如何从异常系统进程 检查企业网络安全
来源:比特网 更新时间:2012-04-14

   一般来说,任何的网络攻击行为,无论是病毒还是木马,其发生的时候,肯定会在系统中留下一些痕迹。下面,我谈谈我们如何从系统进程中查看我们的网络及操作系统是否正在遭受病毒或者木马的侵袭,及对应的解决方法。或许能够给正在遭受网络安全困扰的用户,一些帮助。

  具体怎么看系统进程,我想这里就不用我多说了。很多工具都可以查看系统进程,最常用的方法就是利用操作系统自带的任务管理器进行查看。

  一、CSRSS进程异常

  根据官方的解释,CSRSS进程是Windows图形相关控制的客户端服务自系统。正常情况下,在操作系统的任务进程中,必须有这个进程,否则系统就的图形界面就无法使用了。但是,这个进程也很有可能被病毒所利用,成为病毒的保护伞。

  若CSRSS进程出现了以下的异常情况,那么说明你的电脑很可能中毒了。应该即使采取措施,否则会影响操作系统以网络的安全。

  1、当任务管理器中,出现多个CSRSS进程时。一般情况下,在操作系统中,只能出现一个CSRSS进程。虽然说CSRSS进程是必须的,但是,也不是多多益善。当任务管理器中的进程显示出有多个CSRSS进程的话,那么说明你的操作系统中招了。

  2、当CSRSS进程运行的用户名不是SYSTEM,及其运行的模块路径不是System32 文件夹下的话,那么你也要当心了。很可能你电脑已经成为了黑客眼中的肉鸡,成为影响企业网络安全的一颗定时炸弹,随时都会爆炸。

  3、当CSRSS病毒出现在微软早七的版本中,如98系统或者WINME操作系统的话,那么,也说明这个进程是有问题的进程。因为CSRSS进程,是微软 操作系统2000以后的产物。在以前的操作系统中,没有这个进程。若不幸在以前的操作系统的版本中发现这个进程的话,那绝对是病毒无疑。

  解决方式:

  若CSRSS是木马引起的,那么CSRSS是一个小的脚本程序。现在很多木马都会用到这个进程,如QQ木马、传奇盗号木马、MSN木马、邮件帐号木马等 等。中了这些木马的时候,一般操作系统本身不会有很大的反映,系统的速度也是正常的,所以比较隐蔽。但是,其危害是很大的。其会把企业的一些帐号,如 VPN用户名与密码、即时通信工具与密码等等都泄露出去,给企业的网络安全带来很大的隐患。

  遇到这种这种情况的话,我们应该采取如下措施:

  1、通过注册表删除这个进程。因为木马把这个进程伪装成系统进程,所以,试图通过任务管理器结束这个进程的时候,系统会提示错误信息,告知这个进程为系统 进程不能停止。所以,只能够通过注册表管理器,把这个进程删除。注意,不要把系统原来的那个进程给删除了。所以,还是建议在修改注册表之前,先记得备份一 下。

  2、然后查看进程运行时的系统路径。把该进程在注册表中删除后,在任务管理器中的进程处就找不到这个进程了。此时,找到其原先运行的路径下面,我们就可以 看到有一个CSRSS可执行文件。注意,只要不是SYSTEM32,其他的都可以删除。我们也可以通过系统自带的搜索功能,查询这个文件。把不是在 SYSTEM32目录下的CSRSS文件都删除。

  3、为了安全起见,升级我们的杀毒软件或者网上寻找专杀工具,对我们的系统进行全面的查杀。把病毒杀掉后,要及时把补丁打上,以防止下次不小心又中招了。

  二、LSASS进程异常

  LSASS进程也是微软操作系统的系统进程,其主要用来管理IP安全策略以及启动ISAKMP/IKE和IP安全驱动程序。这个进程会产生会话秘钥以及授予用户交互式客户/服务器验证的服务凭据。

  一般情况下,若系统进程中出现了一个LSASS进程,并且其是以SYSTEM的用户运行且运行目录是在System32下面,那不用担心,是正常的。但是,有时候这个进程也会作怪,有些木马或者病毒也会假冒这个进程来欺骗用户。

