IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置:首頁網(wǎng)絡(luò)安全病毒防治 → 從異常系統(tǒng)進(jìn)程檢查企業(yè)網(wǎng)絡(luò)安全

從異常系統(tǒng)進(jìn)程檢查企業(yè)網(wǎng)絡(luò)安全

時(shí)間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)

  一般來說,任何的網(wǎng)絡(luò)攻擊行為,無論是病毒還是木馬,其發(fā)生的時(shí)候,肯定會(huì)在系統(tǒng)中留下一些痕跡。下面,我談?wù)勎覀內(nèi)绾螐南到y(tǒng)進(jìn)程中查看我們的網(wǎng)絡(luò)及操作系統(tǒng)是否正在遭受病毒或者木馬的侵襲,及對應(yīng)的解決方法;蛟S能夠給正在遭受網(wǎng)絡(luò)安全困擾的用戶,一些幫助。

  具體怎么看系統(tǒng)進(jìn)程,我想這里就不用我多說了。很多工具都可以查看系統(tǒng)進(jìn)程,最常用的方法就是利用操作系統(tǒng)自帶的任務(wù)管理器進(jìn)行查看。

  一、CSRSS進(jìn)程異常

  根據(jù)官方的解釋,CSRSS進(jìn)程是Windows圖形相關(guān)控制的客戶端服務(wù)自系統(tǒng)。正常情況下,在操作系統(tǒng)的任務(wù)進(jìn)程中,必須有這個(gè)進(jìn)程,否則系統(tǒng)就的圖形界面就無法使用了。但是,這個(gè)進(jìn)程也很有可能被病毒所利用,成為病毒的保護(hù)傘。

  若CSRSS進(jìn)程出現(xiàn)了以下的異常情況,那么說明你的電腦很可能中毒了。應(yīng)該即使采取措施,否則會(huì)影響操作系統(tǒng)以網(wǎng)絡(luò)的安全。

  1、當(dāng)任務(wù)管理器中,出現(xiàn)多個(gè)CSRSS進(jìn)程時(shí)。一般情況下,在操作系統(tǒng)中,只能出現(xiàn)一個(gè)CSRSS進(jìn)程。雖然說CSRSS進(jìn)程是必須的,但是,也不是多多益善。當(dāng)任務(wù)管理器中的進(jìn)程顯示出有多個(gè)CSRSS進(jìn)程的話,那么說明你的操作系統(tǒng)中招了。

  2、當(dāng)CSRSS進(jìn)程運(yùn)行的用戶名不是SYSTEM,及其運(yùn)行的模塊路徑不是System32 文件夾下的話,那么你也要當(dāng)心了。很可能你電腦已經(jīng)成為了黑客眼中的肉雞,成為影響企業(yè)網(wǎng)絡(luò)安全的一顆定時(shí)炸彈,隨時(shí)都會(huì)爆炸。

  3、當(dāng)CSRSS病毒出現(xiàn)在微軟早七的版本中,如98系統(tǒng)或者WINME操作系統(tǒng)的話,那么,也說明這個(gè)進(jìn)程是有問題的進(jìn)程。因?yàn)镃SRSS進(jìn)程,是微軟操作系統(tǒng)2000以后的產(chǎn)物。在以前的操作系統(tǒng)中,沒有這個(gè)進(jìn)程。若不幸在以前的操作系統(tǒng)的版本中發(fā)現(xiàn)這個(gè)進(jìn)程的話,那絕對是病毒無疑。

  解決方式:

  若CSRSS是木馬引起的,那么CSRSS是一個(gè)小的腳本程序,F(xiàn)在很多木馬都會(huì)用到這個(gè)進(jìn)程,如QQ木馬、傳奇盜號木馬、MSN木馬、郵件帳號木馬等等。中了這些木馬的時(shí)候,一般操作系統(tǒng)本身不會(huì)有很大的反映,系統(tǒng)的速度也是正常的,所以比較隱蔽。但是,其危害是很大的。其會(huì)把企業(yè)的一些帳號,如VPN用戶名與密碼、即時(shí)通信工具與密碼等等都泄露出去,給企業(yè)的網(wǎng)絡(luò)安全帶來很大的隱患。

  遇到這種這種情況的話,我們應(yīng)該采取如下措施:

