windowsXP进程解析.doc

1.基本系统进程csrss.exe：这是子系统服务器进程，负责控制windows创建或删除线程以及16位的虚拟dos环境。system idle process：这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。smss.exe：这是一个会话管理子系统，负责启动用户会话。services.exe：系统服务的管理工具。lsass.exe：本地的安全授权服务。explorer.exe：资源管理器。spoolsv.exe：管理缓冲区中的打印和传真作业。svchost.exe：这个进程要着重说明一下，有不少朋友都有这种错觉：若是在“任务管理器”中看到多个svchost.exe在运行，就觉得是有病毒了。其实并不一定，系统启动的时候，svchost.exe将检查注册表中的位置来创建需要加载的服务列表，如果多个svchost.exe同时运行，则表明当前有多组服务处于活动状态；多个dll文件正在调用它。至于其它一些附加进程，大多为系统服务，是可以酌情结束运行的。由于其数量众多，我们在此也不便于一一列举。在系统资源紧张的情况下，我们可以选择结束一些附加进程，以增加资源，起到优化系统的作用。在排除基本系统及附加进程后，新增的陌生进程就值得被大家怀疑了。2.常见木马进程 广外女生：diagcfg.exe进程。way无赖小子：msgsvc.exe进程。冰河木马：kernel32.exe进程。bo2000木马：umgr32.exe进程。客观地说，目前主流的木马在配置服务器时，很多都具有自定义进程名称的功能，例如粉色信鸽等。因此在判定木马时，其进程名称不止一种，寄希望于通过进程名称，查找木马服务器端的方法，已不太具适用性了。所以，我们需要自己的判断，揪出进程中的“害群之马”。3.自行分析可疑进程软件名称：柳叶擦眼软件版本：v4.00 beta 1 软件大小：374kb软件语言：简体中文应用平台：win9x/nt/2000/xp下载地址：http：/8181/down/eye400fb.zip我们运行柳叶擦眼后，鼠标双击系统托盘中的该程序图标，即可看到主界面（图1）。在此大家将会注意到，程序已为你标示出了系统文件。因此，大家只需注意那些“定义级别”为“未知”及“危险”的进程，这样就大大缩小了我们的判定范围。当你发现有问题的进程后，选定并点击“降妖伏魔”按钮即可封杀该进程。图 1为了使程序更趋于我们的使用习惯，大家可以自定义设置。点击左侧视图中的“参数设置”，在右侧界面中可设定是否标示系统文件、正常文件及危险文件；是否所有程序均可运行；是否自动关闭危险文件；还可设定检测刷新时间（图2）。图 揭露进程伪装术 木马伪装技术的发展可谓日新月异，由进程隐藏到进程插入，使得在查杀方面越来越难以应付了。一般具有进程插入功能的木马会把自身注入其它应用程序的地址空间，而这个应用程序对于系统来说，是一个绝对安全的程序。即使我们查找出了dll插入进程，如果它是嵌入在系统基本进程中的，如“svchost.exe”等进程，我们是无法结束其运行的。下面，将以实例演示一下线程插入类后门是如何在机器上运行的。我们以目前比较流行的“devil4.exe”（魔鬼4号）程序为例。运行“editdevil4.exe”配置程序后，在显示界面中设置“配置文件”（即需要在目标上激活的可执行文件）、端口（可自定义，本例中为9000）、密码及插入进程（一般设置为系统基本进程，本例中为explorer.exe）（图5）。配置完毕后，执行确认操作，使其生效。图 5一旦目标机器激活了配置好的程序，“devil4.exe”将立即插入至指定进程中。我们可使用“fport v2.0”这款系统工具查看所有开放的tcp和udp端口，并显示相应的应用程序（支持winnt4/2000/xp）。运行“命令提示符”后，进入fport程序的存储路径，运行它。大家注意查看其中的“explorer.exe”进程，看到其tcp协议开放端口为适才笔者所定制9000端口，此时表明病毒进程插入成功（图6）。“devil4.exe”后门本身具有删除程序，运行“deldevil4.exe”程序后，就可清除驻留系统中的后门。图 6小提示：如果大家要封杀可疑端口，可以使用active ports及dbport之类的第三方端口工具。这两款软件均是图形化界面，操作方法非常类似。不仅可自动刷新进程，还能够立即关闭指定端口。对于线程插入类木马的查杀，并非一件轻而易举的事，由于在配置插入进程时使用者可随意指定，因此，大家一定要安装杀毒软件并定期升级病毒库。 如果要手动查杀，则需要用户具有相当的知识水平与一定的经验积累。在此给大家推荐一款比较优秀的软件进程间谍。利用它，可以查看窗口和子窗口句柄、id、标题，以及父进程id线程个数路径等，还可获知指定父进程的下属模块我们要着重利用该程序的可查看dll模块的功能，试图找出可疑的插入进程。软件名称：进程间谍软件版本：v 软件语言：简体中文 软件类型：共享软件 应用平台：win9x/me/2000/xp/2003下载地址：http：//bios/down/dpg1f.exe运行进程间谍程序后，查看“进程树”标签页，点击“刷新进程”按钮，而后选择左侧列表的进程，当选定一个进程后，程序开始处理相关信息。