解析 Windows XP 操作系统进程
很多朋友面对系统中的进程,往往感到茫然,不知它们具有什么功能;是否可以结束其运行,以节省系统资源;哪个进程比较可疑,可能是木马……其实进程应该可理解为处于活动状态的计算机程序,它在操作系统中执行特定的任务。
本文,笔者将以 Windows XP 操作系统为例,为大家介绍系统进程的相关内容。
揪出可疑进程
系统进程一般包括:基本系统进程和附加进程。基本系统进程是系统运行的必备条件,只有这些进程处于活动状态,系统才能正常运行;而附加进程则不是必需的,你可以按需新建或结束。我们就先来了解一下哪些是最基本的系统进程。
1. 基本系统进程
Csrss.exe :这是子系统服务器进程,负责控制 Windows 创建或删除线程以及 16 位的虚拟 DOS 环境。
System Idle Process :这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。
Smss.exe :这是一个会话管理子系统,负责启动用户会话。
Services.exe :系统服务的管理工具。
Lsass.exe :本地的安全授权服务。
Explorer.exe :资源管理器。
Spoolsv.exe :管理缓冲区中的打印和传真作业。
Svchost.exe :这个进程要着重说明一下,有不少朋友都有这种错觉:若是在“任务管理器”中看到多个 Svchost.exe 在运行,就觉得是有病毒了。其实并不一定,系统启动的时候, Svchost.exe 将检查注册表中的位置来创建需要加载的服务列表,如果多个 Svchost.exe 同时运行,则表明当前有多组服务处于活动状态;多个 DLL 文件正在调用它。
至于其它一些附加进程,大多为系统服务,是可以酌情结束运行的。由于其数量众多,我们在此也不便于一一列举。
在系统资源紧张的情况下,我们可以选择结束一些附加进程,以增加资源,起到优化系统的作用。在排除基本系统及附加进程后,新增的陌生进程就值得被大家怀疑了。
2. 常见木马进程
广外女生: Diagcfg.exe 进程。
WAY 无赖小子: Msgsvc.exe 进程。
冰河木马: Kernel32.exe 进程。
BO2000 木马: Umgr32.exe 进程。
客观地说,目前主流的木马在配置服务器时,很多都具有自定义进程名称的功能,例如《粉色信鸽》等。因此在判定木马时,其进程名称不止一种,寄希望于通过进程名称,查找木马服务器端的方法,已不太具适用性了。所以,我们需要自己的判断,揪出进程中的“害群之马”。
3. 自行分析可疑进程
软件名称:柳叶擦眼
软件版本: V4.00 Beta 1
软件大小: 374KB
软件语言:简体中文
应用平台: Win9X/NT/2000/XP
下载地址: http : //tj-http.skycn.net ? 8181/down/eye400fb.zip
我们运行《柳叶擦眼》后,鼠标双击系统托盘中的该程序图标,即可看到主界面(图 1 )。在此大家将会注意到,程序已为你标示出了系统文件。因此,大家只需注意那些“定义级别”为“未知”及“危险”的进程,这样就大大缩小了我们的判定范围。当你发现有问题的进程后,选定并点击“降妖伏魔”按钮即可封杀该进程。
图 1
为了使程序更趋于我们的使用习惯,大家可以自定义设置。点击左侧视图中的“参数设置”,在右侧界面中可设定是否标示系统文件、正常文件及危险文件;是否所有程序均可运行;是否自动关闭危险文件;还可设定检测刷新时间(图 2 )。
图 2
我们可看到“定义文件列表”中显示的是程序预置的定义级别及其功能说明。可根据个人机器的程序运行情况,自行添加定义。例如,平日经常使用“ Virtual PC ”虚拟机等程序,可将它设置为“正常文件”。在“添加文件定义”弹出窗口中(图 3 ),输入“程序名称”及“功能说明”并定义级别即可。另外,也可将已知的木马进程添加为“危险文件”。最后,点击“确定并保存设置”按钮。经过这一番定制后,哪些进程存在问题就一目了然了。
图 3
