二.偷梁换柱

　　如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了"任务管理器"无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于"C:\WINDOWS\system32"目录下（Windows2000则是C:\WINNT\system32目录），如果病毒将自身复制到"C:\WINDOWS\"中，并改名为svchost.exe，运行后，我们在"任务管理器"中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？

    此时需要借助第三方软件来查看进程的所在目录，比较重要的系统进程，如：svchost.exe、winlogon.exe等，正常路径是 C:\Windows\System32，如果不是那么就要小心了。

    另外需要提醒大家注意的是，在选择用来查看进程或实现其它辅助功能的第三方软件时也要谨慎，不要随便安装一些不知名的小软件或系统插件，因为木马和病毒也往往会隐藏在其中。目前大部分的知名杀毒软件或与杀软配套的安全助手类工具，都具备基本的系统维护功能，如垃圾文件清理、进程管理、系统修复、启动项管理等。

    以瑞星卡卡安全助手为例，在进程管理功能中可以看到每个进程的对应命令行，安全助手已将所有进程进行了安全级别划分，智能识别出哪些是安全可靠的系统进程，哪些是无法判断的可疑进程和危险进程。

使用瑞星卡卡安全助手查看电脑进程

    这样一来，面对众多进程就不会感到无从下手了，我们可以跳过所有安全进程，主要关注那些未被识别的进程，判断与其对应的可执行文件是否为已知程序。

　　三.借尸还魂

　　除了上文中的两种方法外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

　　什么是进程插入技术？

    在Windows中，每个进程都有自己的私有内存地址空间，当使用指针(一种访问内存的机制)访问内存时，一个进程无法访问另一个进程的内存地址空间，比如QQ在内存中存放了一张图片的数据，而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性，如果你的进程存在一个错误，改写了一个随机地址上的内存，这个错误不会影响另一个进程使用的内存。

　　对于用户来说，独立的地址空间使操作系统将变得更加健壮，因为一个应用程序无法破坏另一个进程或操作系统的运行。但仍有很多种方法可以打破进程的界限，访问另一个进程的地址空间，那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后，就可以对另一个进程为所欲为，比如盗QQ。

　　普通情况下，一个应用程序所接收的键盘、鼠标操作，别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢？木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程，这样该木马DLL就赫然成为了QQ的一部分！然后在用户输入密码时，因为此时木马DLL已经进入QQ进程内部，所以也就能够接收到用户传递给QQ的密码键入了！

    如何清除采用进程插入技术，隐藏了进程的DLL病毒

    最常见的是进程插入explorer.exe和winlogon.exe中，目前很多杀毒软件针对这种动态链接库的病毒查杀，效果都不理想，有时杀毒软件甚至会出现误判。

　　插入explorer.exe中的DLL文件，大部分可以利用工具将DLL文件卸载，然后手工删除DLL病毒文件。

　　而插入winlogon.exe中的DLL文件，少数可以利用卸载，然后手工删除DLL病毒文件，但大部分是不可以"卸除"的，