什么是進(jìn)程_病毒進(jìn)程隱藏方法
進(jìn)程是計(jì)算機(jī)中的程序關(guān)于某數(shù)據(jù)集合上的一次運(yùn)行活動,是系統(tǒng)進(jìn)行資源分配和調(diào)度的基本單位,那么你對進(jìn)程了解多少呢?以下是由學(xué)習(xí)啦小編整理關(guān)于什么是進(jìn)程的內(nèi)容,希望大家喜歡!
什么是進(jìn)程
狹義定義:進(jìn)程是正在運(yùn)行的程序的實(shí)例(an instance of a computer program that is being executed)。
廣義定義:進(jìn)程是一個具有一定獨(dú)立功能的程序關(guān)于某個數(shù)據(jù)集合的一次運(yùn)行活動。它是操作系統(tǒng)動態(tài)執(zhí)行的基本單元,在傳統(tǒng)的操作系統(tǒng)中,進(jìn)程既是基本的分配單元,也是基本的執(zhí)行單元。
進(jìn)程的概念主要有兩點(diǎn):第一,進(jìn)程是一個實(shí)體。每一個進(jìn)程都有它自己的地址空間,一般情況下,包括文本區(qū)域(text region)、數(shù)據(jù)區(qū)域(data region)和堆棧(stack region)。文本區(qū)域存儲處理器執(zhí)行的代碼;數(shù)據(jù)區(qū)域存儲變量和進(jìn)程執(zhí)行期間使用的動態(tài)分配的內(nèi)存;堆棧區(qū)域存儲著活動過程調(diào)用的指令和本地變量。第二,進(jìn)程是一個“執(zhí)行中的程序”。程序是一個沒有生命的實(shí)體,只有處理器賦予程序生命時(操作系統(tǒng)執(zhí)行之),它才能成為一個活動的實(shí)體,我們稱其為進(jìn)程。
進(jìn)程是操作系統(tǒng)中最基本、重要的概念。是多道程序系統(tǒng)出現(xiàn)后,為了刻畫系統(tǒng)內(nèi)部出現(xiàn)的動態(tài)情況,描述系統(tǒng)內(nèi)部各道程序的活動規(guī)律引進(jìn)的一個概念,所有多道程序設(shè)計(jì)操作系統(tǒng)都建立在進(jìn)程的基礎(chǔ)上。
操作系統(tǒng)引入進(jìn)程的概念的原因
從理論角度看,是對正在運(yùn)行的程序過程的抽象;
從實(shí)現(xiàn)角度看,是一種數(shù)據(jù)結(jié)構(gòu),目的在于清晰地刻畫動態(tài)系統(tǒng)的內(nèi)在規(guī)律,有效管理和調(diào)度進(jìn)入計(jì)算機(jī)系統(tǒng)主存儲器運(yùn)行的程序。
進(jìn)程的特征
動態(tài)性:進(jìn)程的實(shí)質(zhì)是程序在多道程序系統(tǒng)中的一次執(zhí)行過程,進(jìn)程是動態(tài)產(chǎn)生,動態(tài)消亡的。
并發(fā)性:任何進(jìn)程都可以同其他進(jìn)程一起并發(fā)執(zhí)行
獨(dú)立性:進(jìn)程是一個能獨(dú)立運(yùn)行的基本單位,同時也是系統(tǒng)分配資源和調(diào)度的獨(dú)立單位;
異步性:由于進(jìn)程間的相互制約,使進(jìn)程具有執(zhí)行的間斷性,即進(jìn)程按各自獨(dú)立的、不可預(yù)知的速度向前推進(jìn)
結(jié)構(gòu)特征:進(jìn)程由程序、數(shù)據(jù)和進(jìn)程控制塊三部分組成。
多個不同的進(jìn)程可以包含相同的程序:一個程序在不同的數(shù)據(jù)集里就構(gòu)成不同的進(jìn)程,能得到不同的結(jié)果;但是執(zhí)行過程中,程序不能發(fā)生改變。
病毒進(jìn)程隱藏方法
當(dāng)確認(rèn)windows系統(tǒng)中存在病毒,但是通過“任務(wù)管理器”又找不出異樣的進(jìn)程,這說明病毒采用了一些隱藏措施,總結(jié)出來有三種隱藏方法:
以假亂真
通常病毒的進(jìn)程名稱采用這樣的命名方式:將系統(tǒng)中正常進(jìn)程名中的o改為0,l改為i,i改為j。比如系統(tǒng)中的正常進(jìn)程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,而有些病毒會這樣命名:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。微乎其微的進(jìn)程名稱差異讓用戶很難發(fā)現(xiàn)異常。
偷梁換柱
利用“任務(wù)管理器”無法查看進(jìn)程對應(yīng)可執(zhí)行文件這一缺陷。比如svchost.exe進(jìn)程對應(yīng)的可執(zhí)行文件位于“C:\WINDOWS\system32”目錄下(Windows2000則是C:\WINNT\system32目錄),如果病毒將自身復(fù)制到“C:\WINDOWS\”中,并改名為svchost.exe,運(yùn)行后,我們在“任務(wù)管理器”中看到的也是svchost.exe,和正常的系統(tǒng)進(jìn)程無異。此時,僅僅從進(jìn)程名稱上是無法判斷正常進(jìn)程還是異常進(jìn)程的。
借尸還魂
采用進(jìn)程插入技術(shù),將病毒運(yùn)行所需的dll文件插入正常的系統(tǒng)進(jìn)程中,表面上看無任何可疑情況,實(shí)質(zhì)上系統(tǒng)進(jìn)程已經(jīng)被病毒控制了,除非借助專業(yè)的進(jìn)程檢測工具,否則要想發(fā)現(xiàn)隱藏在其中的病毒是很困難的。
看過“病毒進(jìn)程隱藏方法“的人還看了: