在計算機技術飛速發展的今天，計算機病毒作為影響計算機系統正常運行的主要因素之一，其不斷演變發展已讓眾多計算機系統遭受癱瘓和失控的危害。計算機病毒的隱藏性增加了人們發現和消除病毒的難度，但技術人員往往可以通過查看系統中的活動進程來發現潛在的計算機病毒，在其傳染和潛伏過程中主動進行分析和處理，避免更多計算機系統遭受病毒破壞。

1計算機病毒基本概念和特征

在已知的計算機病毒中，只有少部分病毒不帶有惡意攻擊，絕大多數病毒都會攜帶致命的有毒代碼，在一定環境下破壞計算機系統。計算機病毒具有以下特征。（1）隱蔽性。病毒進程總是會通過某些外來程序或網絡鏈接感染計算機系統，使用者往往毫不知情。而等到病毒效應發作，就會帶來嚴重的后果。（2）傳播性。計算機病毒具有很強的傳染和繁殖能力，導致計算機一旦感染，就會立刻發作，顯示出系統無法識別的錯誤。其傳播途徑廣泛，可以通過U盤、網絡連接等完成自動侵入。（3）潛伏期較長。一般情況下，計算機病毒進程可以在系統中長期潛伏而不發作，需要滿足一定的外部激發條件，才能攻擊計算機系統。（4）破壞性強。計算機病毒一旦發作，計算機系統就會遭受嚴重的破壞，首先計算機系統不再受使用者控制，導致數據丟失，文件損壞，系統癱瘓，用戶容易泄露計算機中的隱私信息，造成巨大的困惑和麻煩。（5）針對性明確。計算機病毒進程的開發，往往具有明確的針對性，其可以在用戶的某次動作后，實施環境啟動，并開始攻擊目標對象。

2計算機病毒在進程中的產生運行狀態

2.1無線電傳播

無線電傳播是通過無線電將計算機病毒進程發射到計算機系統中。主要可能的渠道包括通過發射機的無線發射，病毒直接由接收機器處理和盲點復制到整臺設備中；計算機病毒偽裝成合法的程度代碼，通過規范的標準協議和數據格式，同其他合法信號一同進入接收裝置；病毒還能通過不斷尋找接收裝置中安全防護等級薄弱的點射入數據鏈路中，迅速進行非法繁殖，成功感染設備。

2.2硬件連接傳播

計算機病毒通過感染便于攜帶的硬盤和軟件等，通過這些硬件設備與計算機的連接，直接傳染到計算機系統中。需要動作時，只需等待進程激活就能達到破壞的目的。

2.3利用計算機漏洞

后門是計算機安全系統的一個漏洞，病毒經常以攻擊后門的形式破壞計算機系統。攻擊后門的形式較多，如控制電磁脈沖，將病毒注入目標系統。

2.4遠程修改數據鏈路

計算機病毒可以通過使用遠程修改技術，利用計算機系統數據鏈路層的控制功能完成入侵。病毒進程能完整地隱藏在計算機操作系統的正常進程序列中，并在系統啟動運行過程中全面運行。

3計算機病毒進程隱藏方式

3.1冒充正常進程

計算機系統中，常見的進程主要有：explorer.exe，winlogon.exe，svchost.exe，ieplore.exe等。但有時點擊進程序列，能發現諸如explore.exe，winlogin.exe，svch0st.exe，ieplorer.exe的進程，看似屬于正常進程，實際已被病毒侵染。這些進程可以迷惑用戶，通過修改某些字母來更改自身的文件名稱，使其近似于正常進程，若用戶不注意，很難對這些細微變化做出反應，這樣情況下，計算機病毒就入侵成功。

3.2盜用正常進程名

第一種情形，很多細心的用戶能很快發現并手動刪除。于是，病毒制造者更新了隱藏病毒的方法。如將進程名稱改成與正常進程一致。其利用計算機的“任務管理器”無法對一切可執行的文件進行一一查看的設計缺陷，加大了計算機中毒的風險。

3.3強行插入進程

有些病毒程序能將病毒運行必需的dll文件利用進程插入技術，在正常進程序列中插隊排列。一旦插入，計算機系統就宣告中毒，只有借助專業的自動檢測工具才能找到其中深藏的計算機病毒進程。

4計算機病毒在進程中的隱藏處理

4.1explorer.exe

此進程是我們常用到的“資源管理器”，作用是管理計算機中的一切資源。常見的被冒充的進程名有：iexplorer.exe，expiorer.exe，explore.exe，explorer.exe等。如果在“任務管理器”中關閉explorer.exe進程，計算機桌面及任務欄和當前打開的文件都會消失不見。但當依次單擊“任務管理器—文件—新建任務”后，輸入explorer.exe，就會重新顯示消失的畫面。總體來講，正常的explorer.exe進程采取的是系統默認值，啟動隨系統一起進行，在“C：\Windows”目錄路徑下，能找到其對應的可執行文件。一旦不符合上述條件則是病毒進程。

4.2spoolsv.exe

spoolsv.exe進程作為系統打印服務“PrintSpooler”所對應的可執行程序，其作用是管理與計算機關聯的所有本地和網絡打印隊列的打印工作。其常被干擾病毒冒充和頂替的進程名有：spoo1sv.exe，spolsv.exe，spoolsv.exe等。如果停用“PrintSpooler”服務，計算機所有關聯的打印功能將不能正常運行，同時，點開進程列表發現spoolsv.exe進程也消失不見。如果安裝計算機后需要打印機設備，那么，為節省計算機系統資源，可以把“PrintSpooler”服務關閉掉。停止并關閉“PrintSpooler”服務后，如果發現系統進程中還存在spoolsv.exe進程，那就可以肯定該進程是病毒進程偽裝的。

5結語

計算機病毒雖然在進程中能進行很好的偽裝隱藏，但只要多加留意，認真檢查就能及時清除病毒。用戶在檢查計算機系統進程時，可根據兩點來及時判斷隱藏的可疑病毒進程：第一是觀察核實不確定的進程文件名；二是檢查正在運行的進程對應執行的文件路徑。通過上述方法，能及時發現并處理隱藏在計算機系統進程中的病毒，從而有效確保用戶的計算機系統安全運行。

作者：江江 韓濤 單位：安徽省蚌埠市公安局