《项目二进程与注册表》由会员分享,可在线阅读,更多相关《项目二进程与注册表(20页珍藏版)》请在金锄头文库上搜索。
1、项目二:进程与注册表 任务1:认识系统进程与常被利用的危险进程 任务2:使用常用的进程管理工具管理进程(IceSword) 任务3:了解木马经常利用的注册表键值任务务1:认识系统进程与常被利用的危险进程 进程是指在系统中正在运行的一个应用程序;线程是系统分配处理器时间资源的基 本单元,或者说进程之内独立执行的一个单元。对于操 作系统而言,其调度单元是 线程。一个进程至少包括一个线程,通常将该线程称为主线程。一个进程从主线程 的执行开始进而创建一个或多个附加线程,就是所谓基于多线程的多任务。 在操作系统中,进程与病毒永远是不会分离的,病毒要运行,是需要依靠进程的。 因此,了解进程,能够帮助我们更
2、好的了解病毒,从而进行病毒的查杀 工作。常见见的进进程进程名 描述 smss.exe Session Managercsrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序svchost.exe Windows 2000/XP 的文件保护系统SPOOLSV.EXE 将文件加载到内存中以便迟后打印。explorer.exe 资源管理器internat.exe 托盘区的拼音图标mstask.exe 允许程序在指定时间运行。reg
3、svc.exe 允许远程注册表操作。(系统服务)remoteregistertftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。llssrv.exe 证书记录服务ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。RsSub.exe 控制用来远程储存数据的媒体。locator.exe 管理 RPC 名称服务数据库。clipsrv.exe 支持“剪贴簿查看器“,以便可以从远程剪贴簿查阅剪贴页面。msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其他 事务保护资源管理器。grovel.exe 扫描零备份存储(SIS)卷上的重复文
4、件,并且将重复文件指向一个数 据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)。snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报 以上这些进程都是对计算机运行起至关重要的,千万不要随意“杀掉”,否则可能直 接影响系统的正常运行。病毒如何利用进进程? 系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等。 可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、 winlogin.exe。 对比一下,发现区别了么? 这是病毒经常使用的伎
5、俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名 的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同 。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混, 再出现个iexplorer.exe就更加混乱了。 如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。 如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。 如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程 是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执 行文件这一缺陷。我们知道s
6、vchost.exe进程对应的可执行文件位于 “C:WINDOWSsystem32”目录下(Windows2000则是C:WINNTsystem32目录 ),如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后, 我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。 你能辨别出其中哪一个是病毒的进程吗?进进程注入 即使我们了解一般的进程以及它们所在的位置,但是还是不能避免病毒利用进程的 第三招:注入。 所谓注入就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统 进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控
7、制了,除非我们 借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。病毒利用进进程的实实例 svchost.exe 常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着 Windows系统服务不断增多,为了节省系统资 源,微软把很多服务做成共享方式 ,交由svchost.exe进程来启动。而系统服务是以动态链 接库(DLL)形式实现 的, 它们把可执行程序指向svchost,由svchost调用相应服务的动态链 接库来启动服 务。正是通过这 种调用,可以省下不少系统资 源,因此系统中出现多个 svchost.exe,其实只是系统的服务
8、而已。 在Windows2000系统中一般存在2个svchost.exe进程,一个是 RPCSS(RemoteProcedureCall)服务进 程,另外一个则是由很多服务共享的一个 svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进 程。如果 svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测 方法也 很简单 ,使用一些进程管理工具,例如冰刃(IceSword),查看svchost.exe的可执行 文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。 explorer.exe 常被病毒
9、冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。 explorer.exe就是我们经 常会用到的“资源管理器”。如果在“任务管理器”中将 explorer.exe进程结束,那么包括任务栏 、桌面、以及打开的文件都会统统 消失, 单击 “任务管理器”“文件”“新建任务”,输入“explorer.exe”后,消失的东西又重 新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。explorer.exe 进程默认是和系统一起启动的,其对应 可执行文件的路径为“C:Windows”目录, 除此之外则为 病毒。 iexplore.exe
10、常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上 文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是 Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览 器。知 道作用后辨认起来应该 就比较容易了,iexplorer.exe进程名的开头为 “ie”,就是IE 浏览 器的意思。 iexplore.exe进程对应 的可执行程序位于C:ProgramFilesInternetExplorer目 录中,存在于其他目录则为 病毒,除非你将该文件夹进 行了
11、转移。此外,有时我 们会发现 没有打开IE浏览 器的情况下,系统中仍然存在iexplore.exe进程,这要分 两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷 在后台通过iexplore.exe干坏 事。因此出现这 种情况还是赶快用杀毒软件进行查杀 吧。 rundll32.exe 常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统 中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就 表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到 的,
12、他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入 “rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界 面了。rundll32.exe的路径为“C:Windowssystem32”,在别的目录则 可以判定是 病毒。 spoolsv.exe 常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务 “Print Spooler”所对应 的可执行程序,其作用是管理所有本地和网络打印队列及控 制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.ex
13、e 进程也会从计算机上消失。如果你不存在打印机设备 ,那么就把这项 服务关闭吧 ,可以节省系统资 源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程, 这就一定是病毒伪装的了。任务务2:进进程管理工具 学习并掌握以下工具的使用: 冰刃(IceSword) SREng Norton Process Viewer 相关工具的使用请参考互联网任务务3:了解木马经常利用的注册表键值 通常情况下,病毒在一旦植入计算机,就会对注册表进行修改:写入相应的键值 或修改已有的键值 。 因此,掌握必备的注册表知识是十分必要的。 关于注册表详细资 料请参考:http:/ , http:/ 一、查注册表
14、位置一1)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun2)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun3) HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunse rvices一般的木马可能在这3个位置加入启动项从而随系统启动,因此,如果怀疑系统中毒后,可 以查看一下以上三个位置是否有可疑的启动项。异常子键项诊断和处理 注册表位置1)出现键值项:Drive32同时HKEY_CLASS
15、ES_ROOTexefileshellopencommand默认值“%1” %*可能被改。诊断可能病毒Sciram邮件病毒(危害删除吞噬硬盘空间或删除系统)手动清除方法1、F8进入DOS安全模式,搜索查到Auotexec.bat,记事本打开并找到字段winrecyclrdsirc32.exe,删 除保存。 2、将regedit.exe更名,再DOS命令copy regedit.exe 3、删除HKEY_LOCAL_MACHINESOFTWARESirCam和 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservicesDriv e324、改HKEY_CLASSES_ROOTexefileshellopencommand默认值“%1“ %*5、重启系统。 二、查注册表位置二HKEY_CLASSES_ROOTtxtfileshellopencommand 默认子键 类型:REG_EXPAND_SZ;健值:%SystemRoot%system32NOTEPAD.EXE %1 异常子键项诊断和处理 注册表位置出现键值C:WINDOWSsystemS
