自己又中了幻术,是什么时候?这个幻术又是什么作用?
他又是怎么知道自己脱离了前两个幻术!?
弘树立刻切换到进程的详细信息页面,按cpu使用率重新排序。虽然没有明显的“之术”进程,但他敏锐地发现了异常——几个本应正常的系统进程正在消耗着不该有的资源。
svchostexe,cpu占用28。这个数值让弘树皱起了眉头。
svchostexe是dows系统的核心进程文件,完整名称是servicehostprocess(服务宿主进程)作用是承载多个dows系统服务。
他右键点击这个进程,选择“打开文件所在位置”。
当文件资源管理器窗口弹出时,显示的路径让他心中一凛:c:\dows\tep\svchostexe
这个位置不对!
“这不对!真正的svchostexe应该在syste32目录下!”
弘树虽然不记得自己的这个金手指里有syste32,但他隐约记得,自己的系统是没有32位和64位的区别,对应的名称叫syste(>w<),是一个哈基米的头像标识!
这是一个伪装成系统文件的病毒文件!
弘树迅速切换到进程的“详细信息”标签页。
果然,描述栏一片空白,版本信息显示为“无”,最关键的是——数字签名状态显示为“未验证”。
“进程伪装!”弘树瞬间明白了对方的第二轮攻击手段。
大蛇丸放弃了直接注入完整的幻术程序,而是让恶意程序伪装成系统进程,试图蒙混过关!
幻术也可以做到如此地步吗!?哈基蛇,你究竟是怎么做到的!?
弘树没有犹豫,立刻修改防火墙的代码,添加了新的检测规则:
——代码——
关闭回显
::新增进程伪装检测
设置系统进程列表=“svchostexe,logonexe,csrssexe“
设置合法路径=“c:\dows\syste(>w<)\“
:扫描进程
::使用“任务列表”命令获取当前所有进程的详细信息
任务列表/v>进程快照tp
::逐个检查列表中的系统进程
为进程名在(系