系統安全：從進程尋找木馬的痕跡

蔡逸竹

孤獨者 - 心在黑暗裡旅行 ...... ...

至尊會員

Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7

遊蕩的過客 - 枉入紅塵若許年 .. ...

UID: 18273
帖子: 12122
精華: 1273
積分: 240737
金幣: 492641
威望: 5001
推廣: 0
閱讀權限: 99
來自: 尋覓中
註冊時間: 2006-6-24
最後登錄: 2015-5-27

總版主典獄長榮譽勳章陽光會員宣傳大使榮退獎章糾察隊長鍾愛一生勳章大學博士勳章守護天使勳章忠誠勳章高級糾察社區建設獎章社區巡守獎章社界宗師勳章資源專家勳章傳學大師勳章文壇大家勳章點評專家勳章終身成就獎章熱心助人獎章最佳分享獎章

發短消息
加為好友
當前離線

1樓大中小發表於 2006-9-16 22:16

系統安全：從進程尋找木馬的痕跡

　對於進程這個概念，許多電腦用戶都沒有給予太多關注。在很多人印象裡，只知道結束進程可以殺死程序，至於哪些進程對應哪些程序，究竟什麼樣的進程該殺，什麼樣的進程不能殺這些問題很少考慮。這裡通過幾個實例為大家揭開進程的神秘面紗。

　　實例一：和進程的「表演者」交個朋友

　　很多時候，我們並沒有注意到系統中到底有多少進程。如果想瞭解進程的秘密，首先就必須和一些常見系統進程交個朋友，一旦掌握了它們，就能像偵探一樣迅速從進程名單中發現可疑的傢伙。

　　在Windows 2000/XP中，Ctrl+Shift+Esc組合鍵能快速調出任務管理器，而Windows 9X為Ctrl+Alt+Del組合鍵。

　　1.「主角」進程

　　首先來熟悉一下系統中的基本進程，它們是系統運行的基本條件，一般情況下不能關閉它們，否則會導致系統崩潰。

　　Windows 2000/XP：smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同時存在多個)、spoolsv.exe、explorer.exe、System Idle Process；

　　Windows 9x：msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。

　　你知道嗎

　　進程與程序

　　簡單地說，每啟動一個程序，就啟動了一個進程。在Windows 3.x中，進程是最小運行單位。在Windows 9X/2000/XP中，每個進程還可以啟動幾個線程，比如每下載一個文件可以單獨開一個線程。在Windows 9X/2000/XP中，線程是最小單位。程序是永存的，進程是暫時的。舉一個例子說：如果程序是劇本，那麼表演過程就是進程；如果程序是菜譜，那麼烹調過程就是進程。

　　人鬼情未了——Svchost.exe

　　它位於系統目錄的System32文件夾，是從動態鏈接庫(DLL)運行服務的一般性宿主進程。在任務管理器中，可能會看到多個Svchost.exe在運行，不要大驚小怪，這可能是多個DLL文件在調用它。不過，正因為如此，它也成為了病毒利用的對象，以前的「藍色代碼」病毒就是一例。另外，如果感染了衝擊波病毒，系統也會提示「Svchost.exe出現錯誤」。

　　如果要查看哪些服務正在使用Svchost.exe，對於Windows 2000可從其安裝光盤的SupportToolsSupport.cab壓縮包中，將Tlist.exe解壓縮至任意目錄，接著在「命令提示符」中進入Tlist.exe所在目錄，輸入「tlist -s」並回車(「tlist pid」命令可看到詳細信息)。而在Windows XP則直接輸入「Tasklist /SVC」查看進程信息(「Tasklist /fi "PID eq processID"」則可看到詳細信息)。

　　2.「配角」進程 ]

　　這些系統進程雖然不是系統運行必須的，但也經常在進程列表中拋頭露面。如internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe，它們都是正常的系統進程。

　　建議在安裝完Windows後，點擊「開始→程序→附件→系統工具→系統信息」，在打開的「系統信息」窗口中再點擊「軟件環境→正在運行任務」(在此進程列表中，可看到更詳細的屬性，其中程序路徑是非常重要的信息)，接著點擊「操作→另存成文本文件」，以後系統出現異常時則對照進行分析。另外，「優化大師」也提供了保存進程快照的功能。

　　實例二：查找木馬的蛛絲馬跡

　　許多木馬和一些防護工具採用了雙進程保護手段，例如「Falling Star」木馬就採用雙進程模式，下面來看看如何發現它們。

　　第一步：打開任務管理器。根據和常見進程比較，很明顯會發現兩個「熟悉的陌生人」(和系統基本進程名稱相似，但不相同)：「internet.exe」和「systemtray.exe」。請和上一實例中的」配角「進程比較。

　　第二步：打開「系統信息」的「軟件環境→正在運行任務」，查看路徑信息，兩者均指向WindowsSystem32目錄，而且文件大小、日期均相同，但從文件日期來看並不屬於微軟的系統文件。進入資源管理器查看其版本屬性，雖然公司標明為Microsoft，但與系統文件中的微軟公司名稱書寫並不相同，基本可斷定是非法進程，並且為雙進程模式。

　　第三步：在嘗試結束進程時，第一次選擇「systemtray.exe」來結束進程樹，結果進程馬上就再生了，任務管理器中又顯示出這兩個進程！於是再次選擇「internet.exe」，然後結束進程樹。進程沒有再生，從而將木馬進程從系統中清除。

