|
|||||||||||||||||
| 玩转系统进程 |
|
|
进程 系统进程一般包括:基本系统进程和附加进程. 基本系统进程是系统运行的的必备条件,只有这些进程处于活动状态,系统才能正常运行:而附加进程则不是必须的,你可以按需新建或结束. 1.基本系统进程以xp为例) csress.exe:子系统服务器进程,负责控制windows创建或删除线程以及16位的虚拟dos环境 system ldle process:该进程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间 smss.exe:这是一个会话管理子系统,负责启动用户会话. services.exe:系统服务的管理工具 lsass.exe:本地的安全授权服务. explorer.exe:资源管理器 spoolsv.exe:管理缓冲区的打印和传真作业. svchost.exe:启动时检查注册表的位置创建需要加载的服务列表. (通常,SVCHOST.EXE文件存在于%systemroot%\system32目录下和dllcache目录下面.是从动态链接库(dll)运行服务的一般性宿主进程。在任务管理器中,可能会看到多个svchost.exe在运行,不要大惊小怪,这可能是多个dll文件在调用它。不过,正因为如此,它也成为了病毒利用的对象,以前的“蓝色代码”病毒就是一例。另外,如果感染了冲击波病毒,系统也会提示“svchost.exe出现错误”。 如果要查看哪些服务正在使用svchost.exe,对于windows 2000可从其安装光盘的supporttoolssupport.cab压缩包中,将tlist.exe解压缩至任意目录,接着在“命令提示符”中进入tlist.exe所在目录,输入“tlist -s”并回车(“tlist pid”命令可看到详细信息)。而在windows xp则直接输入“tasklist /svc”查看进程信息(“tasklist /fi "pid eq processid"”则可看到详细信息)。) 2.其他的附加进程http://www.oixiaomi.net/process.html --------------------------------------------------------------------------------- -找到进程路径 windows的系统信息工具何以看到进程路径 以xp为例:开始--附件---系统工具----系统信息---软件环境---正在运行的任务. 建议在安装完windows后,点击“开始→程序→附件→系统工具→系统信息”,在打开的“系统信息”窗口中再点击“软件环境→正在运行任务”(在此进程列表中,可看到更详细的属性,其中程序路径是非常重要的信息),接着点击“操作→另存成文本文件”,以后系统出现异常时则对照进行分析。另外,“优化大师”也提供了保存进程快照的功能 ---------------------------------------------------------------------------- 常见木马进程: 广外女生:diagcfg.exe way 无赖小子:msgsvc.exe 冰河:kernel32.exe bo2000 木马:umgr32.exe 目前主流的木马在配置服务器时很多都都具有自定义进程名称的功能,例如<粉色信鸽>等.所以在判定木马时,通过进程名来判断有一定的狭隘性 ------------------------------------------------------------- 自行分析可疑进程 软件名称:柳叶擦眼 应用平台:win9x/nt/2000/xp 下载:http://cqol-http.skycn.net:8080/down/eye400fb.zip ------------------------------------------------------------------------------------------ 揭露进程伪装术: 对于进程插入的木马.即使查出了dll插入进程,如果其插入了系统的基本进程中,是无法结束其运行的有个相关的东东--魔鬼5号devil5.exe 此时不能不提到广外女生,它的dll插入线程是%system32gwboydll.dll 遇到这种情况,可以用ghost覆盖.系统还原.系统修复要手动查杀,需要有一定的知识水平和经验... 推荐一款软件---进程间谍v1.0.2.1 下载地址:http://www.516688.net/bios/down/dpg1f.exe 利用它可以查看窗口和子窗口句柄.id.标题,以及父进程的线程个数路径等,还可获知 父进程的下属模块 -------------------------------------------------------------------------------- 进程树 一个应用程序运行后,还可能调用其他的进程来执行操作,这一组进程就形成了一个进程树(进程树可能是多级的并非只有一个层次的子进程).该应用程序称之为父进程,其所调用的对象称之为子进程. 当我们结束一个进程树,即表示同时结束了其所属的所有子进程,此种方法对于可复制自身的木马进程的封杀.