  当发生以下异常情况时,那我们需要注意了,可能我们的操作系统以及网络已经受到病毒或者木马的威胁。

  1、在系统中出现了多个LSASS进程。一般以大写命名的LSASS进程是正常的,是系统进程;但是,若同时还存在一个小写命名的lsass进程的话,那就说明你的系统可能已经出问题了,被病毒或者木马看中了。

  2、若中了ISASS病毒的话,不仅会在系统进程中产生两个LSASS进程,而且,还会产生一个EXERT进程。这两个进程分工合作,共同来管理 LSASS病毒。一般来说,LSASS进程控制LSASS病毒的执行,而EXERT病毒控制LSASS病毒的退出。所以,若这两个进程成对出现的话,那你 的系统百分之百的已经中了LSASS病毒。

  LSASS病毒也是一个盗号木马,其主要运行在微软的操作系统上。以前的版本危害比较小,主要用来盗取游戏密码。但是,改良后的LSASS病毒,不仅会盗 取游戏密码,而且,还会盗取邮箱、QQ密码等等,对于企业网络的安全影响比较大。不法之徒可以利用这个工具,获取企业邮箱等密码,窃取企业的机密,如客户 发给企业的定单等等。LSASS病毒会记录键盘信息,最后把用户名与密码信息记录下来并发送到指定的邮箱,从而窃取用户的帐号与密码等等。所以,危害级别 比较大。

  解决方案:

  1、结束LSASS进程。因为该进程为系统进程(其实不是,只是伪装,但是操作系统本身不能识别),所以,无法在进程管理器中直接停止。我们只能够通过注 册表,或者在DOS窗口中,利用NTSD命令强行停止。NTSD是从微软的2000以后的操作系统中自带的用户调试工具。被调试器附着的进程会随调试器的 退出而一起退出。所以,可以同这个命令在命令行窗口下强行终止进程。但是,一般情况下,NTSD命令不能杀掉SYSTEM用户运行的进程。不过还 好,LSASS病毒的LSASS进程是不是以SYSTEM用户运行的。从这里我们可以看出,在进程管理器中,其结束进程的话,有时候是按进程的名字来限制 的;但是,利用NTSD命令的话,他考虑的是以什么身份进行运行的。故利用NTSD命令可以停止一些伪装系统进程运行的非法进程。利用这个命令,也可以禁 止上面谈的CSRSS非法进程。当然,以SYSTEM运行的合法系统进程是结束不掉的。具体的命令为ntsd –c q –p 进程ID.通过进程管理器,可以查到非法进程的ID,就可以通过这个命令禁止掉了。

        2、删除病毒文件。LSASS病毒会在其他盘下生成两个文件,分别为Autorun.inf与command.com文件。一般这两个文件的属性是隐藏 的。所以,我们需要把文件的显示属性设置为“显示隐藏文件与系统文件”才会看到这个两个文件。找到他们,然后把他们删除。同时,在启动盘下,可能会有一些 病毒文件,如EXERT.EXE等,我们也要把他们一一找出来,删除掉。不然的话,下次还是会中招。

  3、修复注册表。这个病毒在注册表中会生成比较多的垃圾,所以,若是手工清除的话,一方面,不一定能够全部清除干净,另一方面,也可能一不小心,产生一些错误。此时,我们最好利用我们最近备份的注册表备份文件,直接进行恢复。

  4、从网上下载专杀工具或者升级我们的杀毒软件,进行全面的查杀。

  5、为了安全起见,需要提醒我们的员工,及时更改我们的帐户密码。因为用户 的密码很可能已经泄露出去。如果不及时把密码改过来的话,不法分子可以利用他们已经得到的用户名与密码,进行一些非法的勾当。

  以上这两种进程都是盗号木马的工具。对于这些盗号木马进程,一般情况下,不会对系统运行造成什么影响。所以,相对来说,比较隐蔽。但是,其危害性,确实比 其他病毒大的多。有些病毒只是恶作剧的性质,最多只是让操作系统崩溃或者造成网络拥塞。而企业的文件、帐户信息等不会泄露出去。所以,这些恶作剧的病毒危 害性反而小一点。

