什么是进程 病毒进程隐藏方法

发布时间:2017-03-01 14:44

进程是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,那么你对进程了解多少呢?以下是由小编整理关于什么是进程的内容,希望大家喜欢!

什么是进程 病毒进程隐藏方法

什么是进程

狭义定义:进程是正在运行的程序的实例(an instance of a computer program that is being executed)。

广义定义:进程是一个具有一定独立功能的程序关于某个数据集合的一次运行活动。它是操作系统动态执行的基本单元,在传统的操作系统中,进程既是基本的分配单元,也是基本的执行单元。

进程的概念主要有两点:第一,进程是一个实体。每一个进程都有它自己的地址空间,一般情况下,包括文本区域(text region)、数据区域(data region)和堆栈(stack region)。文本区域存储处理器执行的代码;数据区域存储变量和进程执行期间使用的动态分配的内存;堆栈区域存储着活动过程调用的指令和本地变量。第二,进程是一个“执行中的程序”。程序是一个没有生命的实体,只有处理器赋予程序生命时(操作系统执行之),它才能成为一个活动的实体,我们称其为进程。

进程是操作系统中最基本、重要的概念。是多道程序系统出现后,为了刻画系统内部出现的动态情况,描述系统内部各道程序的活动规律引进的一个概念,所有多道程序设计操作系统都建立在进程的基础上。

操作系统引入进程的概念的原因

从理论角度看,是对正在运行的程序过程的抽象;

从实现角度看,是一种数据结构,目的在于清晰地刻画动态系统的内在规律,有效管理和调度进入计算机系统主存储器运行的程序。

进程的特征

动态性:进程的实质是程序在多道程序系统中的一次执行过程,进程是动态产生,动态消亡的。

并发性:任何进程都可以同其他进程一起并发执行

独立性:进程是一个能独立运行的基本单位,同时也是系统分配资源和调度的独立单位;

异步性:由于进程间的相互制约,使进程具有执行的间断性,即进程按各自独立的、不可预知的速度向前推进

结构特征:进程由程序、数据和进程控制块三部分组成。

多个不同的进程可以包含相同的程序:一个程序在不同的数据集里就构成不同的进程,能得到不同的结果;但是执行过程中,程序不能发生改变。

病毒进程隐藏方法

当确认windows系统中存在病毒,但是通过“任务管理器”又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三种隐藏方法:

以假乱真

通常病毒的进程名称采用这样的命名方式:将系统中正常进程名中的o改为0,l改为i,i改为j。比如系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,而有些病毒会这样命名:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。微乎其微的进程名称差异让用户很难发现异常。

偷梁换柱

利用“任务管理器”无法查看进程对应可执行文件这一缺陷。比如svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是C:WINNTsystem32目录),如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。此时,仅仅从进程名称上是无法判断正常进程还是异常进程的。

借尸还魂

采用进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。

什么是进程 病毒进程隐藏方法的评论条评论