和山论坛

 找回密码
 会员注册
查看: 2234|回复: 5
打印 上一主题 下一主题

解析Windows XP操作系统进程

[复制链接]
跳转到指定楼层
楼主
发表于 2005-11-27 17:48 | 显示全部楼层 回帖奖励 |倒序浏览 |阅读模式
<P>   很多朋友面对系统中的进程,往往感到茫然,不知它们具有什么功能;是否可以结束其运行,以节省系统资源;哪个进程比较可疑,可能是木马……其实进程应该可理解为处于活动状态的计算机程序,它在操作系统中执行特定的任务。</P>
<P>本文,将以Windows XP操作系统为例,为大家介绍系统进程的相关内容。</P>
<P><FONT color=#0909f7> 揪出可疑进程</FONT> </P>
<P>  系统进程一般包括:基本系统进程和附加进程。基本系统进程是系统运行的必备条件,只有这些进程处于活动状态,系统才能正常运行;而附加进程则不是必需的,你可以按需新建或结束。我们就先来了解一下哪些是最基本的系统进程。</P>
<P><FONT color=#1111ee>1.基本系统进程</FONT></P>
<P>  Csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。<BR>  System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。<BR>  Smss.exe:这是一个会话管理子系统,负责启动用户会话。<BR>  Services.exe:系统服务的管理工具。<BR>  Lsass.exe:本地的安全授权服务。<BR>  Explorer.exe:资源管理器。<BR>  Spoolsv.exe:管理缓冲区中的打印和传真作业。<BR>  Svchost.exe:这个进程要着重说明一下,有不少朋友都有这种错觉:若是在“任务管理器”中看到多个Svchost.exe在运行,就觉得是有病毒了。其实并不一定,系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表,如果多个Svchost.exe同时运行,则表明当前有多组服务处于活动状态;多个DLL文件正在调用它。</P>
<P>  至于其它一些附加进程,大多为系统服务,是可以酌情结束运行的。由于其数量众多,我们在此也不便于一一列举。</P>
<P>  在系统资源紧张的情况下,我们可以选择结束一些附加进程,以增加资源,起到优化系统的作用。在排除基本系统及附加进程后,新增的陌生进程就值得被大家怀疑了。<BR></P>
<P><FONT color=#0000ff>     2.常见木马进程</FONT> </P>
<br>
<P>  广外女生:Diagcfg.exe进程。<BR>  WAY无赖小子:Msgsvc.exe进程。<BR>  冰河木马:Kernel32.exe进程。<BR>  BO2000木马:Umgr32.exe进程。</P>
<P>  客观地说,目前主流的木马在配置服务器时,很多都具有自定义进程名称的功能,例如《粉色信鸽》等。因此在判定木马时,其进程名称不止一种,寄希望于通过进程名称,查找木马服务器端的方法,已不太具适用性了。所以,我们需要自己的判断,揪出进程中的“害群之马”。</P>
<P>  <FONT color=#0000ff>3.自行分析可疑进程</FONT></P>
<P>  软件名称:柳叶擦眼<BR>  软件版本:V4.00 Beta 1 <BR>  软件大小:374KB<BR>  软件语言:简体中文<BR>  应用平台:Win9X/NT/2000/XP<BR>  下载地址:http://tj-http.skycn.net8181/down/eye400fb.zip</P>
<P>  我们运行《柳叶擦眼》后,鼠标双击系统托盘中的该程序图标,即可看到主界面(图1)。在此大家将会注意到,程序已为你标示出了系统文件。因此,大家只需注意那些“定义级别”为“未知”及“危险”的进程,这样就大大缩小了我们的判定范围。当你发现有问题的进程后,选定并点击“降妖伏魔”按钮即可封杀该进程。</P>
<P align=center><IMG src="http://www.yesky.com/imagesnew/software/031222/softzb031222_1.jpg"><BR><BR>图 1</P>
<P>  为了使程序更趋于我们的使用习惯,大家可以自定义设置。点击左侧视图中的“参数设置”,在右侧界面中可设定是否标示系统文件、正常文件及危险文件;是否所有程序均可运行;是否自动关闭危险文件;还可设定检测刷新时间(图2)。</P>
<P align=center><IMG src="http://www.yesky.com/imagesnew/software/031222/softzb031222_2.jpg"><BR><BR>图 2</P>
沙发
 楼主| 发表于 2005-11-27 17:49 | 显示全部楼层
<TABLE cellSpacing=0 cellPadding=0 width=776 border=0>

