查看單個文章
舊 2004-10-05, 04:57 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 真真假假系統行程 從行程搜尋木馬的蛛絲馬跡

真真假假系統行程 從行程搜尋木馬的蛛絲馬跡
作者:未知



對於行程這個概念,許多電腦用戶都沒有給予太多關注。


在很多人印象裡,只知道結束行程可以殺死程序,至於哪些行程對應哪些程序,究竟什麼樣的行程該殺,什麼樣的行程不能殺這些問題很少考慮。這裡通過幾個實例為大家揭開行程的神秘面紗。


  實例一:和行程的「表演者」交個朋友

  很多時候,我們並沒有注意到系統中到底有多少行程。如果想瞭解行程的秘密,首先就必須和一些一般系統行程交個朋友,一旦掌握了它們,就能像偵探一樣迅速從行程名單中發現可疑的傢伙。

  在Windows 2000/XP中,Ctrl+Shift+Esc組合鍵能快速彈出工作管理器,而Windows 9X為Ctrl+Alt+Del組合鍵。

  1.「主角」行程

  首先來熟悉一下系統中的基本行程,它們是系統執行的基本條件,一般情況下不能關閉它們,否則會導致系統崩潰。

  Windows 2000/XP:smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同時存在多個)、spoolsv.exe、explorer.exe、System Idle Process;

  Windows 9x:msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。

  你知道嗎

  行程與程序

  簡單地說,每啟動一個程序,就啟動了一個行程。在Windows 3.x中,行程是最小執行服務機構。在Windows 9X/2000/XP中,每個行程還可以啟動幾個執行緒,比如每下載一個文件可以單獨開一個執行緒。在Windows 9X/2000/XP中,執行緒是最小服務機構。



程序是永存的,行程是暫時的。舉一個例子說:如果程序是劇本,那麼表演程序就是行程;如果程序是菜譜,那麼烹調程序就是行程。

  人鬼情未了——Svchost.exe

  它位於系統目錄的System32資料夾,是從動態連接庫(DLL)執行服務的一般性宿主行程。在工作管理器中,可能會看到多個Svchost.exe在執行,不要大驚小怪,這可能是多個DLL文件在使用它。


不過,正因為如此,它也成為了病毒利用的對象,以前的「藍色程式碼」病毒就是一例。另外,如果感染了衝擊波病毒,系統也會提示「Svchost.exe出現錯誤」。

  如果要檢視哪些服務正在使用Svchost.exe,對於Windows 2000可從其安裝光碟的SupportToolsSupport.cab壓縮包中,將Tlist.exe解壓縮至任意目錄,接著在「命令提示字元」中進入Tlist.exe所在目錄,輸入「tlist -s」並Enter鍵(「tlist pid」指令可看到詳細資料)。



而在Windows XP則直接輸入「Tasklist /SVC」檢視行程訊息(「Tasklist /fi "PID eq processID"」則可看到詳細資料)。

  2.「配角」行程

  這些系統行程雖然不是系統執行必須的,但也經常在行程列表中拋頭露面。如internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe,它們都是正常的系統行程。

  建議在安裝完Windows後,點擊「開始→程序→附件→系統工具→系統資訊」,在開啟的「系統資訊」視窗中再點擊「軟體環境→正在執行工作」(在此行程列表中,可看到更詳細的內容,其中程序路徑是非常重要的訊息),接著點擊「操作→另存成文本文件」,以後系統出現異常時則對照進行分析。另外,「最佳化大師」也提供了儲存行程抓圖 的功能●。

  實例二:搜尋木馬的蛛絲馬跡

  許多木馬和一些防護工具採用了雙行程保護手段,例如「Falling Star」木馬就採用雙行程模式,下面來看看如何發現它們。

  第一步:開啟工作管理器。根據和一般行程比較,很明顯會發現兩個「熟悉的陌生人」(和系統基本行程名稱相似,但不相同):「internet.exe」和「systemtray.exe」。