  1、通過注冊表刪除這個(gè)進(jìn)程。因?yàn)槟抉R把這個(gè)進(jìn)程偽裝成系統(tǒng)進(jìn)程,所以,試圖通過任務(wù)管理器結(jié)束這個(gè)進(jìn)程的時(shí)候,系統(tǒng)會(huì)提示錯(cuò)誤信息,告知這個(gè)進(jìn)程為系統(tǒng)進(jìn)程不能停止。所以,只能夠通過注冊表管理器,把這個(gè)進(jìn)程刪除。注意,不要把系統(tǒng)原來的那個(gè)進(jìn)程給刪除了。所以,還是建議在修改注冊表之前,先記得備份一下。

  2、然后查看進(jìn)程運(yùn)行時(shí)的系統(tǒng)路徑。把該進(jìn)程在注冊表中刪除后,在任務(wù)管理器中的進(jìn)程處就找不到這個(gè)進(jìn)程了。此時(shí),找到其原先運(yùn)行的路徑下面,我們就可以看到有一個(gè)CSRSS可執(zhí)行文件。注意,只要不是SYSTEM32,其他的都可以刪除。我們也可以通過系統(tǒng)自帶的搜索功能,查詢這個(gè)文件。把不是在SYSTEM32目錄下的CSRSS文件都刪除。

  3、為了安全起見,升級我們的殺毒軟件或者網(wǎng)上尋找專殺工具,對我們的系統(tǒng)進(jìn)行全面的查殺。把病毒殺掉后,要及時(shí)把補(bǔ)丁打上,以防止下次不小心又中招了。

  二、LSASS進(jìn)程異常

  LSASS進(jìn)程也是微軟操作系統(tǒng)的系統(tǒng)進(jìn)程,其主要用來管理IP安全策略以及啟動(dòng)ISAKMP/IKE和IP安全驅(qū)動(dòng)程序。這個(gè)進(jìn)程會(huì)產(chǎn)生會(huì)話秘鑰以及授予用戶交互式客戶/服務(wù)器驗(yàn)證的服務(wù)憑據(jù)。

  一般情況下,若系統(tǒng)進(jìn)程中出現(xiàn)了一個(gè)LSASS進(jìn)程,并且其是以SYSTEM的用戶運(yùn)行且運(yùn)行目錄是在System32下面,那不用擔(dān)心,是正常的。但是,有時(shí)候這個(gè)進(jìn)程也會(huì)作怪,有些木馬或者病毒也會(huì)假冒這個(gè)進(jìn)程來欺騙用戶。

  當(dāng)發(fā)生以下異常情況時(shí),那我們需要注意了,可能我們的操作系統(tǒng)以及網(wǎng)絡(luò)已經(jīng)受到病毒或者木馬的威脅。

  1、在系統(tǒng)中出現(xiàn)了多個(gè)LSASS進(jìn)程。一般以大寫命名的LSASS進(jìn)程是正常的,是系統(tǒng)進(jìn)程;但是,若同時(shí)還存在一個(gè)小寫命名的lsass進(jìn)程的話,那就說明你的系統(tǒng)可能已經(jīng)出問題了,被病毒或者木馬看中了。

  2、若中了ISASS病毒的話,不僅會(huì)在系統(tǒng)進(jìn)程中產(chǎn)生兩個(gè)LSASS進(jìn)程,而且,還會(huì)產(chǎn)生一個(gè)EXERT進(jìn)程。這兩個(gè)進(jìn)程分工合作,共同來管理LSASS病毒。一般來說,LSASS進(jìn)程控制LSASS病毒的執(zhí)行,而EXERT病毒控制LSASS病毒的退出。所以,若這兩個(gè)進(jìn)程成對出現(xiàn)的話,那你的系統(tǒng)百分之百的已經(jīng)中了LSASS病毒。

  LSASS病毒也是一個(gè)盜號木馬,其主要運(yùn)行在微軟的操作系統(tǒng)上。以前的版本危害比較小,主要用來盜取游戲密碼。但是,改良后的LSASS病毒,不僅會(huì)盜取游戲密碼,而且,還會(huì)盜取郵箱、QQ密碼等等,對于企業(yè)網(wǎng)絡(luò)的安全影響比較大。不法之徒可以利用這個(gè)工具,獲取企業(yè)郵箱等密碼,竊取企業(yè)的機(jī)密,如客戶發(fā)給企業(yè)的定單等等。LSASS病毒會(huì)記錄鍵盤信息,最后把用戶名與密碼信息記錄下來并發(fā)送到指定的郵箱,從而竊取用戶的帳號與密碼等等。所以,危害級別比較大。

  解決方案:

