项目二进程与注册表.ppt

项目二 进程与注册表 任务1 认识系统进程与常被利用的危险进程任务2 使用常用的进程管理工具管理进程 IceSword 任务3 了解木马经常利用的注册表键值 任务1 认识系统进程与常被利用的危险进程 进程是指在系统中正在运行的一个应用程序 线程是系统分配处理器时间资源的基本单元 或者说进程之内独立执行的一个单元 对于操作系统而言 其调度单元是线程 一个进程至少包括一个线程 通常将该线程称为主线程 一个进程从主线程的执行开始进而创建一个或多个附加线程 就是所谓基于多线程的多任务 在操作系统中 进程与病毒永远是不会分离的 病毒要运行 是需要依靠进程的 因此 了解进程 能够帮助我们更好的了解病毒 从而进行病毒的查杀工作 常见的进程 进程名描述smss exeSessionManagercsrss exe子系统服务器进程winlogon exe管理用户登录services exe包含很多系统服务lsass exe管理IP安全策略以及启动ISAKMP Oakley IKE 和IP安全驱动程序svchost exeWindows2000 XP的文件保护系统SPOOLSV EXE将文件加载到内存中以便迟后打印 explorer exe资源管理器internat exe托盘区的拼音图标mstask exe允许程序在指定时间运行 regsvc exe允许远程注册表操作 系统服务 remoteregister tftpd exe实现TFTPInternet标准 该标准不要求用户名和密码 llssrv exe证书记录服务ntfrs exe在多个服务器间维护文件目录内容的文件同步 RsSub exe控制用来远程储存数据的媒体 locator exe管理RPC名称服务数据库 clipsrv exe支持 剪贴簿查看器 以便可以从远程剪贴簿查阅剪贴页面 msdtc exe并列事务 是分布于两个以上的数据库 消息队列 文件系统或其他事务保护资源管理器 grovel exe扫描零备份存储 SIS 卷上的重复文件 并且将重复文件指向一个数据存储点 以节省磁盘空间 只对NTFS文件系统有用 snmp exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报以上这些进程都是对计算机运行起至关重要的 千万不要随意 杀掉 否则可能直接影响系统的正常运行 病毒如何利用进程 系统中的正常进程有 svchost exe explorer exe iexplore exe winlogon exe等 可能你发现过系统中存在这样的进程 svch0st exe explore exe iexplorer exe winlogin exe 对比一下 发现区别了么 这是病毒经常使用的伎俩 目的就是迷惑用户的眼睛 通常它们会将系统中正常进程名的o改为0 l改为i i改为j 然后成为自己的进程名 仅仅一字之差 意义却完全不同 又或者多一个字母或少一个字母 例如explorer exe和iexplore exe本来就容易搞混 再出现个iexplorer exe就更加混乱了 如果用户不仔细 一般就忽略了 病毒的进程就逃过了一劫 如果用户比较心细 那么上面这招就没用了 病毒会被就地正法 如果一个进程的名字为svchost exe 和正常的系统进程名分毫不差 那么这个进程是不是就安全了呢 非也 其实它只是利用了 任务管理器 无法查看进程对应可执行文件这一缺陷 我们知道svchost exe进程对应的可执行文件位于 C WINDOWS system32 目录下 Windows2000则是C WINNT system32目录 如果病毒将自身复制到 C WINDOWS 中 并改名为svchost exe 运行后 我们在 任务管理器 中看到的也是svchost exe 和正常的系统进程无异 你能辨别出其中哪一个是病毒的进程吗 进程注入 即使我们了解一般的进程以及它们所在的位置 但是还是不能避免病毒利用进程的第三招 注入 所谓注入就是病毒采用了进程插入技术 将病毒运行所需的dll文件插入正常的系统进程中 表面上看无任何可疑情况 实质上系统进程已经被病毒控制了 除非我们借助专业的进程检测工具 否则要想发现隐藏在其中的病毒是很困难的 病毒利用进程的实例 svchost exe常被病毒冒充的进程名有 svch0st exe schvost exe scvhost exe 随着Windows系统服务不断增多 为了节省系统资源 微软把很多服务做成共享方式 交由svchost exe进程来启动 而系统服务是以动态链接库 DLL 形式实现的 它们把可执行程序指向svchost 由svchost调用相应服务的动态链接库来启动服务 正是通过这种调用 可以省下不少系统资源 因此系统中出现多个svchost exe 其实只是系统的服务而已 在Windows2000系统中一般存在2个svchost exe进程 一个是RPCSS RemoteProcedureCall 服务进程 另外一个则是由很多服务共享的一个svchost exe 而在WindowsXP中 则一般有4个以上的svchost exe服务进程 如果svchost exe进程的数量多于5个 就要小心了 很可能是病毒假冒的 检测方法也很简单 使用一些进程管理工具 例如冰刃 IceSword 查看svchost exe的可执行文件路径 如果在 C WINDOWS system32 目录外 那么就可以判定是病毒了 explorer exe常被病毒冒充的进程名有 iexplorer exe expiorer exe explore exe explorer exe就是我们经常会用到的 资源管理器 如果在 任务管理器 中将explorer exe进程结束 那么包括任务栏 桌面 以及打开的文件都会统统消失 单击 任务管理器 文件 新建任务 输入 explorer exe 后 消失的东西又重新回来了 explorer exe进程的作用就是让我们管理计算机中的资源 explorer exe进程默认是和系统一起启动的 其对应可执行文件的路径为 C Windows 目录 除此之外则为病毒 iexplore exe常被病毒冒充的进程名有 