close
以往我們在抓病毒或者是木馬的時候最怕的就是木馬將自己透過dll injection將自己隱藏在正常的執行程序裡面,因此如果我們只用工作管理員來看的話,很難看得出這些正常的程序另外引用了哪些程序或者是這些程序的關連性,所以Process Explorer就可以幫助我們來處理這些問題。
在Process Explorer中,會將正在被執行的程式以紫色標示起來,我們可以透過分析這些程式、程式的實體路徑以及程序間的關連性來幫助我們更有效的發現問題。
今天我幫一個老師處理電腦中毒問題,他的電腦被好幾隻木馬以及病毒入侵,其中有幾隻是被放在Norton的資料夾下的,在幫他清完病毒後發現CPU Load還是會忽高忽低,經過檢查後發現是winlogon.exe這是系統程序在作祟,因此用Process Explorer來看看是哪裡出問題,後來發現winlogon.exe的load都是下面的vptray所貢獻的,很明顯的防毒軟體有問題(不管重開幾次都一樣),所以重灌防毒之後一切就正常了。
在Process Explorer中,會將正在被執行的程式以紫色標示起來,我們可以透過分析這些程式、程式的實體路徑以及程序間的關連性來幫助我們更有效的發現問題。
今天我幫一個老師處理電腦中毒問題,他的電腦被好幾隻木馬以及病毒入侵,其中有幾隻是被放在Norton的資料夾下的,在幫他清完病毒後發現CPU Load還是會忽高忽低,經過檢查後發現是winlogon.exe這是系統程序在作祟,因此用Process Explorer來看看是哪裡出問題,後來發現winlogon.exe的load都是下面的vptray所貢獻的,很明顯的防毒軟體有問題(不管重開幾次都一樣),所以重灌防毒之後一切就正常了。
全站熱搜
留言列表
IT技術 (4)