一般來說,任何的網(wǎng)絡(luò)攻擊行為�����,無論是病毒還是木馬,其發(fā)生的時(shí)候�,肯定會(huì)在系統(tǒng)中留下一些痕跡。下面���,我談?wù)勎覀內(nèi)绾螐南到y(tǒng)進(jìn)程中查看我們的網(wǎng)絡(luò)及操作系統(tǒng)是否正在遭受病毒或者木馬的侵襲����,及對(duì)應(yīng)的解決方法�������;蛟S能夠給正在遭受網(wǎng)絡(luò)安全困擾的用戶��,一些幫助����。
具體怎么看系統(tǒng)進(jìn)程,我想這里就不用我多說了��。很多工具都可以查看系統(tǒng)進(jìn)程,最常用的方法就是利用操作系統(tǒng)自帶的任務(wù)管理器進(jìn)行查看����。
一、CSRSS進(jìn)程異常
根據(jù)官方的解釋���,CSRSS進(jìn)程是Windows圖形相關(guān)控制的客戶端服務(wù)自系統(tǒng)�。正常情況下���,在操作系統(tǒng)的任務(wù)進(jìn)程中���,必須有這個(gè)進(jìn)程,否則系統(tǒng)就的圖形界面就無法使用了���。但是,這個(gè)進(jìn)程也很有可能被病毒所利用����,成為病毒的保護(hù)傘。
若CSRSS進(jìn)程出現(xiàn)了以下的異常情況���,那么說明你的電腦很可能中毒了��。應(yīng)該即使采取措施���,否則會(huì)影響操作系統(tǒng)以網(wǎng)絡(luò)的安全�。
1�、當(dāng)任務(wù)管理器中,出現(xiàn)多個(gè)CSRSS進(jìn)程時(shí)���。一般情況下����,在操作系統(tǒng)中�,只能出現(xiàn)一個(gè)CSRSS進(jìn)程。雖然說CSRSS進(jìn)程是必須的�����,但是�,也不是多多益善。當(dāng)任務(wù)管理器中的進(jìn)程顯示出有多個(gè)CSRSS進(jìn)程的話��,那么說明你的操作系統(tǒng)中招了���。
2�、當(dāng)CSRSS進(jìn)程運(yùn)行的用戶名不是SYSTEM,及其運(yùn)行的模塊路徑不是System32 文件夾下的話�,那么你也要當(dāng)心了。很可能你電腦已經(jīng)成為了黑客眼中的肉雞����,成為影響企業(yè)網(wǎng)絡(luò)安全的一顆定時(shí)炸彈,隨時(shí)都會(huì)爆炸�。
3、當(dāng)CSRSS病毒出現(xiàn)在微軟早七的版本中��,如98系統(tǒng)或者WINME操作系統(tǒng)的話�,那么,也說明這個(gè)進(jìn)程是有問題的進(jìn)程��。因?yàn)镃SRSS進(jìn)程�,是微軟操作系統(tǒng)2000以后的產(chǎn)物。在以前的操作系統(tǒng)中���,沒有這個(gè)進(jìn)程�����。若不幸在以前的操作系統(tǒng)的版本中發(fā)現(xiàn)這個(gè)進(jìn)程的話,那絕對(duì)是病毒無疑��。
解決方式:
若CSRSS是木馬引起的,那么CSRSS是一個(gè)小的腳本程序���,F(xiàn)在很多木馬都會(huì)用到這個(gè)進(jìn)程����,如QQ木馬�����、傳奇盜號(hào)木馬��、MSN木馬��、郵件帳號(hào)木馬等等�����。中了這些木馬的時(shí)候�,一般操作系統(tǒng)本身不會(huì)有很大的反映,系統(tǒng)的速度也是正常的����,所以比較隱蔽。但是���,其危害是很大的��。其會(huì)把企業(yè)的一些帳號(hào)����,如VPN用戶名與密碼、即時(shí)通信工具與密碼等等都泄露出去�,給企業(yè)的網(wǎng)絡(luò)安全帶來很大的隱患。
遇到這種這種情況的話�����,我們應(yīng)該采取如下措施:
1��、通過注冊(cè)表刪除這個(gè)進(jìn)程��。因?yàn)槟抉R把這個(gè)進(jìn)程偽裝成系統(tǒng)進(jìn)程��,所以�����,試圖通過任務(wù)管理器結(jié)束這個(gè)進(jìn)程的時(shí)候��,系統(tǒng)會(huì)提示錯(cuò)誤信息����,告知這個(gè)進(jìn)程為系統(tǒng)進(jìn)程不能停止。所以����,只能夠通過注冊(cè)表管理器,把這個(gè)進(jìn)程刪除���。注意���,不要把系統(tǒng)原來的那個(gè)進(jìn)程給刪除了。所以����,還是建議在修改注冊(cè)表之前,先記得備份一下���。
