NT系统启动时
NT系统会自动搜索C盘根目录下的文件explorerexe
受该网络蠕虫程序感染的服务器上的文件explorerexe也就是该网络蠕虫程序本身
该文件的大小是
字节
VirtualRoot网络蠕虫程序就是通过该程序来执行的
同时
VirtualRoot网络蠕虫程序还将cmdexe的文件从WindowsNT的system目录拷贝到别的目录
给黑客的入侵敞开了大门
它还会修改系统的注册表项目
通过该注册表项目的修改
该蠕虫程序可以建立虚拟的目录C或者D
病毒名由此而来
值得一提的是
该网络蠕虫程序除了文件explorerexe外
其余的操作不是基于文件的
而是直接在内存中来进行感染
传播的
这就给捕捉带来了较大难度
&rdquo
程序的文件名
再在整个注册表中搜索即可
我们先看看微软是怎样描述svchostexe的
在微软知识库
中对svchostexe有如下描述
svchostexe是从动态链接库DLL)中运行的服务的通用主机进程名称
其实svchostexe是WindowsXP系统的一个核心进程
svchostexe不单单只出现在WindowsXP中
在使用NT内核的Windows系统中都会有svchostexe的存在
一般在Windows
中svchostexe进程的数目为
个
而在WindowsXP2015 统一迎春特别版中svchostexe进程的数目就上升到了
个及
个以上
所以看到系统的进程列表中有几个svchostexe不用那幺担心
svchostexe到底是做什幺用的呢?首先我们要了解一点那就是Windows系统的中的进程分为
独立进程和共享进程这两种
由于Windows系统中的服务越来越多
为了节约有限的系统资源微软把很多的系统服务做成了共享模式
那svchostexe在这中间是担任怎样一个角色呢?svchostexe的工作就是作为这些服务的宿主
即由svchostexe来启动这些服务
svchostexe只是负责为这些服务提供启动的条件
其自身并不能实现任何服务的功能
也不能为用户提供任何服务
svchostexe通过为这些系统服务调用动态链接库DLL)的方式来启动系统服务
svchostexe是病毒这种说法是任何产生的呢?因为svchostexe可以作为服务的宿主来启动服务
所以病毒
木马的编写者也挖空心思的要利用svchostexe的这个特性来迷惑用户达到入侵
破坏计算机的目的
如何才能辨别哪些是正常的svchostexe进程
而哪些是病毒进程呢?svchostexe的键值是在&ldquo
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Svchost&r