我们在程序中执行的各项操作,将会被自动记录下来,大家在“柳叶日志”中可以查看(图 4 )。
图 4
揭露进程伪装术
木马伪装技术的发展可谓日新月异,由进程隐藏到进程插入,使得在查杀方面越来越难以应付了。一般具有进程插入功能的木马会把自身注入其它应用程序的地址空间,而这个应用程序对于系统来说,是一个绝对安全的程序。
即使我们查找出了 DLL 插入进程,如果它是嵌入在系统基本进程中的,如“ svchost.exe ”等进程,我们是无法结束其运行的。
下面,将以实例演示一下线程插入类后门是如何在机器上运行的。我们以目前比较流行的“ Devil4.exe ”(魔鬼 4 号)程序为例。
运行“ EditDevil4.exe ”配置程序后,在显示界面中设置“配置文件”(即需要在目标上激活的可执行文件)、端口(可自定义,本例中为 9000 )、密码及插入进程(一般设置为系统基本进程,本例中为 Explorer.exe )(图 5 )。配置完毕后,执行确认操作,使其生效。
图 5
一旦目标机器激活了配置好的程序,“ Devil4.exe ”将立即插入至指定进程中。我们可使用“ fport v2.0 ”这款系统工具查看所有开放的 TCP 和 UDP 端口,并显示相应的应用程序(支持 WinNT4/2000/XP )。运行“命令提示符”后,进入 fport 程序的存储路径,运行它。
大家注意查看其中的“ Explorer.exe ”进程,看到其 TCP 协议开放端口为适才笔者所定制 9000 端口,此时表明病毒进程插入成功(图 6 )。“ Devil4.exe ”后门本身具有删除程序,运行“ DelDevil4.exe ”程序后,就可清除驻留系统中的后门。
图 6
小提示: 如果大家要封杀可疑端口,可以使用 Active Ports 及 DBPort 之类的第三方端口工具。这两款软件均是图形化界面,操作方法非常类似。不仅可自动刷新进程,还能够立即关闭指定端口。
对于线程插入类木马的查杀,并非一件轻而易举的事,由于在配置插入进程时使用者可随意指定,因此,大家一定要安装杀毒软件并定期升级病毒库。
如果要手动查杀,则需要用户具有相当的知识水平与一定的经验积累。在此给大家推荐一款比较优秀的软件——进程间谍。利用它,可以查看窗口和子窗口句柄、 ID 、标题,以及父进程 ID 线程个数路径等,还可获知指定父进程的下属模块……我们要着重利用该程序的可查看 DLL 模块的功能,试图找出可疑的插入进程。
软件名称:进程间谍
软件版本: V1.0.2.1
软件语言:简体中文
软件类型:共享软件
应用平台: Win9X/Me/2000/XP/2003
下载地址: http : //www.516688.net/bios/down/dpg1f.exe
运行《进程间谍》程序后,查看“进程树”标签页,点击“刷新进程”按钮,而后选择左侧列表的进程,当选定一个进程后,程序开始处理相关信息。我们切换到当前右侧视图中的“模块”标签页(图 7 ),在此显示了很多该进程中插入的 DLL 线程,包括“模块名”(需要着重查看)、“基地地址”、“大小”及“进入口”。大家从中即可仔细排查可疑线程,例如广外女生的 DLL 插入线程是“ %\system32\gwboydll.dll ”。
图 7
进程级别有高低
我们在使用 MyIE 2 浏览网页时,又同时运行了下载工具等。这种情况下,我们就可以通过相应的设置,使系统优先处理 MyIE 2 ,为它分配更多的 CPU 资源。
按“ Ctrl+Alt+Del ”组合键,调出“ Windows 任务管理器”,查看“进程”标签页,选定其中希望优先处理的程序后,在其右键弹出菜单中选择“设置优先级→‘高'或‘高于标准'”(图 8 )。而其它在后台处理的程序,则可将进程设置为“低”或“低于标准”。
图 8
小提示: 如果调节进程优先级别后,感觉 CPU 占用率过高,要实时还原为原来的级别,以免系统因资源耗尽而当机。
进程树的妙用
我们在“ Windows 任务管理器”中,可以看到在指定进程的右键弹出菜单中有一项“结束进程树”的选项(图 9 )。那么这个“进程树”是什么呢 ?