<TR>
<TD vAlign=top bgColor=#f0f2fb height=10></TD></TR>
<TR>
<TD vAlign=top bgColor=#f0f2fb>
<TABLE cellSpacing=0 cellPadding=0 width=590 align=center border=0>

<TR>
<TD>  我们可看到“定义文件列表”中显示的是程序预置的定义级别及其功能说明。可根据个人机器的程序运行情况,自行添加定义。例如,平日经常使用“Virtual PC”虚拟机等程序,可将它设置为“正常文件”。在“添加文件定义”弹出窗口中(图3),输入“程序名称”及“功能说明”并定义级别即可。另外,也可将已知的木马进程添加为“危险文件”。最后,点击“确定并保存设置”按钮。经过这一番定制后,哪些进程存在问题就一目了然了。</TD></TR></TABLE></TD></TR></TABLE><br>
<P align=center><IMG src="http://www.yesky.com/imagesnew/software/031222/softzb031222_3.jpg"><br><br>图 3</P>
<P>  我们在程序中执行的各项操作,将会被自动记录下来,大家在“柳叶日志”中可以查看(图4)。</P>
<P align=center><IMG src="http://www.yesky.com/imagesnew/software/031222/softzb031222_4.jpg" border=1><br><br>图 4</P>
<P>  <B><FONT color=#990000>揭露进程伪装术</FONT></B> </P><br>
<P>  木马伪装技术的发展可谓日新月异,由进程隐藏到进程插入,使得在查杀方面越来越难以应付了。一般具有进程插入功能的木马会把自身注入其它应用程序的地址空间,而这个应用程序对于系统来说,是一个绝对安全的程序。</P>
<P>  即使我们查找隽薉LL插入进程,如果它是嵌入在系统基本进程中的,如“svchost.exe”等进程,我们是无法结束其运行的。</P>
<P>  下面,将以实例演示一下线程插入类后门是如何在机器上运行的。我们以目前比较流行的“Devil4.exe”(魔鬼4号)程序为例。</P>
<P>  运行“EditDevil4.exe”配置程序后,在显示界面中设置“配置文件”(即需要在目标上激活的可执行文件)、端口(可自定义,本例中为9000)、密码及插入进程(一般设置为系统基本进程,本例中为Explorer.exe)(图5)。配置完毕后,执行确认操作,使其生效。</P>
<P align=center><IMG src="http://www.yesky.com/imagesnew/software/031222/softzb031222_5.jpg"><br><br>图 5</P>
<P>  一旦目标机器激活了配置好的程序,“Devil4.exe”将立即插入至指定进程中。我们可使用“fport v2.0”这款系统工具查看所有开放的TCP和UDP端口,并显示相应的应用程序(支持WinNT4/2000/XP)。运行“命令提示符”后,进入fport程序的存储路径,运行它。</P>
<P>  大家注意查看其中的“Explorer.exe”进程,看到其TCP协议开放端口为适才笔者所定制9000端口,此时表明病毒进程插入成功(图6)。“Devil4.exe”后门本身具有删除程序,运行“DelDevil4.exe”程序后,就可清除驻留系统中的后门。</P>
<P align=center><IMG src="http://www.yesky.com/imagesnew/software/031222/softzb031222_6.jpg"><br><br>图 6</P>
<P>
<TABLE cellSpacing=0 cellPadding=0 width="100%" align=center bgColor=#e0e0e0 border=0>

