笔趣阁(biquge2345.com)更新快,无弹窗!
5%…
大蛇丸对自己的进攻还在继续!?
不对!
自己又中了幻术,是什麽时候?这个幻术又是什麽作用?
他又是怎麽知道自己脱离了前两个幻术!?
弘树立刻切换到进程的详细信息页面,按CPU使用率重新排序。虽然没有明显的「之术」进程,但他敏锐地发现了异常——几个本应正常的系统进程正在消耗着不该有的资源。
svchost.exe,CPU占用28%。这个数值让弘树皱起了眉头。
svchost.exe是Windows系统的核心进程文件,完整名称是ServiceHostProcess(服务宿主进程)作用是承载多个Windows系统服务。
他右键点击这个进程,选择「打开文件所在位置」。
当文件资源管理器窗口弹出时,显示的路径让他心中一凛:C:\Windows\Temp\svchost.exe
这个位置不对!
「这不对!真正的svchost.exe应该在System32目录下!」
弘树虽然不记得自己的这个金手指里有System32,但他隐约记得,自己的系统是没有32位和64位的区别,对应的名称叫System(>^ω^<),是一个哈基米的头像标识!
这是一个伪装成系统文件的病毒文件!
弘树迅速切换到进程的「详细信息」标签页。
果然,描述栏一片空白,版本信息显示为「无」,最关键的是——数字签名状态显示为「未验证」。
「进程伪装!」弘树瞬间明白了对方的第二轮攻击手段。
大蛇丸放弃了直接注入完整的幻术程序,而是让恶意程序伪装成系统进程,试图蒙混过关!
幻术也可以做到如此地步吗!?哈基蛇,你究竟是怎麽做到的!?
弘树没有犹豫,立刻修改防火墙的代码,添加了新的检测规则:
——代码——
@关闭回显
::新增进程伪装检测
设置系统进程列表=「svchost.exe,winlogon.exe,csrss.exe「
设置合法路径=「C:\Windows\System(>^ω^<)\「
:扫描进程
::使用「任务列表」命令获取当前所有进程的详细信息
任务列表/V>进程快照.tmp
::逐个检查列表中的系统进程
为%%进程名在(%系统进程列表%)做(
查找字符串「%%进程名「进程快照.tmp|查找字符串/V「%合法路径%「>伪装进程.tmp
如果文件存在伪装进程.tmp(
::从伪装进程文件中提取进程ID并结束它
为/F「令牌=2「%%进程ID在(伪装进程.tmp)做(
任务管理器/强制结束/进程ID%%进程ID
记录日志「检测到恶意伪装并已清除:%%进程名「
)
)
)
::内存保护模式
:监控内存
如果检测到外部写入(视觉缓存)(
如果来源不等于「弘树_本体系统「(
拦截写入操作
记录日志「阻止非法内存写入:视觉缓存区域「
)
)
如果检测到外部写入(听觉缓存)(
如果来源不等于「弘树_本体系统「(
拦截写入操作
记录日志「阻止非法内存写入:听觉缓存区域「
)
)
跳转到:扫描进程
——代码——
代码更新完毕,立即执行!
升级后的防火墙瞬间发威。
任务管理器中那个伪装的svchost.exe进程被强制终止,CPU占用率从35%回落到正常的8%。
与此同时,弘树眼前刚刚开始成形的毒蛇幻象出现了严重的故障现象——部分蛇身变成了马赛克状的色块,蛇群的移动开始卡顿跳帧,原本应该令人恐惧的嘶嘶声也变成了断断续续的杂音。
防火墙日志窗口中,绿色的字符在快速滚动:
【进程伪装已清除:svchost.exe】
【阻止非法内存写入:视觉缓存区域】
【阻止非法内存写入:听觉缓存区域】
眼前那些支离破碎的蛇群幻象坚持了不到三秒钟,便如同被删除的文件一般,彻底消失在了空气中。
但危机远未结束。