請和上一實例中的」配角「行程比較。

  第二步:開啟「系統資訊」的「軟體環境→正在執行工作」,檢視路徑訊息,兩者均指向WindowsSystem32目錄,而且文件大小、日期均相同,但從文件日期來看並不屬於微軟的系統檔案。



進入檔案總管檢視其版本內容,雖然公司標明為Microsoft,但與系統檔案中的微軟公司名稱書寫並不相同,基本可斷定是非法行程,並且為雙行程模式。

  第三步:在嘗試結束行程時,第一次選項「systemtray.exe」來結束行程樹,結果行程馬上就再生了,工作管理器中又顯示出這兩個行程!於是再次選項「internet.exe」,然後結束行程樹●。行程沒有再生,從而將木馬行程從系統中清除。

  實例三:真真假假系統行程

  許多病毒和木馬為避免從行程名稱中發現它們的蹤影,往往會採用「障眼法」,使用和系統檔案或系統行程名稱類似的行程名稱。

  1.檔案名偽裝

  (1)修改一般程序或行程個別字元

  例如,上面介紹的「Falling Star」木馬的行程名稱「internet.exe」就與輸入法行程「internat.exe」十分相似。


「WAY無賴小子」的服務端行程名稱為「msgsvc.exe」,與系統基本行程「msgsrv32.exe」類似,還有Explorer.exe和Exp1orer.exe的區別,不仔細的話你能看出來嗎?(數位「1」取代了字母「l」)

  (2)修改副檔名

  著名的冰河木馬的服務端行程為Kernel32.exe,乍一看很熟悉,好像是哪個系統行程,其實系統根本不存在這樣一個文件,Windows 9x的基本行程中卻有一個叫做「Kernel32.dll」的。諸如此類的還有「Shell32.exe」的木馬行程是從「Shell32.dll」這個大家都很熟悉的文件「演變」而來的,實際在系統中都是不存在的。

  2.路徑偽裝

  Windows目錄和System目錄是系統核心文件所在地,一般是「閒人免進」。因此,出入它們的文件一般都被人們認為是系統檔案,而病毒和木馬就藉機將源文件放在這兩個目錄中。


對於這類情況,一般只需要通過系統資訊找到其源文件路徑,開啟文件的內容,從日期(這個非常重要,可以看是否與系統檔案日期一樣)、版本、公司名稱訊息中即可看出破綻。沒有哪個病毒、木馬文件能設計得與系統檔案完全一致。

  實例四:最佳化系統從行程開始

  除系統執行必須的基本行程外,每個程序執行後都會在系統中產生行程,每個行程都會佔用一定的CPU資源和記憶體資源。過多的行程和一些設計不良的行程就會導致系統變慢、效能下降,這時可對它們進行一下最佳化。

  1.精簡行程

  系統中的一些行程並不是必須的,結束它們並不會對系統造成什麼損害。

  比如:internat.exe(顯示輸入法圖示)、systray.exe(顯示系統托盤小喇叭圖示)、ctfmon.exe(微軟Office輸入法)、mstask.exe(計劃工作)、sysexplr.exe(超級解霸服務器)、winampa.exe(Winamp代理)、wzqkpick.exe(WinZip助手)等。

  有一款叫做「行程殺手」的免費小工具,具備自動精簡行程功能,可自動中止系統基本行程以外的所有行程。在懷疑電腦執行了某些黑客行程或病毒行程但又不能確定是哪一個時,該軟體就可以有效清除那些非法行程。不過它只適合Windows 9x/Me。下載位址http://js-http.skycn.net:8080/down/prockiller_23.rar。

