7种方法深度识别系统进程木马藏身之处

浏览:
字体:
发布时间:2017-11-08 09:00:46
来源:

 1 认识系统进程

进程是指在系统中正在运行的一个应用程序;线程是系统分配处理器时间资源的基本单 元,或者说进程之内独立执行的一个单元。对 于操作系统而言,其调度单元是线程。一个进 程至少包括一个线程,通常将该线程称为主线程。一个进程从主线程的执行开始进而创建一 个或多个附加线程,就是所谓基于多线程的多 任务。 这里的进程是指一系列进程,这些进程是 由它们所运行的可执行程序实例来识别的,这 就是进程选项卡中的第一列给出了映射名称的 原因。请注意,这里并没有进程名称列。进程 并不拥有独立于其所归属实例的映射名称。

黑客防御相关课程:http://www.vm888.com/Soft/donghua/

2 基本系统进程列表

进程是系统运行的基本条件,有了这些进 程,系统才能正常运行。下表中列出了一些最 基本的系统进程。

 

进 程功 能

csrss.exe 子系统服务器进程

winlogon.exe 管理用户登录

services.exe 包含很多系统服务

lsass.exe

管理IP 安全策略以及启动

ISAKMP/Oakley(IKE)和IP

安全驱动程序

svchost.exe 包含很多系统服务

Explorer.exe 资源管理器

internat.exe 托盘区的拼音图标

mstask.exe 允许程序在指定时间运行

regsvc.exe 允许远程注册表操作

winmgmt.exe 提供系统管理信息

inetinfo.exe

通过Internet 信息服务的管理单元提供FTP 连接和管理

tlntsvr.exe

允许远程用户登录到系统并且使用命令行运行控制台程序

tftpd.exe

实现TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分

进 程功 能

termsrv.exe

提供多会话环境允许客户端

设备访问虚拟的Windows

2000 Professional 桌面会话

以及运行在服务器上的基于

Windows 的程序

ups.exe

管理连接到计算机的不间

断电源(UPS)

ismserv.exe

允许在Windows Advanced

Server 站点间发送和接收

消息

ntfrs.exe

在多个服务器间维护文件

目录内容的文件同步

locator.exe 注册客户端许可证

locator.exe 管理RPC 名称服务数据库

dfssvc.exe

管理分布于局域网或广域

网的逻辑卷

faxsvc.exe 帮助用户发送和接收传真。

mnmsrvc.exe

允许有权限的用户使用

NetMeeting 远程访问

Windows 桌面

netdde.exe

提供动态数据交换(DDE)的网络传输和安全特性

smlogsvc.exe 配置性能日志和警报

RsEng.exe

协调用来储存不常用数据的服务和管理工具

RsFsa.exe

管理远程储存的文件的操作

grovel.exe

扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间

snmptrap.exe

接收由本地或远程 SNMP代理程序产生的陷阱消息,然后将消息传递到运行在本机上SNMP 管理程序

UtilMan.exe

从一个窗口中启动和配置辅助工具

msiexec.exe

依据 .MSI 文件中包含的命令来安装、修复以及删除软件

 

3 打开系统进程

打开系统进程可以查看哪些进程是正常 的,哪些是系统必需的进程。按下Ctrl+Shift+ Del 键,打开【Windows 任务管理器】窗口, 单击【进程】选项卡,即可显示当前系统正在 运行的进程。 通常情况下,smss.exe、csrss.exe、winlogon. exe 、services.exe 、lsass.exe 、svchost.exe 、 spoolsv.exe、explorer.exe、SystemIdleProcess 这 些都是系统正常的进程。

4 关闭和新建系统进程

对于熟悉系统进程的用户来说,查看进程 可以快速判断出系统是否存在安全隐患。 1. 关闭进程 在【Windows 任务管理器】窗口的【进程】 选项卡的进程列表中,选中相应的进程,然后 单击右下角的【结束进程】按钮,即可关闭该进程。 在关闭有些进程时要注意,例如关闭 Explorer.exe 进程,该进程是Windows 资源管 理器,用于管理Windows 图形壳,包括【开始】 菜单、任务栏、桌面和文件管理,关闭该进程 会导致Windows 图形界面无法使用。

5 查看隐藏进程

在【Windows 任务管理器】窗口中并不能 显示一些隐藏的进程,而这些隐藏的系统进程 很可能是病毒木马程序。下面通过实例介绍使 用软件查看隐藏进程的方法。

进程.png

窗口中的每个进程都显示了PID、类型、 优先权、线程数、启动时间和执行路径等信息。 对于提示为【可疑】的进程,可以查看具体的文 件路径,如果确认为恶意程序时,可以右击该进 程,在弹出的快捷菜单中选择【强行结束进程】 命令,强行关闭该进程。

6 查看远程进程

查看远程电脑的进程是黑客必须掌握的技 巧,在命令提示符窗口中输入命令即可查看远 程电脑的进程。 打开命令提示符窗口,输入tasklist/s IP 地 址 /u Administrator /p 帐户密码。 打开命令提示符窗口,然后输入 takslist/s 192.168.1.86 /u Administrator /p jxd,然后按下 Enter 键,稍等片刻后,即可反馈192.168.1.86 这个IP 地址的远程电脑进程列表信息,其中的 jxd 是远程电脑的Adminitrator 帐户密码,如果 未设置密码可以直接输入takslist/s 192.168.1.86 /u Administrator。

DOS.png

7 查杀病毒进程

在实际操作时,可能无法在【Windows 任 务管理器】窗口中删除某个可疑进程,此时可 以在命令提示符窗口中输入taskkill/im 进程名 命令关闭某个进程, 例如输入taskkill/im firefox.exe 命令,可以关闭firefox.exe 进程。

 

更多信息来自东方联盟网:http://www.vm888.com

 
>更多相关文章
24小时热门资讯
24小时回复排行
资讯 | QQ | 安全 | 编程 | 数据库 | 系统 | 网络 | 考试 | 站长 | 下载 | 关于东盟 | 安全雇佣 | 搞笑视频大全 | 微信学院 |
关于我们 | 联系我们 | 广告服务 | 人才招聘 | 服务条款 | 免责申明 | 帮助中心 | 作品发布 | 网站地图 | 技术培训
Copyright © 2007 - 2018 Vm888.Com. All Rights Reserved
东方联盟 版权所有