什么是進程_病毒進程隱藏方法
進程是計算機中的程序關于某數(shù)據集合上的一次運行活動,是系統(tǒng)進行資源分配和調度的基本單位,那么你對進程了解多少呢?以下是由學習啦小編整理關于什么是進程的內容,希望大家喜歡!
什么是進程
狹義定義:進程是正在運行的程序的實例(an instance of a computer program that is being executed)。
廣義定義:進程是一個具有一定獨立功能的程序關于某個數(shù)據集合的一次運行活動。它是操作系統(tǒng)動態(tài)執(zhí)行的基本單元,在傳統(tǒng)的操作系統(tǒng)中,進程既是基本的分配單元,也是基本的執(zhí)行單元。
進程的概念主要有兩點:第一,進程是一個實體。每一個進程都有它自己的地址空間,一般情況下,包括文本區(qū)域(text region)、數(shù)據區(qū)域(data region)和堆棧(stack region)。文本區(qū)域存儲處理器執(zhí)行的代碼;數(shù)據區(qū)域存儲變量和進程執(zhí)行期間使用的動態(tài)分配的內存;堆棧區(qū)域存儲著活動過程調用的指令和本地變量。第二,進程是一個“執(zhí)行中的程序”。程序是一個沒有生命的實體,只有處理器賦予程序生命時(操作系統(tǒng)執(zhí)行之),它才能成為一個活動的實體,我們稱其為進程。
進程是操作系統(tǒng)中最基本、重要的概念。是多道程序系統(tǒng)出現(xiàn)后,為了刻畫系統(tǒng)內部出現(xiàn)的動態(tài)情況,描述系統(tǒng)內部各道程序的活動規(guī)律引進的一個概念,所有多道程序設計操作系統(tǒng)都建立在進程的基礎上。
操作系統(tǒng)引入進程的概念的原因
從理論角度看,是對正在運行的程序過程的抽象;
從實現(xiàn)角度看,是一種數(shù)據結構,目的在于清晰地刻畫動態(tài)系統(tǒng)的內在規(guī)律,有效管理和調度進入計算機系統(tǒng)主存儲器運行的程序。
進程的特征
動態(tài)性:進程的實質是程序在多道程序系統(tǒng)中的一次執(zhí)行過程,進程是動態(tài)產生,動態(tài)消亡的。
并發(fā)性:任何進程都可以同其他進程一起并發(fā)執(zhí)行
獨立性:進程是一個能獨立運行的基本單位,同時也是系統(tǒng)分配資源和調度的獨立單位;
異步性:由于進程間的相互制約,使進程具有執(zhí)行的間斷性,即進程按各自獨立的、不可預知的速度向前推進
結構特征:進程由程序、數(shù)據和進程控制塊三部分組成。
多個不同的進程可以包含相同的程序:一個程序在不同的數(shù)據集里就構成不同的進程,能得到不同的結果;但是執(zhí)行過程中,程序不能發(fā)生改變。
病毒進程隱藏方法
當確認windows系統(tǒng)中存在病毒,但是通過“任務管理器”又找不出異樣的進程,這說明病毒采用了一些隱藏措施,總結出來有三種隱藏方法:
以假亂真
通常病毒的進程名稱采用這樣的命名方式:將系統(tǒng)中正常進程名中的o改為0,l改為i,i改為j。比如系統(tǒng)中的正常進程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,而有些病毒會這樣命名:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。微乎其微的進程名稱差異讓用戶很難發(fā)現(xiàn)異常。
偷梁換柱
利用“任務管理器”無法查看進程對應可執(zhí)行文件這一缺陷。比如svchost.exe進程對應的可執(zhí)行文件位于“C:\WINDOWS\system32”目錄下(Windows2000則是C:\WINNT\system32目錄),如果病毒將自身復制到“C:\WINDOWS\”中,并改名為svchost.exe,運行后,我們在“任務管理器”中看到的也是svchost.exe,和正常的系統(tǒng)進程無異。此時,僅僅從進程名稱上是無法判斷正常進程還是異常進程的。
借尸還魂
采用進程插入技術,將病毒運行所需的dll文件插入正常的系統(tǒng)進程中,表面上看無任何可疑情況,實質上系統(tǒng)進程已經被病毒控制了,除非借助專業(yè)的進程檢測工具,否則要想發(fā)現(xiàn)隱藏在其中的病毒是很困難的。
看過“病毒進程隱藏方法“的人還看了: