候，木马也会同时运行。

3.逆名木马伪装成JPG 、TXT文件。木马作者通过技术手段，使得文件名逆向显示为：扩展名+文件名(exe.txt)，让木马文件名看上去跟记事本文件完全一样，即使是经验丰富的IT技术人员也会很容易被该木马欺骗。

4.利用你的惯性点击心理，伪装成文件夹。把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹，很多人出于连续点击的习惯，点到那个伪装成文件夹木马时，也会收不住鼠标点下去，这样木马就成功运行了。

5.邮件冒名欺骗。该类木马植入的前提是，用匿名邮件工具冒充好友或大型网站、机构单位向别人发带木马附件的邮件，只要下载附件并打开的话就中木马了。

6.伪装成RAR等压缩文件。木马作者会将木马和一个热门的资源(比如 *** 照片)捆绑成一个自解压包文件，同时文件图标会更换成为RAR图标，由于图片相似度极高，用户很容易就误操作，同时，为了防止被用户识破木马，作者还会修改rar等压缩包的关键数据结构，这样一来用户很难通过解压的方式来辨别文件中是否包含木马。

如何判断一个网站是有病毒的呢？

整个有一套流程，每个环节都要注意，避免出错。

具体 *** 如下：

1、打开网址导航，如图

2、把网页向下拉到底部，点击网站检测，如图

3、只要把你的网址输入到这里就可以很快知道这个网站的安全性。

4、随便打开一个网址，如图

5、点击检测，立即就会检测出这个网站的安全的各项指标了，如图。

如何判断我的电脑里是否有木马病毒啊???

首先，查看system.ini、win.ini、启动组中的启动项目。由“开始-运行”，输入msconfig，运行Windows自带的“系统配置实用程序”。

1、查看system.ini文件

选中“System.ini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorer.exe”

，如果不是这样，就可能中了木马了。下图所示为正常时的情况：

2、查看win.ini文件

选中win.ini标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该为空

3、查看启动组

再看看启动标签中的启动项目，有没有什么非正常项目？要是有象netbus、netspy、bo等关键词，

极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态，不需要或无大用途的项目都

屏蔽掉了

4、查看注册表

由“开始-运行”，输入regedit，确定就可以运行注册表编辑器。再展开至：

“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己

不熟悉的自动启动文件项目，比如netbus、netspy、netserver等的单词。注意，有的木马程序生成的

服务器程序文件很像系统自身的文件，想由此伪装蒙混过关。比如Acid Battery木马，它会在注册表项

“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入

Explorer=“CWINDOWSexpiorer.exe”，木马服务器程序与系统自身的真正的Explorer之间只有一个字母

的差别！

通过类似的 *** 对下列各个主键下面的键值进行检查：

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

如果操作系统是Windows NT，还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容，如果有项目，那极有可能就是木马了。正常情况下，该主键下面是空的。

当然在注册表中还有很多地方都可以隐藏木马程序，上面这些主键是木马比较常用的隐身之处。除此之外，象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\ Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为木马的藏身之处。更好的办法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名，再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。

如果有留意，注册表各个主键下都会有个叫“（默认）”名称的注册项，而且数据显示为“（未设置键值）”，也就是空的。这是正常现象。如果发现这个默认项被替换了，那么替换它的就是木马了。

4、其它 ***

上网过程中，在进行一些计算机正常使用操作时，发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。

如果怀疑你现在正在被木马控制，那么不要慌张地去拔了网线或抽了Modem上的 *** 线。有可能的话，更好可以逮到“黑”你的那个家伙。下面就介绍一下相应的 *** ：

由“开始-运行”，输入command，确定，开一个MS-DOS窗口。或者由“开始-程序-MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示：

显示出来的结果表示为四列，其意思分别为Proto：协议，Local Address：本地地址，Foreign Address

：远程地址，State：状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常（比如大于5000

），而Foreign Address中的地址又不为正常 *** 浏览的地址，那么可以判断你的机器正被

Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非

法连接你计算机的木马客户端。

当 *** 处于非活动状态，也就是目前没什么活动 *** 连接时，在MS-DOS窗口中用netstat命令将看不

到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口

。对于Windows98来说，正常情况下，会出现如下的一些处于监听状态的端口（安装有NETBEUI协议）：

如果出现有不明端口处于监听（LISTENING）状态，而目前又没有进行任何 *** 服务操作，那么在监听该

端口的就是特洛伊木马了！如下图所示的23456和23457端口都处于监听状态，很明显是木马造成的。

注意，使用此 *** 查询处于监听状态的端口，一定要保证在短时间内（更好5分钟以上）没有运行任何

*** 冲浪软件，也没有进行过任何 *** 操作，比如浏览网页，收、发信等。不然容易混淆对结果的判断。