<TR>
<TD bgColor=#efefef height=41>  <B>小提示:</B>如果大家要封杀可疑端口,可以使用Active Ports及DBPort之类的第三方端口工具。这两款软件均是图形化界面,操作方法非常类似。不仅可自动刷新进程,还能够立即关闭指定端口。</TD></TR></TABLE></P>
[此贴子已经被作者于2005-11-27 9:50:33编辑过]

板凳
 楼主| 发表于 2005-11-27 17:52 | 显示全部楼层
  对于线程插入类木马的查杀,并非一件轻而易举的事,由于在配置插入进程时使用者可随意指定,因此,大家一定要安装杀毒软件并定期升级病毒库。
<br>
<P>  如果要手动查杀,则需要用户具有相当的知识水平与一定的经验积累。在此给大家推荐一款比较优秀的软件——进程间谍。利用它,可以查看窗口和子窗口句柄、ID、标题,以及父进程ID线程个数路径等,还可获知指定父进程的下属模块……我们要着重利用该程序的可查看DLL模块的功能,试图找出可疑的插入进程。</P>
<P>  软件名称:进程间谍<BR>  软件版本:V1.0.2.1 <BR>  软件语言:简体中文 <BR>  软件类型:共享软件 <BR>  应用平台:Win9X/Me/2000/XP/2003<BR>  下载地址:http://www.516688.net/bios/down/dpg1f.exe</P>
<P>  运行《进程间谍》程序后,查看“进程树”标签页,点击“刷新进程”按钮,而后选择左侧列表的进程,当选定一个进程后,程序开始处理相关信息。我们切换到当前右侧视图中的“模块”标签页(图7),在此显示了很多该进程中插入的DLL线程,包括“模块名”(需要着重查看)、“基地地址”、“大小”及“进入口”。大家从中即可仔细排查可疑线程,例如广外女生的DLL插入线程是“%\system32\gwboydll.dll”。</P>
<P align=center><IMG src="http://www.yesky.com/imagesnew/software/031222/softzb031222_7.jpg"><BR><BR>图 7</P>
<P align=center>  <B><FONT color=#990000>进程级别有高低</FONT></B> </P>
<p>
<P>  我们在使用MyIE 2浏览网页时,又同时运行了下载工具等。这种情况下,我们就可以通过相应的设置,使系统优先处理MyIE 2,为它分配更多的CPU资源。</P>
<P>  按“Ctrl+Alt+Del”组合键,调出“Windows任务管理器”,查看“进程”标签页,选定其中希望优先处理的程序后,在其右键弹出菜单中选择“设置优先级→‘高’或‘高于标准’”(图8)。而其它在后台处理的程序,则可将进程设置为“低”或“低于标准”。</P>
<P align=center><IMG src="http://www.yesky.com/imagesnew/software/031222/softzb031222_8.jpg" border=1><BR><BR>图 8</P>
<P align=center>
<TABLE cellSpacing=0 cellPadding=0 width="100%" align=center bgColor=#e0e0e0 border=0>