图 9
一个应用程序运行后,还可能调用其它的进程来执行操作,这一组进程就形成了一个进程树(进程树可能是多级的,并非只有一个层次的子进程)。该应用程序称之为父进程,其所调用的对象称之为子进程。当我们结束一个进程树后,即表示同时结束了其所属的所有子进程,此种方法常用于对可复制自身的木马进程的封杀。即当发现木马进程后,选择“结束进程树”。但是, Windows 系统自身的任务管理器并不具备显示子进程的功能。我们可利用“ Process Viewer ”这款软件,实现详细查看进程树的目的。
软件名称: Process Viewer
软件版本: v3.7.3.1
软件语言:英文
软件类型:免费软件
应用平台: Win9X/NT/2000/XP/2003
软件大小: 92KB
下载地址: http : //www.xmlsp.com/pview/PrcView.zip
运行“ Process Viewer ”程序后,在其主界面中将实时显示当前运行的进程。大家点击菜单栏上的“ View → Process Tree ”,在弹出对话框中即可以进程树的模式查看相关进程(图 10 )。
图 10
下面,笔者要提及一下其它实用功能。当你选择主界面中的指定进程后,点击菜单栏上的“ Process → Startup Info ”,在弹出对话框中大家将获知其启动信息,在“ Start directory ”选项中显示的是启动路径;在“ Command Line ”选项中显示的是命令行;在“ Environment ”中显示的是环境。
另外,如果你希望了解某个进程对应的是哪个应用程序或反之。则需要选择指定进程后,点击菜单栏上的“ View → Applications ”,在弹出对话框中就可查看。
封杀进程的另类方法
在上文中,我们已经提及了如何在“ Windows 任务管理器”中结束进程。但那只是常规方式,现在,我们就来玩玩别出心裁的非常规进程封杀方式。
1. 封杀对方机器进程
我们可以利用两种方法实现这一目的。第一种就是使用远程控制程序,目前大部分木马都具有查看被控端主机进程的功能,而且还可以远程结束指定进程。这部分内容相信对系统安全感兴趣的朋友都非常熟悉了,因此,就不详细介绍了。第二种方法,就是使用专门结束进程的工具——自定义杀进程。运行程序后,在其中文本框中(图 11 )输入欲结束的进程名称(注意:是“进程”列表中的名称,而非应用程序名称),而后会“生成”一个文件。通过某种途径使它在目标机器上激活,就可封杀对方机器的指定进程了。
图 11
小提示: 如果你需要经常在远程机器上管理进程,那么还是选择一款专业工具为佳。 Remote Task Manager 就是一款能够让你在远程管理系统进程的软件(适用于 WinNT 的机器),就如同在本地机器使用 “Windows 任务管理器 ” 一样。
2. 定时封杀本机进程
软件名称:进程终结者
软件版本: V1.0
软件语言:简体中文
应用平台: Win9X/NT/Me/2000/XP
软件大小: 44KB
下载地址: http : //crc.onlinedown.net/down/ProcTerminator.exe
运行程序后,首先选择列表中的指定进程,如“ wnb.exe ”(万能五笔),然后在其右侧视图中指定经过多长时间后结束该进程,再点击“定时终结”按钮(图 12 ),该程序到时就可立即退出。
图 12
3. 封杀不可见窗口的进程
对于某些在后台运行的木马服务器,我们从屏幕上当然是看不见的,但如果能够获取隐藏的不可见窗口,就有可能查看到木马的踪影。
软件名称:系统查看大师
软件版本: V1.0.0
软件语言:简繁中文
软件类型:共享软件
运行环境: Win9X/NT/2000/XP
软件大小: 559 KB
下载地址: http : //xj-http.skycn.net:8080/down/xpprocess.exe
我们直接运行下载后的《系统查看大师》主程序即可,在其左侧视图中点击“取不可见窗口”按钮。此后,在其右侧的进程列表中就将显示出所有当前运行的未在屏幕上直观显示出的窗口标题(图 13 )。选定其中的可疑窗口后,点击右下端的“结束此窗口”按钮即可。
图 13
Win9X/Me 系统也能拥有 WinXP 的任务管理器
Windows XP 系统的用户,可以使用“任务管理器”,轻松查看系统进程,但是, Windows 98/Me 的用户,却只能查看当前运行的应用程序。为了使这部分用户也能够管理系统进程。笔者为大家介绍一款与 XP 系统的“任务管理器”最为相似的第三方软件。
软件名称: Windows 任务管理器
软件版本: V2.22
软件大小: 769 KB
软件语言:简体中文
应用平台: Win95/98/Me
下载地址: http : //js-http.skycn.net:8080/down/taskmgr2.22_setup.exe
运行“ Windows 任务管理器”后,大家看看其界面,是不是和 Windows XP 的同类工具像同胞兄弟 ? 我们切换到“进程”标签页,在其中显示出了当前处于活动状态的进程。选择其中指定的进程后,点击下方的“进程细节”按钮,在弹出对话框中(图 14 )可选择查看“文件细节”、“线程细节”及“模块细节”等。其中在“模块细节”标签页中,可以获知该进程所调用的若干 DLL 文件。另外,为了便于随时应用“ Windows 任务管理器”,建议将它设置为随系统自动运行。
图 14
结语:笔者以上所介绍的若干关于系统进程方面的应用,虽说不是非常全面,但从中也足可看出,这小小进程,原来还有这么大的学问。