　　實例三：真真假假系統進程

　　許多病毒和木馬為避免從進程名稱中發現它們的蹤影，往往會採用「障眼法」，使用和系統文件或系統進程名稱類似的進程名稱。

　　1.文件名偽裝

　　(1)修改常見程序或進程個別字符

　　例如，上面介紹的「Falling Star」木馬的進程名稱「internet.exe」就與輸入法進程「internat.exe」十分相似。「WAY無賴小子」的服務端進程名稱為「msgsvc.exe」，與系統基本進程「msgsrv32.exe」類似，還有Explorer.exe和Exp1orer.exe的區別，不仔細的話你能看出來嗎？(數字「1」取代了字母「l」)

　　(2)修改擴展名

　　著名的冰河木馬的服務端進程為Kernel32.exe，乍一看很熟悉，好像是哪個系統進程，其實系統根本不存在這樣一個文件，Windows 9x的基本進程中卻有一個叫做「Kernel32.dll」的。諸如此類的還有「Shell32.exe」的木馬進程是從「Shell32.dll」這個大家都很熟悉的文件「演變」而來的，實際在系統中都是不存在的。

　　2.路徑偽裝

　　Windows目錄和System目錄是系統核心文件所在地，一般是「閒人免進」。因此，出入它們的文件一般都被人們認為是系統文件，而病毒和木馬就藉機將源文件放在這兩個目錄中。對於這類情況，一般只需要通過系統信息找到其源文件路徑，打開文件的屬性，從日期(這個非常重要，可以看是否與系統文件日期一樣)、版本、公司名稱信息中即可看出破綻。沒有哪個病毒、木馬文件能設計得與系統文件完全一致。

　　實例四：優化系統從進程開始 ]

　　除系統運行必須的基本進程外，每個程序運行後都會在系統中生成進程，每個進程都會佔用一定的CPU資源和內存資源。過多的進程和一些設計不良的進程就會導致系統變慢、性能下降，這時可對它們進行一下優化。

　　1.精簡進程

　　系統中的一些進程並不是必須的，結束它們並不會對系統造成什麼損害。

　　比如：internat.exe(顯示輸入法圖標)、systray.exe(顯示系統托盤小喇叭圖標)、ctfmon.exe(微軟Office輸入法)、mstask.exe(計劃任務)、sysexplr.exe(超級解霸伺服器)、winampa.exe(Winamp代理)、wzqkpick.exe(WinZip助手)等。

　　有一款叫做「進程殺手」的免費小工具，具備自動精簡進程功能，可自動中止系統基本進程以外的所有進程。在懷疑電腦運行了某些黑客進程或病毒進程但又不能確定是哪一個時，該軟件就可以有效清除那些非法進程。不過它只適合Windows 9x/Me。下載地址訪客無法瀏覽此圖片或連結，請先註冊或登入會員。。

　　2.殺死不良進程

　　有時你會發現系統運行速度特別慢，這時可打開任務管理器，單擊「進程」標籤，點擊「CPU」列標籤讓進程按CPU資源佔用排序，可以很明顯地看到資源佔用最高的程序。同樣方法，可以點擊「內存」列標籤，查看那些內存佔用大戶，及時結束進程。

　　這裡有一種情況比較特殊：在查看CPU佔用率時，一個叫做「System Idle Process」的進程會一直顯示在90%左右。不必擔心，實際上它並沒有佔用這麼多系統資源，單擊「性能」標籤可看到其實際的CPU資源佔用情況。

　　★對於Windows 9x，使用任務管理器是無法像Windows 2000/XP那樣看到所有進程以及CPU、內存佔用情況，推薦使用Process Explorer(下載地址訪客無法瀏覽此圖片或連結，請先註冊或登入會員。)。

　　★如果某個16位程序影響了系統運行，而且死活也關不掉，可進入任務管理器的進程選項卡，找到NTVDM.exe進程，將其關掉即可殺掉所有16位應用程序，而不用重啟。

3.優化軟件或遊戲性能

　　你還可以通過改變軟件和遊戲進程優先級來提高其性能，這樣能使它們運行得更快，當然負作用就是可能影響到其他正在運行的進程。比如，為避免刻錄緩存溢出問題造成刻錄失敗，可進入任務管理器的進程選項卡，找到並右擊刻錄軟件的進程項，選擇「設置優先級」，然後在彈出的子菜單中選擇「高」。如果你不想每次都這樣設置，可使用下面的方法。

　　第一步：打開軟件或遊戲所在目錄，比如：D:/game，在這裡新建一個文本文件，在其中輸入以下語句：

　　echo off

　　start /priority game.exe

　　說明：將priority替換為所需的CPU優先級，建議使用high(高)、abovenormal(高於標準)，因為它們的效果最好。將game.exe替換為軟件或遊戲的可執行文件名稱，比如：stvoy.exe。

　　第二步：做完以上修改後將其保存為game.bat，現在就能通過這個文件來啟動遊戲或軟件，而它將會使遊戲或軟件具有更高的CPU優先級。不過要注意的是，該文件必須要保存在遊戲或軟件所在目錄。

TOP

edward

正式會員

Rank: 2 Rank: 2

UID: 23612
帖子: 17
精華: 0
積分: 279
金幣: 172
威望: 0
推廣: 0
閱讀權限: 10
註冊時間: 2006-7-9
最後登錄: 2007-1-1

發短消息
加為好友
當前離線

2樓大中小發表於 2006-9-19 00:34

最近網路病毒猖獗尤其木馬程式最甚
拜讀版主文章瞭解發現病毒的方法
對防毒有所認識將來才能有所防範
謝謝分享!!

TOP

a20055520

正式會員

Rank: 2 Rank: 2

UID: 44616
帖子: 52
精華: 0
積分: 330
金幣: 95
威望: 0
推廣: 0
閱讀權限: 10
註冊時間: 2006-8-14
最後登錄: 2006-10-24

發短消息
加為好友
當前離線

3樓大中小發表於 2006-10-10 19:37

從進程尋找木馬的痕跡
原來還有這個方法還真感謝大大的講解

TOP