我们切换到当前右侧视图中的“模块”标签页（图7），在此显示了很多该进程中插入的dll线程，包括“模块名”（需要着重查看）、“基地地址”、“大小”及“进入口”。大家从中即可仔细排查可疑线程，例如广外女生的dll插入线程是“%system32gwboydll.dll”。图 7进程级别有高低 我们在使用myie 2浏览网页时，又同时运行了下载工具等。这种情况下，我们就可以通过相应的设置，使系统优先处理myie 2，为它分配更多的cpu资源。按“ctrl+alt+del”组合键，调出“windows任务管理器”，查看“进程”标签页，选定其中希望优先处理的程序后，在其右键弹出菜单中选择“设置优先级高或高于标准”（图8）。而其它在后台处理的程序，则可将进程设置为“低”或“低于标准”。进程树的妙用 我们在“windows任务管理器”中，可以看到在指定进程的右键弹出菜单中有一项“结束进程树”的选项（图9）。那么这个“进程树”是什么呢?图 9一个应用程序运行后，还可能调用其它的进程来执行操作，这一组进程就形成了一个进程树（进程树可能是多级的，并非只有一个层次的子进程）。该应用程序称之为父进程，其所调用的对象称之为子进程。当我们结束一个进程树后，即表示同时结束了其所属的所有子进程，此种方法常用于对可复制自身的木马进程的封杀。即当发现木马进程后，选择“结束进程树”。但是，windows系统自身的任务管理器并不具备显示子进程的功能。我们可利用“process viewer”这款软件，实现详细查看进程树的目的。软件名称：process viewer软件版本：v软件语言：英文 软件类型：免费软件 应用平台：win9x/nt/2000/xp/2003软件大小：92kb下载地址：http：//pview/prcview.zip运行“process viewer”程序后，在其主界面中将实时显示当前运行的进程。大家点击菜单栏上的“viewprocess tree”，在弹出对话框中即可以进程树的模式查看相关进程（图10）。图 10下面，笔者要提及一下其它实用功能。当你选择主界面中的指定进程后，点击菜单栏上的“processstartup info”，在弹出对话框中大家将获知其启动信息，在“start directory”选项中显示的是启动路径；在“command line”选项中显示的是命令行；在“environment”中显示的是环境。另外，如果你希望了解某个进程对应的是哪个应用程序或反之。则需要选择指定进程后，点击菜单栏上的“viewapplications”，在弹出对话框中就可查看。封杀进程的另类方法 在上文中，我们已经提及了如何在“windows任务管理器”中结束进程。但那只是常规方式，现在，我们就来玩玩别出心裁的非常规进程封杀方式。1.封杀对方机器进程我们可以利用两种方法实现这一目的。第一种就是使用远程控制程序，目前大部分木马都具有查看被控端主机进程的功能，而且还可以远程结束指定进程。这部分内容相信对系统安全感兴趣的朋友都非常熟悉了，因此，就不详细介绍了。第二种方法，就是使用专门结束进程的工具自定义杀进程。运行程序后，在其中文本框中（图11）输入欲结束的进程名称（注意：是“进程”列表中的名称，而非应用程序名称），而后会“生成”一个文件。通过某种途径使它在目标机器上激活，就可封杀对方机器的指定进程了。图 11小提示：如果你需要经常在远程机器上管理进程，那么还是选择一款专业工具为佳。remote task manager就是一款能够让你在远程管理系统进程的软件（适用于winnt的机器），就如同在本地机器使用“windows 任务管理器”一样。2.定时封杀本机进程软件名称：进程终结者软件版本：v1.0 软件语言：简体中文 应用平台：win9x/nt/me/2000/xp软件大小：44kb下载地址：http：//down/procterminator.exe运行程序后，首先选择列表中的指定进程，如“wnb.exe”（万能五笔），然后在其右侧视图中指定经过多长时间后结束该进程，再点击“定时终结”按钮（图12），该程序到时就可立即退出。图 123.封杀不可见窗口的进程对于某些在后台运行的木马服务器，我们从屏幕上当然是看不见的，但如果能够获取隐藏的不可见窗口，就有可能查看到木马的踪影。软件名称：系统查看大师 软件版本：v1.0.0 软件语言：简繁中文软件类型：共享软件 运行环境：win9x/nt/2000/xp软件大小：559 kb 下载地址：http：/:8080/down/xpprocess.exe我们直接运行下载后的系统查看大师主程序即可，在其左侧视图中点击“取不可见窗口”按钮。此后，在其右侧的进程列表中就将显示出所有当前运行的未在屏幕上直观显示出的窗口标题（图13）。选定其中的可疑窗口后，点击右下端的“结束此窗口”按钮即可。图 13win9x/me系统也能拥有winxp的任务管理器 windows xp系统的用户，可以使用“任务管理器”，轻松查看系统进程，但是，windows 98/me的用户，却只能查看当前运行的应用程序。为了使这部分用户也能够管理系统进程。笔者为大家介绍一款与xp系统的“任务管理器”最为相似的第三方软件。软件名称：windows任务管理器 软件版本：v2.22 软件大小：769 kb软件语言：简体中文应用平台：win95/98/me下载地址：http：/:8080/down/task