|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-09-17, 01:21 PM | #1 |
榮譽會員
|
系統 - 詳細分析Win XP的操作系統工作行程
很多朋友面對系統中的工作行程,往往感到茫然,不知它們具有什麼功能;是否可以結束其執行,以節省系統資源;哪個工作行程比較可疑,可能是木馬……其實工作行程應該可理解為處於活動狀態的電腦程式,它在操作系統中執行特定的任務。
本文,筆者將以Windows XP操作系統為例,為大家介紹系統工作行程的相關內容。 揪出可疑工作行程 揭露工作行程偽裝術 工作行程級別有高低 工作行程樹的妙用 封殺工作行程的另類方法 Win9X/Me也能擁有WinXP的任務管理器 揪出可疑工作行程 系統工作行程一般包括:基本系統工作行程和附加工作行程。基本系統工作行程是系統執行的必備條件,只有這些工作行程處於活動狀態,系統才能正常執行;而附加工作行程則不是必需的,你可以按需新增或結束。我們就先來瞭解一下哪些是最基本的系統工作行程。 1.基本系統工作行程 Csrss.exe:這是子系統服務器工作行程,負責控制Windows創建或刪除線程以及16位的虛擬DOS環境。 System Idle Process:這個工作行程是作為單線程執行在每個處理器上,並在系統不處理其它線程的時候分派處理器的時間。 Smss.exe:這是一個會話管理子系統,負責啟動用戶會話。 Services.exe:系統服務的管理工具。 Lsass.exe:本機的安全授權服務。 Explorer.exe:視窗檔案總管。 Spoolsv.exe:管理緩衝區中的印表和傳真作業。 Svchost.exe:這個工作行程要著重說明一下,有不少朋友都有這種錯覺:若是在「任務管理器」中看到多個Svchost.exe在執行,就覺得是有病毒了。其實並不一定,系統啟動的時候,Svchost.exe將檢查註冊表中的位置來創建需要載入的服務列表,如果多個Svchost.exe同時執行,則表明當前有多組服務處於活動狀態;多個DLL文件正在呼叫它。 至於其它一些附加工作行程,大多為系統服務,是可以酌情結束執行的。由於其數量眾多,我們在此也不便於一一列舉。 在系統資源緊張的情況下,我們可以選擇結束一些附加工作行程,以增加資源,起到優化系統的作用。在排除基本系統及附加工作行程後,新增的陌生工作行程就值得被大家懷疑了。 2.常見木馬工作行程 廣外女生:Diagcfg.exe工作行程。 WAY無賴小子:Msgsvc.exe工作行程。 冰河木馬:Kernel32.exe工作行程。 BO2000木馬:Umgr32.exe工作行程。 客觀地說,目前主流的木馬在配置服務器時,很多都具有自定義工作行程名稱的功能,例如《粉色信鴿》等。因此在判定木馬時,其工作行程名稱不止一種,寄希望於通過工作行程名稱,查找木馬服務器端的方法,已不太具適用性了。所以,我們需要自己的判斷,揪出工作行程中的「害群之馬」。 3.自行分析可疑工作行程 軟件名稱:柳葉擦眼 軟件版本:V4.00 Beta 1 軟件大小:374KB 軟件語言:簡體中文 應用平台:Win9X/NT/2000/XP 我們執行《柳葉擦眼》後,滑鼠雙擊系統工作列中的該程式圖示,即可看到主界面(圖1)。在此大家將會注意到,程式已為你標示出了系統文件。因此,大家只需注意那些「定義級別」為「未知」及「危險」的工作行程,這樣就大大縮小了我們的判定範圍。當你發現有問題的工作行程後,選定並點擊「降妖伏魔」按鍵即可封殺該工作行程。 為了使程式更趨於我們的使用習慣,大家可以自定義設置。點擊左側視圖中的「參數設置」,在右側界面中可設定是否標示系統文件、正常文件及危險文件;是否所有程式均可執行;是否自動關閉危險文件;還可設定檢測重新整理時間(圖2)。 |
__________________ |
|
送花文章: 3,
|