1. 什么是Explorer.exe進(jìn)程

　　打開的電腦的任務(wù)管理器，可以看到這個(gè)進(jìn)程,占用內(nèi)存不大，大約10MB左右。結(jié)束這個(gè)進(jìn)程后，打開的幾個(gè)窗口都關(guān)閉了，而且桌面上的圖標(biāo)也全沒有了。

　　之所以出現(xiàn)這個(gè)情況，正是Explorer.exe在發(fā)揮作用。簡單地說，Explorer.exe進(jìn)程就是操作系統(tǒng)的程序管理器，也就是我們平時(shí)說的資源管理器，用于管理操作系統(tǒng)之家的圖形界面，包括開始菜單、任務(wù)欄，桌面和文件管理。該進(jìn)程隨系統(tǒng)一起啟動(dòng)，直到系統(tǒng)關(guān)閉或者人為結(jié)束該進(jìn)程。可以通過下面的操作恢復(fù)桌面到正常狀態(tài)：在“任務(wù)管理器”中，依次單擊“文件”-“新建任務(wù)(運(yùn)行)”菜單。在打開的窗口中輸入“Explorer.exe”進(jìn)程名單擊“確定”按鈕即可完成重建進(jìn)程的過程了，桌面環(huán)境也就恢復(fù)了。

　　2.Explorer.exe容易被冒充

　　首先，病毒還是會(huì)利用障眼法來干擾大家，正常的進(jìn)程名是Explorer.exe，而一些病毒的進(jìn)程名則為ExpIorer.exe(用數(shù)字I代替了字母l)，還有的病毒進(jìn)程名為ExplOrer.exe(用數(shù)字0代替o)，乍一看，根本就區(qū)分不出來 ，實(shí)在令人防不勝防。大名鼎鼎的MyDoom病毒就是通過Explorer.exe來進(jìn)行破壞的。

　　小知識(shí) MyDoom是一種通過電子郵件附件和P2P網(wǎng)絡(luò)傳播的病毒，當(dāng)用戶打開并運(yùn)行附件內(nèi)的病毒程序后，病毒就會(huì)以用戶信箱內(nèi)的電子郵件地址為目標(biāo)，仿造郵件的源地址，向外發(fā)送大量帶有病毒附件的電子郵件，同時(shí)在用戶主機(jī)上生成Explorer.exe進(jìn)程。

　　針對這類情況，除了我們留意進(jìn)程名字外，還有其他方法進(jìn)程檢測和防范呢?我們可以根據(jù)Explorer.exe進(jìn)程的路徑來判斷，正常的Explorer.exe進(jìn)程位于系統(tǒng)根目錄下(比如系統(tǒng)盤為C盤，則路徑為C:WindowsExplorer.exe)，這里我們可以借助一些進(jìn)程輔助軟件來進(jìn)行查看，比如“360”等能查看進(jìn)程的軟件，觀察一下進(jìn)程路徑。

　　除此之外，在系統(tǒng)的system.ini文件中(C:Windowssystem.ini)，在[BOOT]下面有個(gè)“shell=文件名”。正確的文件名應(yīng)該是“Explorer.exe”如果不是“Explorer.exe”而是“shell=Explorer.exe程序名”，那么后面跟著的那個(gè)程序就是“木馬”程序，這表明你已經(jīng)中了“木馬”了。

　　此外，在注冊表中的情況比較復(fù)雜，通過regedit命令打開注冊表編輯器，依次打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun目錄下，查看鍵值中有沒有自己不熟悉的自動(dòng)啟動(dòng)文件，擴(kuò)展名為EXE，注意有的“木馬”程序生成的文件很像系統(tǒng)自身文件，想通為偽裝蒙混過關(guān)，如“Acid Battery v1.0木馬”，它將注冊表“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的Explorer鍵值改為Explorer=“C:Windowsexpiorer.exe”，和Ghost xp程序就差一個(gè)字母。這需要大家高度警惕。

　　病毒除了通過文件名相似為偽裝Explorer.exe進(jìn)程外，主要是通過線程插入技術(shù)來利用這個(gè)進(jìn)程。比如說曾經(jīng)的廣外幽靈、魔波病毒變種也是利用系統(tǒng)下載進(jìn)程。線程插入技術(shù)使得這些病毒木馬可以將他們的服務(wù)端程序插入到正常的Explorer.exe進(jìn)程中，從而讓用戶找不到病毒的蛛絲馬跡。對于這類采用線程插入的木馬病毒，我們可以借助“木馬輔助查找器”來進(jìn)行查看，在“進(jìn)程監(jiān)控”選項(xiàng)中，勾選Explorer.exe進(jìn)程，在下面的DLL文件窗口中將顯示相應(yīng)的DLL文件的路徑和文件名，發(fā)現(xiàn)可疑的最新xp系統(tǒng)下載文件，則直接終止相應(yīng)的進(jìn)程即可。當(dāng)然，這需要大家對常見的木馬有基本的了解，否則操作起來就顯得比較難。