後盾指是什麼
很多軟體會在後臺讀寫磁碟和訪問網路。如果後臺程序的磁碟讀寫資料量過大,會導致系統執行速度緩慢;頻繁訪問網路則會導致網速降低;而一些木馬也會透過訪問網路和木馬伺服器來通訊。那麼,如何快速地找出後臺正在讀寫磁碟和使用網路的程式,又如何透過網路連線歷史揪出可疑程式呢?下面筆者介紹一些實用的方法。
文|俞木發
1。 使用任務管理器找出此類程式
如果懷疑自己的電腦有異常,那麼可以利用任務管理器來檢視和判斷。啟動任務管理器後切換到“程序”選項卡,然後分別點選“磁碟”和“網路”執行排序。這樣,當前正在後臺訪問磁碟和網路的程序,會按照實際讀寫資料量和網路流量的大小排序。然後我們再根據本機的實際情況來判斷,就可以很快地找出異常程式。比如筆者的電腦在前臺並沒有執行大型程式,任務管理器中卻顯示磁碟佔比為100%,其中“Mainfree。exe”程序正在瘋狂地讀寫磁碟。
那麼這是一個什麼程式呢?切換到“詳細資訊”選項卡,在標題欄右擊並點選“選擇列”,在開啟的視窗中勾選“命令列”,這樣就可以在視窗中看到程序的詳細路徑。返回圖1所示的視窗並選中“Mainfree。exe”程序,右擊並選擇“轉到詳細資訊”,可以自動定位到指定的程序,再右擊該程序並選擇“開啟檔案所在的位置”。最後透過檢視檔案屬性、安裝路徑,就可以判斷為一個異常程序。用安全軟體掃描並清除後,電腦執行速度就恢復了正常。
2。 檢視程式使用網路的歷史
如前言所述,一些木馬程序會透過網路和伺服器通訊,但是很多時候只是定時聯絡或者每天只聯絡一次,而且在聯絡完成後很多程序還會自動退出,這樣依靠任務管理器就無法檢視。此時可以再借助“網路和Internet”元件檢視聯網的歷史記錄。
在工作列的搜尋框中輸入“網路和Internet”,接著在開啟該視窗後選中本機的網絡卡,如透過有線上網的使用者選擇“乙太網”,點選“資料使用量”。
在開啟的視窗中就可以看到最近30天所有程序的聯網記錄,將滑鼠懸停在程式上即可看到具體的路徑資訊。這裡我們可以根據程式路徑、名稱等加以甄別,比如筆者的電腦中名為“annid。exe”的程序聯網就比較可疑,不僅程式名怪異,而且是安裝在使用者的臨時目錄中。最終透過檢視檔案屬性和防毒掃描,發現正是一個後門病毒。
3。 透過資源監視器篩選活動程序
任務管理器可以顯示當前所有活動的程序,但是無法篩選程序。同時,對於網路連線的程序,也無法看到連線遠端伺服器的IP地址,這樣不方便快速地找到和甄別可疑程序。可以藉助“資源監視器”元件來彌補任務管理器的上述不足。
比如透過圖1已經知道“mainfree。exe”程序讀寫磁碟佔比較高,啟動資源監視器後切換到“磁碟”選項卡,勾選“mainfree。exe”程序,在下方展開“磁碟活動”,可以看到當前正在讀寫的檔案資訊,更便於甄別程序的性質。如該程序讀寫的是F盤目錄下的檔案,可以透過這個提示,開啟具體檔案檢視屬性,判斷其是否為惡意檔案。
而要檢視程序的網路連線資訊,則可以切換到“網路”選項卡,展開下方的“網路活動”,可以看到程序連線的IP地址、連線埠等資訊。透過IP地址可以對連線資訊加以判斷,比如發現“mainfree。exe”程序連線的都是國外的IP,而本機自身需要的軟體並沒有需要連線到國外IP的,因此該程序就極為可疑。
4。 藉助第三方軟體實時檢視
利用第三方軟體,可以在桌面上實時地檢視後臺程序讀寫磁碟和連線網路的有關資訊。比如Process Hacke(http://vrocesshacker。sourceforge。net/),啟動後會自動最小化到工作列托盤中,點選程式圖示並選擇“I/O”,再點選鎖定按鈕,還可以讓其始終在前臺顯示,這樣在桌面上就可以實時地看到當前讀寫磁碟的程序了。
如果要檢視後臺程序網路連線的資訊,在圖7所示的介面中點選“I/O”旁邊的下拉按鈕,切換到“Network”即可。而要檢視更詳細的連線資訊(如連線的埠等),則需要切換到程式主視窗,定位到“Network”選項卡中檢視。
CF