<TR>
<TD bgColor=#efefef height=41>  <B>小提示:</B>如果调节进程优先级别后,感觉CPU占用率过高,要实时还原为原来的级别,以免系统因资源耗尽而当机。</TD></TR></TABLE></P>
地板
 楼主| 发表于 2005-11-27 17:53 | 显示全部楼层
  <FONT color=#990000><B>进程树的妙用</B></FONT>
<br>
<P>  我们在“Windows任务管理器”中,可以看到在指定进程的右键弹出菜单中有一项“结束进程树”的选项(图9)。那么这个“进程树”是什么呢?</P>
<P align=center><IMG src="http://www.yesky.com/imagesnew/software/031222/softzb031222_9.jpg" border=1><BR><BR>图 9</P>
<P>  一个应用程序运行后,还可能调用其它的进程来执行操作,这一组进程就形成了一个进程树(进程树可能是多级的,并非只有一个层次的子进程)。该应用程序称之为父进程,其所调用的对象称之为子进程。当我们结束一个进程树后,即表示同时结束了其所属的所有子进程,此种方法常用于对可复制自身的木马进程的封杀。即当发现木马进程后,选择“结束进程树”。但是,Windows系统自身的任务管理器并不具备显示子进程的功能。我们可利用“Process Viewer”这款软件,实现详细查看进程树的目的。</P>
<P>  软件名称:Process Viewer<BR>  软件版本:v3.7.3.1<BR>  软件语言:英文 <BR>  软件类型:免费软件 <BR>  应用平台:Win9X/NT/2000/XP/2003<BR>  软件大小:92KB<BR>  下载地址:http://www.xmlsp.com/pview/PrcView.zip</P>
<P>  运行“Process Viewer”程序后,在其主界面中将实时显示当前运行的进程。大家点击菜单栏上的“View→Process Tree”,在弹出对话框中即可以进程树的模式查看相关进程(图10)。</P>
<P align=center><IMG src="http://www.yesky.com/imagesnew/software/031222/softzb031222_10.jpg"><BR><BR>图 10</P>
<P>  下面,笔者要提及一下其它实用功能。当你选择主界面中的指定进程后,点击菜单栏上的“Process→Startup Info”,在弹出对话框中大家将获知其启动信息,在“Start directory”选项中显示的是启动路径;在“Command Line”选项中显示的是命令行;在“Environment”中显示的是环境。</P>
<P>  另外,如果你希望了解某个进程对应的是哪个应用程序或反之。则需要选择指定进程后,点击菜单栏上的“View→Applications”,在弹出对话框中就可查看。</P>
<P></P>
5
 楼主| 发表于 2005-11-27 17:53 | 显示全部楼层
  <FONT color=#990000><B>封杀进程的另类方法</B></FONT>
<br>
<P>  在上文中,我们已经提及了如何在“Windows任务管理器”中结束进程。但那只是常规方式,现在,我们就来玩玩别出心裁的非常规进程封杀方式。</P>
<P>  <FONT color=#0000ff>1.封杀对方机器进程</FONT></P>
<P>  我们可以利用两种方法实现这一目的。第一种就是使用远炭刂瞥绦颍壳按蟛糠帜韭矶季哂胁榭幢豢囟酥骰痰墓δ埽一箍梢栽冻探崾付ń獭U獠糠帜谌菹嘈哦韵低嘲踩行巳さ呐笥讯挤浅J煜ち耍虼耍筒幌晗附樯芰恕5诙址椒ǎ褪鞘褂米沤崾痰墓ぞ摺远ㄒ迳苯獭T诵谐绦蚝螅谄渲形谋究蛑校ㄍ?1)输入欲结束的进程名称(注意:是“进程”列表中的名称,而非应用程序名称),而后会“生成”一个文件。通过某种途径使它在目标机器上激活,就可封杀对方机器的指定进程了。</P>
<P align=center><IMG src="http://www.yesky.com/imagesnew/software/031222/softzb031222_11.jpg"><BR><BR>图 11</P>
<TABLE cellSpacing=0 cellPadding=0 width="100%" align=center bgColor=#e0e0e0 border=0>