  1、結(jié)束LSASS進(jìn)程。因?yàn)樵撨M(jìn)程為系統(tǒng)進(jìn)程(其實(shí)不是,只是偽裝,但是操作系統(tǒng)本身不能識別),所以,無法在進(jìn)程管理器中直接停止。我們只能夠通過注冊表,或者在DOS窗口中,利用NTSD命令強(qiáng)行停止。NTSD是從微軟的2000以后的操作系統(tǒng)中自帶的用戶調(diào)試工具。被調(diào)試器附著的進(jìn)程會(huì)隨調(diào)試器的退出而一起退出。所以,可以同這個(gè)命令在命令行窗口下強(qiáng)行終止進(jìn)程。但是,一般情況下,NTSD命令不能殺掉SYSTEM用戶運(yùn)行的進(jìn)程。不過還好,LSASS病毒的LSASS進(jìn)程是不是以SYSTEM用戶運(yùn)行的。從這里我們可以看出,在進(jìn)程管理器中,其結(jié)束進(jìn)程的話,有時(shí)候是按進(jìn)程的名字來限制的;但是,利用NTSD命令的話,他考慮的是以什么身份進(jìn)行運(yùn)行的。故利用NTSD命令可以停止一些偽裝系統(tǒng)進(jìn)程運(yùn)行的非法進(jìn)程。利用這個(gè)命令,也可以禁止上面談的CSRSS非法進(jìn)程。當(dāng)然,以SYSTEM運(yùn)行的合法系統(tǒng)進(jìn)程是結(jié)束不掉的。具體的命令為ntsd –c q –p 進(jìn)程ID.通過進(jìn)程管理器,可以查到非法進(jìn)程的ID,就可以通過這個(gè)命令禁止掉了。

  2、刪除病毒文件。LSASS病毒會(huì)在其他盤下生成兩個(gè)文件,分別為Autorun.inf與command.com文件。一般這兩個(gè)文件的屬性是隱藏的。所以,我們需要把文件的顯示屬性設(shè)置為"顯示隱藏文件與系統(tǒng)文件"才會(huì)看到這個(gè)兩個(gè)文件。找到他們,然后把他們刪除。同時(shí),在啟動(dòng)盤下,可能會(huì)有一些病毒文件,如EXERT.EXE等,我們也要把他們一一找出來,刪除掉。不然的話,下次還是會(huì)中招。

  3、修復(fù)注冊表。這個(gè)病毒在注冊表中會(huì)生成比較多的垃圾,所以,若是手工清除的話,一方面,不一定能夠全部清除干凈,另一方面,也可能一不小心,產(chǎn)生一些錯(cuò)誤。此時(shí),我們最好利用我們最近備份的注冊表備份文件,直接進(jìn)行恢復(fù)。

  4、從網(wǎng)上下載專殺工具或者升級我們的殺毒軟件,進(jìn)行全面的查殺。

  5、為了安全起見,需要提醒我們的員工,及時(shí)更改我們的帳戶密碼。因?yàn)橛脩?的密碼很可能已經(jīng)泄露出去。如果不及時(shí)把密碼改過來的話,不法分子可以利用他們已經(jīng)得到的用戶名與密碼,進(jìn)行一些非法的勾當(dāng)。

  以上這兩種進(jìn)程都是盜號木馬的工具。對于這些盜號木馬進(jìn)程,一般情況下,不會(huì)對系統(tǒng)運(yùn)行造成什么影響。所以,相對來說,比較隱蔽。但是,其危害性,確實(shí)比其他病毒大的多。有些病毒只是惡作劇的性質(zhì),最多只是讓操作系統(tǒng)崩潰或者造成網(wǎng)絡(luò)擁塞。而企業(yè)的文件、帳戶信息等不會(huì)泄露出去。所以,這些惡作劇的病毒危害性反而小一點(diǎn)。

  所以,為了保障企業(yè)網(wǎng)絡(luò)的安全,最好的辦法還是部署企業(yè)級別的殺毒系統(tǒng)。如此的話,可以實(shí)現(xiàn)在用戶不用干預(yù)的情況下,對殺毒軟件進(jìn)行及時(shí)的升級,防止病毒與木馬入侵。一般來說,任何的網(wǎng)絡(luò)攻擊行為,無論是病毒還是木馬,其發(fā)生的時(shí)候,肯定會(huì)在系統(tǒng)中留下一些痕跡。我接著談?wù)勎覀內(nèi)绾螐南到y(tǒng)進(jìn)程中查看我們的網(wǎng)絡(luò)及操作系統(tǒng)是否正在遭受病毒或者木馬的侵襲,及對應(yīng)的解決方法;蛟S能夠給正在遭受網(wǎng)絡(luò)安全困擾的用戶,一些幫助。