当发现木马进程后,在任务管理器中选择结束进程树.但是,windows系统的任务管理器并不具备显示子进程的功能. 我们可以利用process viewer这个软件,实现详细查看进程的目的 下载地址:http://www.xmlsp.com/pview/prcview.zip 运行该程序后,其主界面中将实时显示当前运行的进程.点击菜单栏的view---process tree,在弹出的对话框中可以进程树的模式查看相关进程.当你选择主界面的指定进程后,点击菜单栏上的process-startup info,在弹出的对话框中将获知其启动信息,在start directory选项中显示的是启动路径,command line选项中显示的是命令行,在environment中显示环境. 如果你希望了解进程对应的应用程序或反之,则需要选择应用程序后,点击菜单拦的view----applications ------------------------------------------------------------------------------------ 封杀进程的另类方法:- 1.封杀对方机器进程 方法a.远程控制程序(木马) 方法b.专用工具 如: pskill,自定义杀进程(huigezi的),nt的remote task manager 2.定时杀本机进程 软件:进程终结者版本:v1.0 下载:http://crc.onlinedown.net/down/procterminator.exe 3.杀不可见窗口进程软件: 系统查看大师 版本:v1.0.0 类型:共享 下载http://www.skycn.com/soft/8511.html ------------------------------------------------------------------------------------------- 封杀可疑端口 使用第三方工具:如active ports及dbport(可自动刷新进程和立即关闭指定端口) ------------------------------------------------------ 实例:查找木马的蛛丝马迹 许多木马和一些防护工具采用了双进程保护手段,例如“falling star”木马就采用双进程模式,下面来看看如何发现它们。 第一步:打开任务管理器。根据和常见进程比较,很明显会发现两个“熟悉的陌生人”(和系统基本进程名称相似,但不相同):“internet.exe”和“systemtray.exe”。请和上一实例中的”配角“进程比较。 第二步:打开“系统信息”的“软件环境→正在运行任务”,查看路径信息,两者均指向windowssystem32目录,而且文件大小、日期均相同,但从文件日期来看并不属于微软的系统文件。进入资源管理器查看其版本属性,虽然公司标明为microsoft,但与系统文件中的微软公司名称书写并不相同,基本可断定是非法进程,并且为双进程模式。 第三步:在尝试结束进程时,第一次选择“systemtray.exe”来结束进程树,结果进程马上就再生了,任务管理器中又显示出这两个进程!于是再次选择“internet.exe”,然后结束进程树●。进程没有再生,从而将木马进程从系统中清除。 -------------------------------- 真真假假系统进程 许多病毒和木马为避免从进程名称中发现它们的踪影,往往会采用“障眼法”,使用和系统文件或系统进程名称类似的进程名称。 1.文件名伪装 (1)修改常见程序或进程个别字符 例如,上面介绍的“falling star”木马的进程名称“internet.exe”就与输入法进程“internat.exe”十分相似。“way无赖小子”的服务端进程名称为“msgsvc.exe”,与系统基本进程“msgsrv32.exe”类似,还有explorer.exe和exp1orer.exe的区别,不仔细的话你能看出来吗?(数字“1”取代了字母“l”) (2)修改扩展名 著名的冰河木马的服务端进程为kernel32.exe,乍一看很熟悉,好像是哪个系统进程,其实系统根本不存在这样一个文件,windows 9x的基本进程中却有一个叫做“kernel32.dll”的。诸如此类的还有“shell32.exe”的木马进程是从“shell32.dll”这个大家都很熟悉的文件“演变”而来的,实际在系统中都是不存在的。 2.路径伪装 windows目录和system目录是系统核心文件所在地,一般是“闲人免进”。因此,出入它们的文件一般都被人们认为是系统文件,而病毒和木马就借机将源文件放在这两个目录中。对于这类情况,一般只需要通过系统信息找到其源文件路径,打开文件的属性,从日期(这个非常重要,可以看是否与系统文件日期一样)、版本、公司名称信息中即可看出破绽。没有哪个病毒、木马文件能设计得与系统文件完全一致 。---------------------- |
|
| 上一篇:三个方面提高网站链接广泛度 下一篇:网站炒作的六种方式 |
| 大部分文章摘自网上,如有侵犯您的权益请与我们联系,我们会第一时间进行处理,谢谢! | [ 打印文章 ] [ 关闭窗口 ] |
|
|
|