<TR>
<TD bgColor=#efefef height=57>  <B>小提示:</B>如果你需要经常在远程机器上管理进程,那么还是选择一款专业工具为佳。Remote Task Manager就是一款能够让你在远程管理系统进程的软件(适用于WinNT的机器),就如同在本地机器使用“Windows 任务管理器”一样。</TD></TR></TABLE>
<P>  <FONT color=#0000ff>2.定时封杀本机进程</FONT></P>
<P>  软件名称:进程终结者<BR>  软件版本:V1.0 <BR>  软件语言:简体中文 <BR>  应用平台:Win9X/NT/Me/2000/XP<BR>  软件大小:44KB<BR>  下载地址:http://crc.onlinedown.net/down/ProcTerminator.exe<BR><BR>  运行程序后,首先选择列表中的指定进程,如“wnb.exe”(万能五笔),然后在其右侧视图中指定经过多长时间后结束该进程,再点击“定时终结”按钮(图12),该程序到时就可立即退出。</P>
<P align=center><IMG src="http://www.yesky.com/imagesnew/software/031222/softzb031222_12.jpg"><BR><BR>图 12</P>
<P>  <FONT color=#0000ff>3.封杀不可见窗口的进程</FONT></P>
<P>  对于某些在后台运行的木马服务器,我们从屏幕上当然是看不见的,但如果能够获取隐藏的不可见窗口,就有可能查看到木马的踪影。</P>
<P>  软件名称:系统查看大师 <BR>  软件版本:V1.0.0 <BR>  软件语言:简繁中文<BR>  软件类型:共享软件 <BR>  运行环境:Win9X/NT/2000/XP<BR>  软件大小:559 KB <BR>  下载地址:http://xj-http.skycn.net:8080/down/xpprocess.exe</P>
<P>  我们直接运行下载后的《系统查看大师》主程序即可,在其左侧视图中点击“取不可见窗口”按钮。此后,在其右侧的进程列表中就将显示出所有当前运行的未在屏幕上直观显示出的窗口标题(图13)。选定其中的可疑窗口后,点击右下端的“结束此窗口”按钮即可。</P>
<P align=center><IMG src="http://www.yesky.com/imagesnew/software/031222/softzb031222_13.jpg"><BR><BR>图 13</P>
<P></P>
6
 楼主| 发表于 2005-11-27 17:54 | 显示全部楼层
  <FONT color=#990000><B>Win9X/Me系统也能拥有WinXP的任务管理器</B></FONT>
<br>
<P>  Windows XP系统的用户,可以使用“任务管理器”,轻松查看系统进程,但是,Windows 98/Me的用户,却只能查看当前运行的应用程序。为了使这部分用户也能够管理系统进程。笔者为大家介绍一款与XP系统的“任务管理器”最为相似的第三方软件。</P>
<P>  软件名称:Windows任务管理器 <BR>  软件版本:V2.22 <BR>  软件大小:769 KB<BR>  软件语言:简体中文<BR>  应用平台:Win95/98/Me<BR>  下载地址:http://js-http.skycn.net:8080/down/taskmgr2.22_setup.exe</P>
<P>  运行“Windows任务管理器”后,大家看看其界面,是不是和Windows XP的同类工具像同胞兄弟?我们切换到“进程”标签页,在其中显示出了当前处于活动状态的进程。选择其中指定的进程后,点击下方的“进程细节”按钮,在弹出对话框中(图14)可选择查看“文件细节”、“线程细节”及“模块细节”等。其中在“模块细节”标签页中,可以获知该进程所调用的若干DLL文件。另外,为了便于随时应用“Windows任务管理器”,建议将它设置为随系统自动运行。</P>
<P align=center><IMG src="http://www.yesky.com/imagesnew/software/031222/softzb031222_14.jpg" border=1><BR><BR>图 14</P>
<P>  结语:笔者以上所介绍的若干关于系统进程方面的应用,虽说不是非常全面,但从中也足可看出,这小小进程,原来还有这么大的学问。 </P>
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则


浙江科技学院和山论坛|手机客户端|小黑屋|和山论坛

GMT+8, 2024-11-1 07:37 , Processed in 0.102104 second(s), 24 queries , Gzip On.

Powered by Discuz! X3.2

© 2005-2019 和山论坛(www.hsbbs.com)

快速回复 返回顶部 返回列表