iexplorer exe iexploer exeiexplorer exe进程和上文中的explorer exe进程名很相像 因此比较容易搞混 其实iexplorer exe是MicrosoftInternetExplorer所产生的进程 也就是我们平时使用的IE浏览器 知道作用后辨认起来应该就比较容易了 iexplorer exe进程名的开头为 ie 就是IE浏览器的意思 iexplore exe进程对应的可执行程序位于C ProgramFiles InternetExplorer目录中 存在于其他目录则为病毒 除非你将该文件夹进行了转移 此外 有时我们会发现没有打开IE浏览器的情况下 系统中仍然存在iexplore exe进程 这要分两种情况 1 病毒假冒iexplore exe进程名 2 病毒偷偷在后台通过iexplore exe干坏事 因此出现这种情况还是赶快用杀毒软件进行查杀吧 rundll32 exe常被病毒冒充的进程名有 rundl132 exe rundl32 exe rundll32 exe在系统中的作用是执行DLL文件中的内部函数 系统中存在多少个Rundll32 exe进程 就表示Rundll32 exe启动了多少个的DLL文件 其实rundll32 exe我们是会经常用到的 他可以控制系统中的一些dll文件 举个例子 在 命令提示符 中输入 rundll32 exeuser32 dll LockWorkStation 回车后 系统就会快速切换到登录界面了 rundll32 exe的路径为 C Windows system32 在别的目录则可以判定是病毒 spoolsv exe常被病毒冒充的进程名有 spoo1sv exe spolsv exe spoolsv exe是系统服务 PrintSpooler 所对应的可执行程序 其作用是管理所有本地和网络打印队列及控制所有打印工作 如果此服务被停用 计算机上的打印将不可用 同时spoolsv exe进程也会从计算机上消失 如果你不存在打印机设备 那么就把这项服务关闭吧 可以节省系统资源 停止并关闭服务后 如果系统中还存在spoolsv exe进程 这就一定是病毒伪装的了 任务2 进程管理工具 学习并掌握以下工具的使用 冰刃 IceSword SREngNortonProcessViewer相关工具的使用请参考互联网 任务3 了解木马经常利用的注册表键值 通常情况下 病毒在一旦植入计算机 就会对注册表进行修改 写入相应的键值或修改已有的键值 因此 掌握必备的注册表知识是十分必要的 关于注册表详细资料请参考 与病毒相关的注册表技巧 一 查注册表位置一1 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Run2 HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run3 HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Runservices一般的木马可能在这3个位置加入启动项从而随系统启动 因此 如果怀疑系统中毒后 可以查看一下以上三个位置是否有可疑的启动项 异常子键项诊断和处理 注册表位置1 出现键值项 Drive32同时HKEY CLASSES ROOT exefile shell open command默认值 1 可能被改 诊断可能病毒Sciram邮件病毒 危害删除吞噬硬盘空间或删除系统 手动清除方法 1 F8进入DOS安全模式 搜索查到Auotexec bat 记事本打开并找到字段 win recyclrd sirc32 exe 删除保存 2 将regedit exe更名 再DOS命令3 删除HKEY LOCAL MACHINE SOFTWARE SirCam和HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Runservices Drive324 改HKEY CLASSES ROOT exefile shell open command默认值 1 5 重启系统 二 查注册表位置二HKEY CLASSES ROOT txtfile shell open command默认子键类型 REG EXPAND SZ 健值 SystemRoot system32 NOTEPAD EXE 1异常子键项诊断和处理注册表位置出现键值C WINDOWS system Sysexplr exe或C WINDOWS system32 Sysexplr exe诊断可能病毒 冰河 手动清除方法 如前 三 查注册表位置三HKEY CURRENT USER Software默认子键没有子键项Help异常子键项诊断和处理多了子键项Help诊断可能病毒 欢乐时光 脚本病毒 每逢月份 日期 13 会自运删除系统中的exe和all文件 把系统文件VBS HTML HTT ASP修改成恶意代码传播 手动清除方法1 在C盘根目录下及DocumentsandSettings windows两个目录中查找以Help命名 和原墙纸名同名 的vbs html htm bta asp文件 凡含有 RemIamsorry Happytime 字符串的文件全部删除 2 删除注册表中HKEY CURRENT USER Software Help3 删除你E Mail中带附件Unfitled htm的邮件 4 重启系统 注册表被锁的解决方法 一般情况下 从 运行 对话框输入regedit exe即可打开注册表进行编辑 但有时候会发现注册表被病毒锁住了 此时可以用以下的方式解锁 打开记事本 输入以下内容 并将文档保存为 reg的文档 然后双击打开即可REGEDIT4 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies System DisableRegistryTools dword 00000000 后记 进程与注册表的知识掌握程度决定了抗病毒水平的高低 建议同学们在平时的学习中多去了解这方面的知识限于篇幅的限制 课件中未能将所有的技巧列出 希望同学们多利用互联网