  三、SMSS進(jìn)程異常

  SMSS進(jìn)程是會(huì)話管理子系統(tǒng)的進(jìn)程,他主要用來初始化系統(tǒng)變量。正常情況下,他是以系統(tǒng)用戶名(system)身份運(yùn)行,并且運(yùn)行目錄是在SYSTEM32下面。這個(gè)進(jìn)程是通過系統(tǒng)進(jìn)程初始化的并且對許多活動(dòng)的系統(tǒng)變量作出反映。其實(shí)這個(gè)進(jìn)程我們平時(shí)也經(jīng)常會(huì)感受到。當(dāng)某個(gè)程序發(fā)生異常時(shí),SMSS進(jìn)程就會(huì)讓系統(tǒng)停止響應(yīng)。有時(shí)候我們在網(wǎng)上沖浪系統(tǒng)突然提示網(wǎng)頁發(fā)生錯(cuò)誤將關(guān)閉,就跟這個(gè)進(jìn)程有關(guān)系。這個(gè)進(jìn)程的正常運(yùn)行,對于系統(tǒng)穩(wěn)定性來說,是非常重要的。

  但是,這個(gè)系統(tǒng)進(jìn)程也被不法之人利用了。若你在任務(wù)管理器中發(fā)現(xiàn)以下異,F(xiàn)象,那么就要恭喜你了,你中木馬了。

  異常現(xiàn)象:

  1、不是以系統(tǒng)用戶名(system)身份運(yùn)行的,并且,運(yùn)行目錄不是SYSTEM32下面的,那么就說明這個(gè)進(jìn)程有異常。我們要注意,若是系統(tǒng)的正常的SMSS進(jìn)程,一定是以系統(tǒng)用戶名運(yùn)行的,并且,一定是在SYSTEM32目錄下運(yùn)行。否則的話,就不是系統(tǒng)本身的SMSS進(jìn)程,很可能是木馬偽造的進(jìn)程。

  2、在系統(tǒng)中有同時(shí)出現(xiàn)兩個(gè)或者兩個(gè)以上SMSS進(jìn)程,那么你就要注意了,你電腦很可能中了木馬。

  現(xiàn)在最常見的SMSS進(jìn)程異常是由WIN32.LADEX.A木馬所造成的。這個(gè)木馬病毒危害很大,他不僅允許攻擊者訪問你的電腦,而且,還會(huì)竊取你的機(jī)密文件與個(gè)人密碼。這個(gè)危害性是很大的。根據(jù)官方的建議,若發(fā)現(xiàn)這個(gè)進(jìn)程異常的話,要馬上刪除這個(gè)進(jìn)程,并進(jìn)行殺毒工作。

  這個(gè)木馬若手工刪除的話,非常的麻煩。以前我單位有一電腦中了這個(gè)木馬,我整整花了一天的時(shí)間,刪除關(guān)聯(lián)文件,修改注冊表,才清除干凈。一般我不建議手工刪除這個(gè)木馬,太麻煩,而且比較專業(yè),要求對

關(guān)鍵詞標(biāo)簽:企業(yè),網(wǎng)絡(luò)安全,檢查,進(jìn)

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 用小工具巧殺計(jì)算機(jī)病毒用小工具巧殺計(jì)算機(jī)病毒Windows 17年的老漏洞(VDM 0day)須警惕Windows 17年的老漏洞(VDM 0day)須警惕光驅(qū)也瘋狂 Autorun病毒冒充文件夾光驅(qū)也瘋狂 Autorun病毒冒充文件夾謹(jǐn)防.URL擴(kuò)展名病毒謹(jǐn)防.URL擴(kuò)展名病毒

相關(guān)下載

人氣排行 卡巴斯基2017激活教程_卡巴斯基2017用授權(quán)文件KEY激活的方法(完美解決alexa.exe自動(dòng)彈出網(wǎng)頁病毒卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活碼/授權(quán)許可文件K更改文件權(quán)限--處理另類無法刪除病毒comine.exe 病毒清除方法ekrn.exe占用CPU 100%的解決方案當(dāng)殺毒軟件無能為力時(shí),手動(dòng)殺毒(利用系統(tǒng)自帶命令查殺病毒)也許發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除