- windows XP |
- windows vista |
- windows 2000 |
- windows 2003 |
- windows 2008 |
- linux |
- unix |
- mac
- access |
- mysql |
- sql server |
- oracle |
- DB2
- word |
- excel |
- powerpoint |
- wps |
解析Windows XP操作系统进程
来源:
作者:
时间:2008-03-16
点击:
很多朋友面对系统中的进程,往往感到茫然,不知它们具有什么功能;是否可以结束其运行,以节省系统资源;哪个进程比较可疑,可能是木马……其实进程应该可理解为处于活动状态的计算机程序,它在操作系统中执行特定的任务。
本文,笔者将以Windows XP操作系统为例,为大家介绍系统进程的相关内容。
揪出可疑进程
揭露进程伪装术
进程级别有高低
进程树的妙用
封杀进程的另类方法
Win9X/Me也能拥有WinXP的任务管理器
揪出可疑进程
系统进程一般包括:基本系统进程和附加进程。基本系统进程是系统运行的必备条件,只有这些进程处于活动状态,系统才能正常运行;而附加进程则不是必需的,你可以按需新建或结束。我们就先来了解一下哪些是最基本的系统进程。
1.基本系统进程
Csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。
System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。
Smss.exe:这是一个会话管理子系统,负责启动用户会话。
Services.exe:系统服务的管理工具。
Lsass.exe:本地的安全授权服务。
Explorer.exe:资源管理器。
Spoolsv.exe:管理缓冲区中的打印和传真作业。
Svchost.exe:这个进程要着重说明一下,有不少朋友都有这种错觉:若是在“任务管理器”中看到多个Svchost.exe在运行,就觉得是有病毒了。其实并不一定,系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表,如果多个Svchost.exe同时运行,则表明当前有多组服务处于活动状态;多个DLL文件正在调用它。
至于其它一些附加进程,大多为系统服务,是可以酌情结束运行的。由于其数量众多,我们在此也不便于一一列举。
在系统资源紧张的情况下,我们可以选择结束一些附加进程,以增加资源,起到优化系统的作用。在排除基本系统及附加进程后,新增的陌生进程就值得被大家怀疑了。
2.常见木马进程
广外女生:Diagcfg.exe进程。
WAY无赖小子:Msgsvc.exe进程。
冰河木马:Kernel32.exe进程。
BO2000木马:Umgr32.exe进程。
客观地说,目前主流的木马在配置服务器时,很多都具有自定义进程名称的功能,例如《粉色信鸽》等。因此在判定木马时,其进程名称不止一种,寄希望于通过进程名称,查找木马服务器端的方法,已不太具适用性了。所以,我们需要自己的判断,揪出进程中的“害群之马”。
本文,笔者将以Windows XP操作系统为例,为大家介绍系统进程的相关内容。
揪出可疑进程
揭露进程伪装术
进程级别有高低
进程树的妙用
封杀进程的另类方法
Win9X/Me也能拥有WinXP的任务管理器
揪出可疑进程
系统进程一般包括:基本系统进程和附加进程。基本系统进程是系统运行的必备条件,只有这些进程处于活动状态,系统才能正常运行;而附加进程则不是必需的,你可以按需新建或结束。我们就先来了解一下哪些是最基本的系统进程。
1.基本系统进程
Csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。
System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。
Smss.exe:这是一个会话管理子系统,负责启动用户会话。
Services.exe:系统服务的管理工具。
Lsass.exe:本地的安全授权服务。
Explorer.exe:资源管理器。
Spoolsv.exe:管理缓冲区中的打印和传真作业。
Svchost.exe:这个进程要着重说明一下,有不少朋友都有这种错觉:若是在“任务管理器”中看到多个Svchost.exe在运行,就觉得是有病毒了。其实并不一定,系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表,如果多个Svchost.exe同时运行,则表明当前有多组服务处于活动状态;多个DLL文件正在调用它。
至于其它一些附加进程,大多为系统服务,是可以酌情结束运行的。由于其数量众多,我们在此也不便于一一列举。
在系统资源紧张的情况下,我们可以选择结束一些附加进程,以增加资源,起到优化系统的作用。在排除基本系统及附加进程后,新增的陌生进程就值得被大家怀疑了。
2.常见木马进程
广外女生:Diagcfg.exe进程。
WAY无赖小子:Msgsvc.exe进程。
冰河木马:Kernel32.exe进程。
BO2000木马:Umgr32.exe进程。
客观地说,目前主流的木马在配置服务器时,很多都具有自定义进程名称的功能,例如《粉色信鸽》等。因此在判定木马时,其进程名称不止一种,寄希望于通过进程名称,查找木马服务器端的方法,已不太具适用性了。所以,我们需要自己的判断,揪出进程中的“害群之马”。
3.自行分析可疑进程
我们运行《柳叶擦眼》后,鼠标双击系统托盘中的该程序图标,即可看到主界面(图1)。在此大家将会注意到,程序已为你标示出了系统文件。因此,大家只需注意那些“定义级别”为“未知”及“危险”的进程,这样就大大缩小了我们的判定范围。当你发现有问题的进程后,选定并点击“降妖伏魔”按钮即可封杀该进程。
图 1
为了使程序更趋于我们的使用习惯,大家可以自定义设置。点击左侧视图中的“参数设置”,在右侧界面中可设定是否标示系统文件、正常文件及危险文件;是否所有程序均可运行;是否自动关闭危险文件;还可设定检测刷新时间(图2)。
图 2
我们可看到“定义文件列表”中显示的是程序预置的定义级别及其功能说明。可根据个人机器的程序运行情况,自行添加定义。例如,平日经常使用“Virtual PC”虚拟机等程序,可将它设置为“正常文件”。在“添加文件定义”弹出窗口中(图3),输入“程序名称”及“功能说明”并定义级别即可。另外,也可将已知的木马进程添加为“危险文件”。最后,点击“确定并保存设置”按钮。经过这一番定制后,哪些进程存在问题就一目了然了。
图 3
我们在程序中执行的各项操作,将会被自动记录下来,大家在“柳叶日志”中可以查看(图4)。
图 4
揭露进程伪装术
木马伪装技术的发展可谓日新月异,由进程隐藏到进程插入,使得在查杀方面越来越难以应付了。一般具有进程插入功能的木马会把自身注入其它应用程序的地址空间,而这个应用程序对于系统来说,是一个绝对安全的程序。
即使我们查找出了DLL插入进程,如果它是嵌入在系统基本进程中的,如“svchost.exe”等进程,我们是无法结束其运行的。
下面,将以实例演示一下线程插入类后门是如何在机器上运行的。我们以目前比较流行的“Devil4.exe”(魔鬼4号)程序为例。
运行“EditDevil4.exe”配置程序后,在显示界面中设置“配置文件”(即需要在目标上激活的可执行文件)、端口(可自定义,本例中为9000)、密码及插入进程(一般设置为系统基本进程,本例中为Explorer.exe)(图5)。配置完毕后,执行确认操作,使其生效。
图 5
0
最新评论共有 0 位网友发表了评论
查看所有评论
发表评论
- 栏目列表
-
热点关注
