網際論壇 - 軟體綜合研討 - [教學]如何利用Process Explorer及TCPView觀察記憶體中的問題程序及對外連線行為
» 遊客:  註冊 | 登錄 | 會員 | 幫助
 

免費線上小說
動漫分類 : 最新上架熱門連載全本小說最新上架玄幻奇幻都市言情武俠仙俠軍事歷史網游競技科幻靈異 ... 更多小說

作者:
標題: [教學]如何利用Process Explorer及TCPView觀察記憶體中的問題程序及對外連線行為 上一主題 | 下一主題
  johnson784069
  VIP會員 
  超愛玩美


 
  積分 26743
  發文 222
  註冊 2005-10-26
  來自 AV星球
  狀態 離線
#1  [教學]如何利用Process Explorer及TCPView觀察記憶體中的問題程序及對外連線行為

[轉載]如何利用Process Explorer及TCPView觀察記憶體中的問題程序及對外連線行為

Process Explorer

(下載點: http://www.sysinternals.com/Utilities/ProcessExplorer.html)

當我們懷疑記憶體中有木馬病毒或遠端遙控程式在常駐的時候,我們常會打開工作管理員來檢查,可是工作管理員只顯示執行中程式的名稱,卻無法顯示該程式的所在目錄,倘若問題程式是以類似某系統程式的名稱出現,自然很容易可以判斷程式的真偽,不過萬一問題程式是以相同於某系統程式的名稱出現,那就很容易讓管理者產生誤判了。

舉例來說,Windows系統有一支相當重要,卻常被冒名的系統程序svchost.exe,它存放在%Systemroot%\System32(註1)目錄下,木馬病毒常以類似的檔案名稱如svhost.exe、svhost32.exe或svch0st.exe出現,以混淆管理者的視聽,其中W32.Welchia.Worm病毒更以同檔名、不同存放目錄的方式(註2)出現。透過工作管理員是很難有效判斷程式真偽的,所以在此介紹各位改用Sysinternals的免費程式Process Explorer來替代工作管理員。只要透過簡單的設定修改,就可以在Process Explorer主畫面下觀察到所有執行中程序的所在目錄,因此對於以同檔名不同存放目錄出現的問題程式就能夠一眼看穿了。

(註1. %Systemroot%是指Windows XP的預設安裝目錄C:\Windows或Windows 2000的預設安裝目錄C:\Winnt。

註2. W32.Welchia.Worm病毒的svchost.exe程式存放在%Systemroot%\Wins目錄下,與真正的系統程序svchost.exe是分別存放在不同目錄下的。)

第一次執行Process Explorer,將看到如下畫面。在畫面中,您可以看見目前在記憶體中執行的所有程序,甚至每支程序所連結的動態連結資料庫(DLL)檔案,不過在原始主化中式無法看見每隻執行程序的所在目錄的,因此請依照下列說明修改顯示設定。



請拉下上方的View選單,選取Select Columns選項。



這時會開啟一個標題為Select Columns的設定畫面,請切換畫面到Process Image分頁,然後勾選Image Path設定,並點取下方的確定按鈕。



回到主畫面下,這時您就可以看到每一支執行中程序的所在目錄了,像W32.Welchia.Worm病毒這種以同檔名、不同存放目錄的方式出現的冒牌系統程序,就再也逃不過您的法眼了。



如果您還是無從判定哪支執行程序是真、哪支執行程序是假的話,建議您下拉File選單,執行Save as指令將畫面結果另存檔案,並將檔案內容貼到版上,這樣版上眾高手就可以根據您的執行程序幫您找出問題程序了。


TCPView

(下載點: http://www.sysinternals.com/Utilities/TcpView.html)

很多朋友問我,要怎樣才能觀察自己的電腦有沒有異常的連線行為,在過往我會建議對方利用netstat –an的指令做連線查詢,可是眼尖的看倌應該會發現一個問題,就是我沒辦法從netstat –an的查詢結果看出究竟是哪支程式在對外連線,這樣我要怎麼追查造成異常連線的程式究竟是哪一支呢?



TCPView的優點就是補足netstat –an指令的不足之處,它不但會顯示所有對外連線記錄,還會顯示每筆連線記錄是由哪支程式造成的,雖然在TCPView畫面中無法看出連線程式的所在目錄,不過只要搭配上述介紹的Process Explorer就可以輕易看出端倪了。





2005-12-21 04:28 PM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  hans
  資深會員 
 


  積分 3255
  發文 144
  註冊 2005-9-7
  狀態 離線
#2  

有學習到了,魔法兔子也有相似的功能唷!
感謝你囉~~~




2005-12-22 01:24 AM
查看資料  發短消息   編輯文章  引用回覆

可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題

論壇跳轉選單: