Explorer.exe進(jìn)程是什么如何判斷其真假

2024-05-08 16:06:47

字體：大中小

供稿：網(wǎng)友

1. 什么是Explorer.exe進(jìn)程

打開的電腦的任務(wù)管理器，可以看到這個(gè)進(jìn)程,占用內(nèi)存不大，大約10MB左右。結(jié)束這個(gè)進(jìn)程后，打開的幾個(gè)窗口都關(guān)閉了，而且桌面上的圖標(biāo)也全沒有了。

之所以出現(xiàn)這個(gè)情況，正是Explorer.exe在發(fā)揮作用。簡(jiǎn)單地說(shuō)，Explorer.exe進(jìn)程就是操作系統(tǒng)的程序管理器，也就是我們平時(shí)說(shuō)的資源管理器，用于管理操作系統(tǒng)之家的圖形界面，包括開始菜單、任務(wù)欄，桌面和文件管理。該進(jìn)程隨系統(tǒng)一起啟動(dòng)，直到系統(tǒng)關(guān)閉或者人為結(jié)束該進(jìn)程。可以通過(guò)下面的操作恢復(fù)桌面到正常狀態(tài)：在“任務(wù)管理器”中，依次單擊“文件”-“新建任務(wù)(運(yùn)行)”菜單。在打開的窗口中輸入“Explorer.exe”進(jìn)程名單擊“確定”按鈕即可完成重建進(jìn)程的過(guò)程了，桌面環(huán)境也就恢復(fù)了。

2.Explorer.exe容易被冒充

首先，病毒還是會(huì)利用障眼法來(lái)干擾大家，正常的進(jìn)程名是Explorer.exe，而一些病毒的進(jìn)程名則為ExpIorer.exe(用數(shù)字I代替了字母l)，還有的病毒進(jìn)程名為ExplOrer.exe(用數(shù)字0代替o)，乍一看，根本就區(qū)分不出來(lái) ，實(shí)在令人防不勝防。大名鼎鼎的MyDoom病毒就是通過(guò)Explorer.exe來(lái)進(jìn)行破壞的。

小知識(shí) MyDoom是一種通過(guò)電子郵件附件和P2P網(wǎng)絡(luò)傳播的病毒，當(dāng)用戶打開并運(yùn)行附件內(nèi)的病毒程序后，病毒就會(huì)以用戶信箱內(nèi)的電子郵件地址為目標(biāo)，仿造郵件的源地址，向外發(fā)送大量帶有病毒附件的電子郵件，同時(shí)在用戶主機(jī)上生成Explorer.exe進(jìn)程。

針對(duì)這類情況，除了我們留意進(jìn)程名字外，還有其他方法進(jìn)程檢測(cè)和防范呢?我們可以根據(jù)Explorer.exe進(jìn)程的路徑來(lái)判斷，正常的Explorer.exe進(jìn)程位于系統(tǒng)根目錄下(比如系統(tǒng)盤為C盤，則路徑為C:/Windows/Explorer.exe)，這里我們可以借助一些進(jìn)程輔助軟件來(lái)進(jìn)行查看，比如“360”等能查看進(jìn)程的軟件，觀察一下進(jìn)程路徑。

除此之外，在系統(tǒng)的system.ini文件中(C:/Windows/system.ini)，在[BOOT]下面有個(gè)“shell=文件名”。正確的文件名應(yīng)該是“Explorer.exe”如果不是“Explorer.exe”而是“shell=Explorer.exe程序名”，那么后面跟著的那個(gè)程序就是“木馬”程序，這表明你已經(jīng)中了“木馬”了。

此外，在注冊(cè)表中的情況比較復(fù)雜，通過(guò)regedit命令打開注冊(cè)表編輯器，依次打開HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run目錄下，查看鍵值中有沒有自己不熟悉的自動(dòng)啟動(dòng)文件，擴(kuò)展名為EXE，注意有的“木馬”程序生成的文件很像系統(tǒng)自身文件，想通為偽裝蒙混過(guò)關(guān)，如“Acid Battery v1.0木馬”，它將注冊(cè)表“HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下的Explorer鍵值改為Explorer=“C:/Windows/expiorer.exe”，和ghost xp程序就差一個(gè)字母。這需要大家高度警惕。

病毒除了通過(guò)文件名相似為偽裝Explorer.exe進(jìn)程外，主要是通過(guò)線程插入技術(shù)來(lái)利用這個(gè)進(jìn)程。比如說(shuō)曾經(jīng)的廣外幽靈、魔波病毒變種也是利用系統(tǒng)下載進(jìn)程。線程插入技術(shù)使得這些病毒木馬可以將他們的服務(wù)端程序插入到正常的Explorer.exe進(jìn)程中，從而讓用戶找不到病毒的蛛絲馬跡。對(duì)于這類采用線程插入的木馬病毒，我們可以借助“木馬輔助查找器”來(lái)進(jìn)行查看，在“進(jìn)程監(jiān)控”選項(xiàng)中，勾選Explorer.exe進(jìn)程，在下面的DLL文件窗口中將顯示相應(yīng)的DLL文件的路徑和文件名，發(fā)現(xiàn)可疑的最新xp系統(tǒng)下載文件，則直接終止相應(yīng)的進(jìn)程即可。當(dāng)然，這需要大家對(duì)常見的木馬有基本的了解，否則操作起來(lái)就顯得比較難。

注：相關(guān)教程知識(shí)閱讀請(qǐng)移步到電腦常識(shí)頻道。

上一篇：補(bǔ)丁安裝越多越好嗎?電腦越打補(bǔ)丁越卡的原因

下一篇：回收站里的文件被清空如何還原?360安全衛(wèi)士快速恢復(fù)誤刪文件方法