探索黑客技术攻防,实战研究与安全创新

导航菜单
首页 » 操作系统 » 正文

Windows 2000下进程的观察与常规进程的描述

2016年09月03日 操作系统 20369 views

一、进程观察工具

我们知道,在WINDOWS 2000下,用Ctrl、AIL和DEL三个键的组合可以调出任务管理器。在任务管理器的进程标签内,包含当前系统中所有正在运行的进程。如图1所示。

图片1.png

我们可以看到,通过任务管理器的进程列表,我们可以观察每一个进程的映像名称、PID号码、CPU占有率、CPU时间和内存的使用,在Windows 2000下,都包含一个叫“System Idle Process”的进程,这个进程成为“系统空间进程”负责传送延时过程调用或调度线程。

作为进程的观察工具来说,

Windows的任务管理器的功能比较单一,我推荐大家使用

图片2.png

这个软件功能强大,可以观察当前系统中的所有进程和所有进程所打开的句柄,包含的动态链接库等详细的内容。其工作画面如图2所示。

图片3.png

在图二中,我们可以详细的看到每一个进程的PID、依属关系、CPU占有率、进程说明、所有者等等相关的内容。

通过这个工具,我们可以通过在一个进程上双击鼠标详细的查看每一个进程的程序映像所在的位置、命令行内容、安全设置选项、环境等等内容,如图三所示,还可以详细的了解每一个进程的信息,以提供我们判断一个进程是否合法的依据。

二、Windows 2000系统常见进程

下面列表罗列的进程为Windows 2000下的常规进程,大多数Windows 2000在安装完成后都包括

图片4.png

以下系统进程:

System Idle Process:系统空闲进程,在Windows NT/2000下,这个进程的PID都是0这个进程的作用在上面已经有过描述了。

System:系统进程,在Windows NT下,这个进程的PID是5,在Windows 2000下,这个进程的PID是8,这进程实际上并不是用户态的进程,是所有运行在核心态的“系统线程”的内容,或者可以说是在运行核心态的“系统线程”的用户态表示。

Smss:会话管理器进程,映像文件

图片5.png

为系统的安装路径,例如你的Wiodows NT/2000如果安装在C:\目录下,那么SystemRoot就代表C:\Winnt这个目录,System30\smss.exe,它是系统创建的第一个用户模拟进程,他负责运行子系统进程和Winlogon进程,然后创建其他系统进程。

Csrss:客户服务器RunTime进程,映像文件:\SystmRoot\System32\Csrss.exe,负责环境自系统的支持,实现Win32子系统的一部分,实现注入控制台窗口,创建删除进程与线程、支持16位虚拟DOS机进程的部分等等。

Winlogon:Windows 2000登录进程,映像文件:\SystmRoot\System32\winlogon.exe,处理交互式登录退出。

Services:服务控制管理进程,映像文件\SystmRoot\System32\services.exe,负责用户模式的服务的启动,停止和与用户模式服务的相互作用,它本事提供许多用户模式的服务。

下面描述一些常见的用户模式服务进程:

图片6.png

图片7.png

功能提供TAPI的支持,以便程序控制本地计算机、服务器以及LAN上的电话设备和基于IP的语音连接,因为这个服务程序可以有很多个实例运行在不同的进程中,所以在当前的进程列表中可能包含多个Svchost进程,其区别就是带有不同的运行参数。

以上所描述的进程有可能存在任何一个Windows 2000的系统中,其中系统进程必然包括在上一个默认安装的Windows 2000的系统中。

三、合法的进程

那么,我们该如何区分哪些进程是合法的进程呢?一般情况下,由于Windows 2000的文件保护功能,其提供给我们的进程应该是安全的,如上面图2描述的那些进程,但也不能忽视对其的检查文件保护首先你应该检查当前系统的文件保护功能是否开放,打开注册表管理器,查看下面注册表路径:

图片8.png

键名:SFCDisable,如果其键值为0FFFFFF9DH,那么你要当心了,这个键值可以完全屏蔽Windows 2000的文件保护功能,如果你确定你没有更改过,那么,可能有的系统文件已经被病毒或者木马改写了,请立刻用最新的杀毒软件对系统进行查杀病毒操作。

其次你应该检查所有服务的映像文件位置,例如服务进程svchost的位置应该是\SystmRoot\System32\svchost.exe,如果发生了变化,那么就可以认为是木马改变了映像文件的位置,用以绕过Windows 2000的文件保护功能,并且这个映像文件既有可能被木马改写了,请立即停止这个服务,并在注册表中查找一下注册表路径:

图片9.png


查找映像文件发生变化的服务,改变其映像文件为系统默认的路径。

由于Windows 2000的良好保护功能,系统服务被替换一般情况下比较少见,最常见的是在进程列表中发现十分陌生的进程,通过第一节我们介绍的工具,我们可以详细的查看系统中存在的每一个进程,包括你安装并运行的应用软件,如QQ、foxmail等等,并可以查看映像文件的路径,你应该养成对系统中每一个由自己安装的应用软件的位置,是否开机自动运行

等特征进行记忆的好习惯,这样,通过观察进程列表,如果发现一个从没有见过的进程,其影响文件的路径你也从没有用过,就可以发现太多的木马程序。

我们这里查看系统开放的端口和映像文件的对应列表使用的应用程序是Foundstone出品的免费软件FPORT


图片10.png


系统在上网的时候还可能开放类似1025、1026、10XX的端口,通过Fport查看,可以看到是IE打开的,通过FPort,我们可以详细查看系统中都有那些进程开放了端口,如果也极有可能是木马开放的,应该中止那个开放端口的进程,并对其映像文件进行检查。

其实,要区分恶意进程和系统进程并不是很困难,用一个好的工具,加上一点点头脑,很容易就可以抓出系统中非法的恶意程序来。


相关推荐

网站分类