  2.殺死不良行程

  有時你會發現系統執行速度特別慢,這時可開啟工作管理器,按下「行程」標籤,點擊「CPU」列標籤讓行程按CPU資源佔用排序,可以很明顯地看到資源佔用最高的程序。



同樣方法,可以點擊「記憶體」列標籤,檢視那些記憶體佔用大戶,及時結束行程。

  這裡有一種情況比較特殊:在檢視CPU佔用率時,一個叫做「System Idle Process」的行程會一直顯示在90%左右。



不必擔心,實際上它並沒有佔用這麼多系統資源,按下「效能」標籤可看到其實際的CPU資源佔用情況。

  ★對於Windows 9x,使用工作管理器是無法像Windows 2000/XP那樣看到所有行程以及CPU、記憶體佔用情況,推薦使用Process Explorer(下載位址http://www.sysinternals.com/ntw2k/fr.../procexp.shtml)。

  ★如果某個16位程序影響了系統執行,而且死活也關不掉,可進入工作管理器的行程選擇項,找到NTVDM.exe行程,將其關掉即可殺掉所有16位應用程式,而不用重啟。

3.最佳化軟體或遊戲效能

  你還可以通過改變軟體和遊戲行程優先等級來提高其效能,這樣能使它們執行得更快,當然負作用就是可能影響到其他正在執行的行程。


比如,為避免燒錄快取溢位問題造成燒錄失敗,可進入工作管理器的行程選擇項,找到並右擊燒錄軟體的行程項,選項「設定優先等級」,然後在彈出的子功能表中選項「高」。如果你不想每次都這樣設定,可使用下面的方法。

  第一步:開啟軟體或遊戲所在目錄,比如:D:/game,在這裡新增一個文本文件,在其中輸入以下語句:

  echo off

  start /priority game.exe

  說明:將priority取代為所需的CPU優先等級,建議使用high(高)、abovenormal(高於標準),因為它們的效果最好。將game.exe取代為軟體或遊戲的可執行檔案名稱,比如:stvoy.exe。

  第二步:做完以上修改後將其儲存為game.bat,現在就能通過這個文件來啟動遊戲或軟體,而它將會使遊戲或軟體具有更高的CPU優先等級。不過要注意的是,該檔案必須要儲存在遊戲或軟體所在目錄.


rnathchk.exe


realsched.exe 這兩個都是多媒體播放軟體RealOne Player的在背後執行的程序,主要可能是檢測一些昇級、版本方面的訊息。可以結束這兩個行程。


realplay.exe 多媒體播放軟體RealOne Player


HprSnap5.exe 我的截圖軟體,上面這張圖就是用它來截取的


Winamp.exe 我的MP3播放軟體winamp,你也喜歡用它吧


svchost.exe 包含很多系統服務,系統的基本行程


Flashget.exe 我的下載軟體-網際快車


MsPMSPSv.exe WMDM PMSP Service 在我電腦裡位置是:D:\WINDOWS\system32

taskmgr.exe 這個就是系統的工作管理器,按下「Ctrl+Alt+Del」實際上就是執行這個程序

mixer.exe 我的8738音效卡調音量、聲道等的程序

MyIE.exe 我的瀏覽器。

比IE好用啊
explorer.exe 檔案總管

spoolsv.exe 緩衝(spooler)服務是管理緩衝池中的列印和傳真作業

svchost.exe 包含很多系統服務,居然有4個這種行程

lsass.exe 管理 IP 安全原則以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程式。
(系統服務)

services.exe 包含很多系統服務

winlogon.exe 這個行程是管理用戶登入和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就啟動了,顯示安全對話視窗

csrss.exe 子系統伺服器行程(看到有CS讓我想到反恐精英,手癢癢了)

smss.exe Session Manager 什麼管理
QQ.exe 玩電腦的都用的東東。

順便說一下,本人的QQ號碼是17742593,有倩女閒得無聊的……
system 系統
System Idle Process 這個行程是不可以從工作管理器中關掉的。


這個行程是作為單執行緒執行在每個處理器上,並在系統不處理其他執行緒的時候分派處理器的時間。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次