2���、然后查看進(jìn)程運(yùn)行時(shí)的系統(tǒng)路徑。把該進(jìn)程在注冊(cè)表中刪除后��,在任務(wù)管理器中的進(jìn)程處就找不到這個(gè)進(jìn)程了����。此時(shí)����,找到其原先運(yùn)行的路徑下面�����,我們就可以看到有一個(gè)CSRSS可執(zhí)行文件����。注意,只要不是SYSTEM32����,其他的都可以刪除。我們也可以通過系統(tǒng)自帶的搜索功能��,查詢這個(gè)文件��。把不是在SYSTEM32目錄下的CSRSS文件都刪除�。
3、為了安全起見��,升級(jí)我們的殺毒軟件或者網(wǎng)上尋找專殺工具,對(duì)我們的系統(tǒng)進(jìn)行全面的查殺�����。把病毒殺掉后��,要及時(shí)把補(bǔ)丁打上�����,以防止下次不小心又中招了����。
二����、LSASS進(jìn)程異常
LSASS進(jìn)程也是微軟操作系統(tǒng)的系統(tǒng)進(jìn)程,其主要用來管理IP安全策略以及啟動(dòng)ISAKMP/IKE和IP安全驅(qū)動(dòng)程序����。這個(gè)進(jìn)程會(huì)產(chǎn)生會(huì)話秘鑰以及授予用戶交互式客戶/服務(wù)器驗(yàn)證的服務(wù)憑據(jù)。
一般情況下�,若系統(tǒng)進(jìn)程中出現(xiàn)了一個(gè)LSASS進(jìn)程,并且其是以SYSTEM的用戶運(yùn)行且運(yùn)行目錄是在System32下面��,那不用擔(dān)心��,是正常的。但是�,有時(shí)候這個(gè)進(jìn)程也會(huì)作怪,有些木馬或者病毒也會(huì)假冒這個(gè)進(jìn)程來欺騙用戶�����。
當(dāng)發(fā)生以下異常情況時(shí)��,那我們需要注意了��,可能我們的操作系統(tǒng)以及網(wǎng)絡(luò)已經(jīng)受到病毒或者木馬的威脅���。
1���、在系統(tǒng)中出現(xiàn)了多個(gè)LSASS進(jìn)程。一般以大寫命名的LSASS進(jìn)程是正常的���,是系統(tǒng)進(jìn)程����;但是�,若同時(shí)還存在一個(gè)小寫命名的lsass進(jìn)程的話,那就說明你的系統(tǒng)可能已經(jīng)出問題了,被病毒或者木馬看中了����。
2、若中了ISASS病毒的話����,不僅會(huì)在系統(tǒng)進(jìn)程中產(chǎn)生兩個(gè)LSASS進(jìn)程,而且����,還會(huì)產(chǎn)生一個(gè)EXERT進(jìn)程����。這兩個(gè)進(jìn)程分工合作,共同來管理LSASS病毒��。一般來說�,LSASS進(jìn)程控制LSASS病毒的執(zhí)行,而EXERT病毒控制LSASS病毒的退出����。所以,若這兩個(gè)進(jìn)程成對(duì)出現(xiàn)的話�����,那你的系統(tǒng)百分之百的已經(jīng)中了LSASS病毒。
LSASS病毒也是一個(gè)盜號(hào)木馬��,其主要運(yùn)行在微軟的操作系統(tǒng)上��。以前的版本危害比較小�,主要用來盜取游戲密碼。但是�,改良后的LSASS病毒,不僅會(huì)盜取游戲密碼����,而且,還會(huì)盜取郵箱�����、QQ密碼等等�����,對(duì)于企業(yè)網(wǎng)絡(luò)的安全影響比較大����。不法之徒可以利用這個(gè)工具���,獲取企業(yè)郵箱等密碼,竊取企業(yè)的機(jī)密����,如客戶發(fā)給企業(yè)的定單等等。LSASS病毒會(huì)記錄鍵盤信息��,最后把用戶名與密碼信息記錄下來并發(fā)送到指定的郵箱�����,從而竊取用戶的帳號(hào)與密碼等等����。所以��,危害級(jí)別比較大��。
