tracy的菜园

要說這事吧，要先說我家鄉昆山。

昆山是全國中小型城市中GDP第一的，外商投資的風水寶地。投資環境好，自然環境也還可以，所以我們這邊好多臺資企業在這裏建廠。

先不說這些企業來了之後我們的環境變得多糟吧，企業來了這邊的就業人口就多了，好啊！現在大家都是工薪階層了是不，生活也好了，趕上大城市裏的小藍領了，滋潤！但是勞資關係的弊病也逐漸體現出來了。

我要說的就是其中的一個JP的例子！讓我實在是很氣憤！

當然由於很多事情是我聽裏面的員工說的，具體是不是真的我也並不清楚。

我們家是鄉下，但是由於周圍都是企業，所以我們這個社區房子的租賃特別的紅火（題外話），在我們家有一個姐姐在開發區裏面的一家A公司上班，她和我說了他們公司裏的一些制度，由於她很氣憤所以不排除有點加油添醋的嫌疑。

這家企業是模具廠，工人是按時計算工資，由於新的勞動法規定每周不能超過36小時（勞動法規定是24H），所以一天基本上是7個小時左右，但是一般的工廠爲了趕工期都會加班，這家企業是怎麽做的呢？員工加班是沒有加班費的！只有績效獎金，也就是說每個人做得多少還得看你做得好不好，而且真要算加班的話也可以，只有3~4元/小時（這裏我覺得不可思議，現在連在肯德基打工都不止4元/小時了吧？有可能這個姐姐說謊。）。

我們都知道現在好多企業都會加班，他們在招工的時候所標榜的上千的工資如果你沒有加班的話根本就拿不到，所以有很多人爲了生計就非常的想加班，好了，看看這家是怎麽做的吧！

加班必須簽訂一份自願加班協定，也就是說加班是自願的（這樣企業就可以賴掉加班費），如果你不簽，可以！那你就拿你700元的工資吧。

就這樣蠻橫的條款還是有人簽的，人家缺錢啊！

但是加班多了，工傷幾率也大，況且這是一家模具廠，員工經常要和那種打榔頭打交道。那種可以把鐵都敲平的榔頭如果砸到人的手的話那是什麽滋味啊？姐姐說這個月就有3個人手指受傷，一個比較嚴重是粉碎性的。

這個被廠裏的榔頭敲到而且是在工作時間內受的傷地球人都知道是工傷吧！！絕對是吧！！這家無良的企業是怎麽做的呢？！

這幾個人是被送到醫院醫治，但是如果你要廠裏出錢給你，那你就得簽一份承認書說是自殘！不然就不給你，你醫藥費自理吧！就像網上有個比方說Ri本人強X了一個女的還要她承認很有KuaiGan（可能很不雅但是我個人認爲很貼切！）

你要告？哼，他們新的從深圳來的副總說了，告讓他們告好了，我們情願把錢砸給律師也不給你！看是誰耗得起誰！

現在這家企業走了很多人，都留不住啊。現在新近來的人都是新手，技術很不熟練，工件做出來都不合格，然後企業都不肯給績效工資（人家有理有據，你績效沒有達到麽）。同時工傷就會多起來，簡直惡性循環啊！姐姐很氣憤的說，象現在這樣搞下去看還有誰願意來，但是他們的副總很悠哉，他們認爲中國大陸有的是廉價勞動力，你走了自然會有其他人來，要走就走不留！

但是就這樣一家蠻橫到無恥的企業，我問說這麽不好你幹嗎還在裏面做啊？她還是很猶豫說等過了年之後再說，現在工作很難找啊！

哎~~想想我現在的公司和他的比起來不知道要好多少啊~！台資企業好多都很小氣（我在台企裏面做過有資格說這話吧。），但是美資企業就很不錯，也很遵守勞動合同。比較人性化吧！我還是很幸運的！

任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看本文。

病毒进程隐藏三法 　　

当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：

1.以假乱真 　　

系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

2.偷梁换柱 　　

如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下（Windows2000则是C:\WINNT\system32目录），如果病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？

 3.借尸还魂 　　

除了上文中的两种方法外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

系统进程解惑 　　

上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

svchost.exe 　　

常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”，而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。 　　

在Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe；而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“C:\WINDOWS\system32”目录外，那么就可以判定是病毒了。

explorer.exe 　　

常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建任务”，输入“explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。 　　explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:\Windows”目录，除此之外则为病毒。 iexplore.exe 　　常被病毒冒充的进程名有：iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像，因此比较容易搞混，其实iexplorer.exe是Microsoft Internet Explorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了，iexplorer.exe进程名的开头为“ie”，就是IE浏览器的意思。 　　iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中，存在于其他目录则为病毒，除非你将该文件夹进行了转移。此外，有时我们会发现没有打开IE浏览器的情况下，系统中仍然存在iexplore.exe进程，这要分两种情况：1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。 rundll32.exe 　　

常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”，在别的目录则可以判定是病毒。

spoolsv.exe 　　

常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序，其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，计算机上的打印将不可用，同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统资源。停止并关闭服务后，如果系统中还存在spoolsv.exe进程，这就一定是病毒伪装的了。 　　

限于篇幅，关于常见进程的介绍就到这里，我们平时在检查进程的时候如果发现有可疑，只要根据两点来判断： 　　

1.仔细检查进程的文件名； 　　

2.检查其路径。

通过这两点，一般的病毒进程肯定会露出马脚。