XP进程分析

  • 格式:doc
  • 大小:1.05 MB
  • 文档页数:18

很多朋友面对系统中的进程,往往感到茫然,不知它们具有什么功能;是否可以结束其运行,以节省系统资源;哪个进程比较可疑,可能是木马……其实进程应该可理解为处于活动状态的计算机程序,它在操作系统中执行特定的任务。

本文,笔者将以Windows XP操作系统为例,为大家介绍系统进程的相关内容。

揪出可疑进程

系统进程一般包括:基本系统进程和附加进程。基本系统进程是系统运行的必备条件,只有这些进程处于活动状态,系统才能正常运行;而附加进程则不是必需的,你可以按需新建或结束。我们就先来了解一下哪些是最基本的系统进程。

1.基本系统进程

Csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。

System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。

Smss.exe:这是一个会话管理子系统,负责启动用户会话。

Services.exe:系统服务的管理工具。

Lsass.exe:本地的安全授权服务。

Explorer.exe:资源管理器。

Spoolsv.exe:管理缓冲区中的打印和传真作业。

Svchost.exe:这个进程要着重说明一下,有不少朋友都有这种错觉:若是在“任务管理器”中看到多个Svchost.exe在运行,就觉得是有病毒了。其实并不一定,系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表,如果多个Svchost.exe同时运行,则表明当前有多组服务处于活动状态;多个DLL文件正在调用它。

至于其它一些附加进程,大多为系统服务,是可以酌情结束运行的。由于其数量众多,我们在此也不便于一一列举。

在系统资源紧张的情况下,我们可以选择结束一些附加进程,以增加资源,起到优化系统的作用。在排除基本系统及附加进程后,新增的陌生进程就值得被大家怀疑了。  揪出可疑进程

 揭露进程伪装术

 进程级别有高低

 进程树的妙用

 封杀进程的另类方法

 Win9X/Me也能拥有WinXP的任务管理器

1 2 3 4 5 6 7 8 9 下一页

2.常见木马进程

广外女生:Diagcfg.exe进程。

WAY无赖小子:Msgsvc.exe进程。

冰河木马:Kernel32.exe进程。

BO2000木马:Umgr32.exe进程。

客观地说,目前主流的木马在配置服务器时,很多都具有自定义进程名称的功能,例如《粉色信鸽》等。因此在判定木马时,其进程名称不止一种,寄希望于通过进程名称,查找木马服务器端的方法,已不太具适用性了。所以,我们需要自己的判断,揪出进程中的“害群之马”。

3.自行分析可疑进程

软件名称:柳叶擦眼

软件版本:V4.00 Beta 1

软件大小:374KB

软件语言:简体中文

应用平台:Win9X/NT/2000/XP

下载地址:http://8181/down/eye400fb.zip

我们运行《柳叶擦眼》后,鼠标双击系统托盘中的该程序图标,即可看到主界面(图1)。在此大家将会注意到,程序已为你标示出了系统文件。因此,大家只需注意那些“定义级别”为“未知”及“危险”的进程,这样就大大缩小了我们的判定范围。当你发现有问题的进程后,选定并点击“降妖伏魔”按钮即可封杀该进程。

图 1

为了使程序更趋于我们的使用习惯,大家可以自定义设置。点击左侧视图中的“参数设置”,在右侧界面中可设定是否标示系统文件、正常文件及危险文件;是否所有程序均可运行;是否自

动关闭危险文件;还可设定检测刷新时间(图2)。

图 2

上一页 1 2 3 4 5 6 7 8 9 下一页

我们可看到“定义文件列表”中显示的是程序预置的定义级别及其功能说明。可根据个人机器的程序运行情况,自行添加定义。例如,平日经常使用“Virtual PC”虚拟机等程序,可将它设置为“正常文件”。在“添加文件定义”弹出窗口中(图3),输入“程序名称”及“功能说明”并定义级别即可。另外,也可将已知的木马进程添加为“危险文件”。最后,点击“确定并保存设置”按钮。经过这一番定制后,哪些进程存在问题就一目了然了。

图 3

我们在程序中执行的各项操作,将会被自动记录下来,大家在“柳叶日志”中可以查看(图4)。

图 4

上一页 1 2 3 4 5 6 7 8 9 下一页

揭露进程伪装术

木马伪装技术的发展可谓日新月异,由进程隐藏到进程插入,使得在查杀方面越来越难以应付了。一般具有进程插入功能的木马会把自身注入其它应用程序的地址空间,而这个应用程序对于系统来说,是一个绝对安全的程序。