解決方案:
1����、結(jié)束LSASS進(jìn)程。因?yàn)樵撨M(jìn)程為系統(tǒng)進(jìn)程(其實(shí)不是����,只是偽裝����,但是操作系統(tǒng)本身不能識(shí)別)����,所以,無法在進(jìn)程管理器中直接停止�。我們只能夠通過注冊(cè)表,或者在DOS窗口中�,利用NTSD命令強(qiáng)行停止。NTSD是從微軟的2000以后的操作系統(tǒng)中自帶的用戶調(diào)試工具�。被調(diào)試器附著的進(jìn)程會(huì)隨調(diào)試器的退出而一起退出。所以����,可以同這個(gè)命令在命令行窗口下強(qiáng)行終止進(jìn)程。但是�����,一般情況下���,NTSD命令不能殺掉SYSTEM用戶運(yùn)行的進(jìn)程�。不過還好,LSASS病毒的LSASS進(jìn)程是不是以SYSTEM用戶運(yùn)行的����。從這里我們可以看出,在進(jìn)程管理器中���,其結(jié)束進(jìn)程的話��,有時(shí)候是按進(jìn)程的名字來限制的�;但是�����,利用NTSD命令的話���,他考慮的是以什么身份進(jìn)行運(yùn)行的。故利用NTSD命令可以停止一些偽裝系統(tǒng)進(jìn)程運(yùn)行的非法進(jìn)程�����。利用這個(gè)命令��,也可以禁止上面談的CSRSS非法進(jìn)程��。當(dāng)然,以SYSTEM運(yùn)行的合法系統(tǒng)進(jìn)程是結(jié)束不掉的�����。具體的命令為ntsd –c q –p 進(jìn)程ID.通過進(jìn)程管理器,可以查到非法進(jìn)程的ID,就可以通過這個(gè)命令禁止掉了�����。
2����、刪除病毒文件。LSASS病毒會(huì)在其他盤下生成兩個(gè)文件����,分別為Autorun.inf與command.com文件。一般這兩個(gè)文件的屬性是隱藏的���。所以�����,我們需要把文件的顯示屬性設(shè)置為"顯示隱藏文件與系統(tǒng)文件"才會(huì)看到這個(gè)兩個(gè)文件���。找到他們���,然后把他們刪除。同時(shí)���,在啟動(dòng)盤下���,可能會(huì)有一些病毒文件,如EXERT.EXE等����,我們也要把他們一一找出來,刪除掉�����。不然的話��,下次還是會(huì)中招�����。
3��、修復(fù)注冊(cè)表��。這個(gè)病毒在注冊(cè)表中會(huì)生成比較多的垃圾�,所以,若是手工清除的話�,一方面,不一定能夠全部清除干凈��,另一方面���,也可能一不小心���,產(chǎn)生一些錯(cuò)誤。此時(shí)��,我們最好利用我們最近備份的注冊(cè)表備份文件���,直接進(jìn)行恢復(fù)��。
4����、從網(wǎng)上下載專殺工具或者升級(jí)我們的殺毒軟件����,進(jìn)行全面的查殺����。
5��、為了安全起見�����,需要提醒我們的員工�,及時(shí)更改我們的帳戶密碼。因?yàn)橛脩?的密碼很可能已經(jīng)泄露出去�����。如果不及時(shí)把密碼改過來的話���,不法分子可以利用他們已經(jīng)得到的用戶名與密碼�����,進(jìn)行一些非法的勾當(dāng)�����。
以上這兩種進(jìn)程都是盜號(hào)木馬的工具����。對(duì)于這些盜號(hào)木馬進(jìn)程���,一般情況下��,不會(huì)對(duì)系統(tǒng)運(yùn)行造成什么影響�����。所以���,相對(duì)來說,比較隱蔽��。但是��,其危害性�,確實(shí)比其他病毒大的多。有些病毒只是惡作劇的性質(zhì)�����,最多只是讓操作系統(tǒng)崩潰或者造成網(wǎng)絡(luò)擁塞。而企業(yè)的文件��、帳戶信息等不會(huì)泄露出去�����。所以����,這些惡作劇的病毒危害性反而小一點(diǎn)。
所以����,為了保障企業(yè)網(wǎng)絡(luò)的安全,最好的辦法還是部署企業(yè)級(jí)別的殺毒系統(tǒng)�。如此的話,可以實(shí)現(xiàn)在用戶不用干預(yù)的情況下�����,對(duì)殺毒軟件進(jìn)行及時(shí)的升級(jí)��,防止病毒與木馬入侵���。一般來說���,任何的網(wǎng)絡(luò)攻擊行為�,無論是病毒還是木馬��,其發(fā)生的時(shí)候����,肯定會(huì)在系統(tǒng)中留下一些痕跡���。我接著談?wù)勎覀內(nèi)绾螐南到y(tǒng)進(jìn)程中查看我們的網(wǎng)絡(luò)及操作系統(tǒng)是否正在遭受病毒或者木馬的侵襲��,及對(duì)應(yīng)的解決方法�������;蛟S能夠給正在遭受網(wǎng)絡(luò)安全困擾的用戶�����,一些幫助�。
三�、SMSS進(jìn)程異常
SMSS進(jìn)程是會(huì)話管理子系統(tǒng)的進(jìn)程�,他主要用來初始化系統(tǒng)變量�����。正常情況下��,他是以系統(tǒng)用戶名(system)身份運(yùn)行��,并且運(yùn)行目錄是在SYSTEM32下面��。這個(gè)進(jìn)程是通過系統(tǒng)進(jìn)程初始化的并且對(duì)許多活動(dòng)的系統(tǒng)變量作出反映���。其實(shí)這個(gè)進(jìn)程我們平時(shí)也經(jīng)常會(huì)感受到��。當(dāng)某個(gè)程序發(fā)生異常時(shí)���,SMSS進(jìn)程就會(huì)讓系統(tǒng)停止響應(yīng)。有時(shí)候我們?cè)诰W(wǎng)上沖浪系統(tǒng)突然提示網(wǎng)頁發(fā)生錯(cuò)誤將關(guān)閉����,就跟這個(gè)進(jìn)程有關(guān)系。這個(gè)進(jìn)程的正常運(yùn)行��,對(duì)于系統(tǒng)穩(wěn)定性來說����,是非常重要的��。
但是�����,這個(gè)系統(tǒng)進(jìn)程也被不法之人利用了�。若你在任務(wù)管理器中發(fā)現(xiàn)以下異���,F(xiàn)象,那么就要恭喜你了�����,你中木馬了�。
異常現(xiàn)象:
1�����、不是以系統(tǒng)用戶名(system)身份運(yùn)行的�,并且,運(yùn)行目錄不是SYSTEM32下面的�,那么就說明這個(gè)進(jìn)程有異常����。我們要注意�,若是系統(tǒng)的正常的SMSS進(jìn)程,一定是以系統(tǒng)用戶名運(yùn)行的�����,并且���,一定是在SYSTEM32目錄下運(yùn)行�����。否則的話�����,就不是系統(tǒng)本身的SMSS進(jìn)程�����,很可能是木馬偽造的進(jìn)程����。
2、在系統(tǒng)中有同時(shí)出現(xiàn)兩個(gè)或者兩個(gè)以上SMSS進(jìn)程�,那么你就要注意了,你電腦很可能中了木馬���。
現(xiàn)在最常見的SMSS進(jìn)程異常是由WIN32.LADEX.A木馬所造成的�。這個(gè)木馬病毒危害很大�����,他不僅允許攻擊者訪問你的電腦����,而且���,還會(huì)竊取你的機(jī)密文件與個(gè)人密碼�。這個(gè)危害性是很大的�。根據(jù)官方的建議,若發(fā)現(xiàn)這個(gè)進(jìn)程異常的話���,要馬上刪除這個(gè)進(jìn)程�����,并進(jìn)行殺毒工作�����。
這個(gè)木馬若手工刪除的話��,非常的麻煩����。以前我單位有一電腦中了這個(gè)木馬,我整整花了一天的時(shí)間�,刪除關(guān)聯(lián)文件,修改注冊(cè)表����,才清除干凈。一般我不建議手工刪除這個(gè)木馬�����,太麻煩���,而且比較專業(yè)���,要求對(duì)
關(guān)鍵詞標(biāo)簽:企業(yè),網(wǎng)絡(luò)安全,檢查,進(jìn)
用小工具巧殺計(jì)算機(jī)病毒
Windows 17年的老漏洞(VDM 0day)須警惕
光驅(qū)也瘋狂 Autorun病毒冒充文件夾
謹(jǐn)防.URL擴(kuò)展名病毒