即使我们查找出了DLL插入进程,如果它是嵌入在系统基本进程中的,如“svchost.exe”等进程,我们是无法结束其运行的。

下面,将以实例演示一下线程插入类后门是如何在机器上运行的。我们以目前比较流行的“Devil4.exe”(魔鬼4号)程序为例。

运行“EditDevil4.exe”配置程序后,在显示界面中设置“配置文件”(即需要在目标上激活的可执行文件)、端口(可自定义,本例中为9000)、密码及插入进程(一般设置为系统基本进程,本例中为Explorer.exe)(图5)。配置完毕后,执行确认操作,使其生效。

图 5

一旦目标机器激活了配置好的程序,“Devil4.exe”将立即插入至指定进程中。我们可使用“fport

v2.0”这款系统工具查看所有开放的TCP和UDP端口,并显示相应的应用程序(支持WinNT4/2000/XP)。运行“命令提示符”后,进入fport程序的存储路径,运行它。

大家注意查看其中的“Explorer.exe”进程,看到其TCP协议开放端口为适才笔者所定制9000端口,此时表明病毒进程插入成功(图6)。“Devil4.exe”后门本身具有删除程序,运行“DelDevil4.exe”程序后,就可清除驻留系统中的后门。

图 6

小提示:如果大家要封杀可疑端口,可以使用Active Ports及DBPort之类的第三方端口工具。这两款软件均是图形化界面,操作方法非常类似。不仅可自动刷新进程,还能够立即关闭指定端口。

上一页 1 2 3 4 5 6 7 8 9 下一页

对于线程插入类木马的查杀,并非一件轻而易举的事,由于在配置插入进程时使用者可随意指定,因此,大家一定要安装杀毒软件并定期升级病毒库。

如果要手动查杀,则需要用户具有相当的知识水平与一定的经验积累。在此给大家推荐一款比较优秀的软件——进程间谍。利用它,可以查看窗口和子窗口句柄、ID、标题,以及父进程ID线程个数路径等,还可获知指定父进程的下属模块……我们要着重利用该程序的可查看DLL模块的功能,试图找出可疑的插入进程。

软件名称:进程间谍

软件版本:V1.0.2.1

软件语言:简体中文

软件类型:共享软件

应用平台:Win9X/Me/2000/XP/2003

下载地址:http:///bios/down/dpg1f.exe

运行《进程间谍》程序后,查看“进程树”标签页,点击“刷新进程”按钮,而后选择左侧列表的进程,当选定一个进程后,程序开始处理相关信息。我们切换到当前右侧视图中的“模块”标签页(图7),在此显示了很多该进程中插入的DLL线程,包括“模块名”(需要着重查看)、“基地地址”、“大小”及“进入口”。大家从中即可仔细排查可疑线程,例如广外女生的DLL插入线程是“%\system32\gwboydll.dll”。

图 7

上一页 1 2 3 4 5 6 7 8 9 下一页

进程级别有高低

我们在使用MyIE 2浏览网页时,又同时运行了下载工具等。这种情况下,我们就可以通过相应的设置,使系统优先处理MyIE 2,为它分配更多的CPU资源。

按“Ctrl+Alt+Del”组合键,调出“Windows任务管理器”,查看“进程”标签页,选定其中希望优先处理的程序后,在其右键弹出菜单中选择“设置优先级→„高‟或„高于标准‟”(图8)。而其它在后台处理的程序,则可将进程设置为“低”或“低于标准”。

图 8

小提示:如果调节进程优先级别后,感觉CPU占用率过高,要实时还原为原来的级别,以免系统因资源耗尽而当机。

上一页 1 2 3 4 5 6 7 8 9 下一页

进程树的妙用

我们在“Windows任务管理器”中,可以看到在指定进程的右键弹出菜单中有一项“结束进程树”

的选项(图9)。那么这个“进程树”是什么呢?

图 9

一个应用程序运行后,还可能调用其它的进程来执行操作,这一组进程就形成了一个进程树(进程树可能是多级的,并非只有一个层次的子进程)。该应用程序称之为父进程,其所调用的对象称之为子进程。当我们结束一个进程树后,即表示同时结束了其所属的所有子进程,此种方法常用于对可复制自身的木马进程的封杀。即当发现木马进程后,选择“结束进程树”。但是,Windows系统自身的任务管理器并不具备显示子进程的功能。我们可利用“Process Viewer”这款软件,实现详细查看进程树的目的。

软件名称:Process Viewer

软件版本:v3.7.3.1

软件语言:英文

软件类型:免费软件

应用平台:Win9X/NT/2000/XP/2003

软件大小:92KB

下载地址:http:///pview/PrcView.zip

运行“Process Viewer”程序后,在其主界面中将实时显示当前运行的进程。大家点击菜单栏上的“View→Process Tree”,在弹出对话框中即可以进程树的模式查看相关进程(图10)。