  所以,为了保障企业网络的安全,最好的办法还是部署企业级别的杀毒系统。如此的话,可以实现在用户不用干预的情况下,对杀毒软件进行及时的升级,防止病毒与木马入侵。

  一般来说,任何的网络攻击行为,无论是病毒还是木马,其发生的时候,肯定会在系统中留下一些痕迹。我接着谈谈我们如何从系统进程中查看我们的网络及操作系统是否正在遭受病毒或者木马的侵袭,及对应的解决方法。或许能够给正在遭受网络安全困扰的用户,一些帮助。

  三、SMSS进程异常

  SMSS进程是会话管理子系统的进程,他主要用来初始化系统变量。正常情况下,他是以系统用户名(system)身份运行,并且运行目录是在 SYSTEM32下面。这个进程是通过系统进程初始化的并且对许多活动的系统变量作出反映。其实这个进程我们平时也经常会感受到。当某个程序发生异常 时,SMSS进程就会让系统停止响应。有时候我们在网上冲浪系统突然提示网页发生错误将关闭,就跟这个进程有关系。这个进程的正常运行,对于系统稳定性来 说,是非常重要的。

  但是,这个系统进程也被不法之人利用了。若你在任务管理器中发现以下异常现象,那么就要恭喜你了,你中木马了。

  异常现象:

  1、不是以系统用户名(system)身份运行的,并且,运行目录不是SYSTEM32下面的,那么就说明这个进程有异常。我们要注意,若是系统的正常的 SMSS进程,一定是以系统用户名运行的,并且,一定是在SYSTEM32目录下运行。否则的话,就不是系统本身的SMSS进程,很可能是木马伪造的进 程。

  2、在系统中有同时出现两个或者两个以上SMSS进程,那么你就要注意了,你电脑很可能中了木马。

  现在最常见的SMSS进程异常是由WIN32.LADEX.A木马所造成的。这个木马病毒危害很大,他不仅允许攻击者访问你的电脑,而且,还会窃取你的机 密文件与个人密码。这个危害性是很大的。根据官方的建议,若发现这个进程异常的话,要马上删除这个进程,并进行杀毒工作。

  这个木马若手工删除的话,非常的麻烦。以前有一电脑中了这个木马,整整花了一天的时间,删除关联文件,修改注册表,才清除干净。一般不建议手工删除这个木马,太麻烦,而且比较专业,要求对这个病毒有比较彻底的认识与了解。若发现这个进程异常时,建议采取如下操作:

  1)、在任务管理器下,马上关闭这个进程。有时候,可能利用系统的进程管理器还不能关闭这个进程,需要在安全模式下,才能关闭。所以,我们的第一要务,就是想尽一切可以想的办法,把这个进程先结束掉,如此,我们才可以做其他的工作。

  2)、在杀毒软件网站上,找这个木马的专杀工具。这个病毒其关联的范围太广,若手工删除的话,太浪费时间,一不小心的话,那边还会剩下漏网之雨。即使熟悉 这个木马的人,要把木马清除干净的话,若没有半天的时间估计也搞不定。而且,因为要修改注册表等信息,所以手工修改也会发生错误。我的建议是,从网上寻找 一个转杀工具,用来查杀一下就可以了。

  3)、利用专杀工具杀掉病毒后,要提醒中木马电脑的用户,要及时修改密码。如用户邮箱、QQ等即时通信工具的密码;若在这台电脑上使用过网上银行的话,还 要修改这个网上银行的密码。因为这些信息很可能在用户不知情的情况下,就已经被攻击者所获取。所以,不怕一万,就怕万一,要即使修改这些信息,防止被攻击 者非法利用。

  四、Winlogon进程异常

  这个进程是微软操作系统的用户登陆程序,管理用户的登陆与退出。该进程正常运行路径已经为SYSTEM32路径下并且是以SYSTEM系统身份用户运行。

  但是,不幸的是,这个进程已经被落雪木马看中。

  进程异常现象:

  当你打开系统进程查看器查看你的系统进程时,若你发现你的系统中有个大写的WINLOGON进程并且该进程不是以SYSTEM系统用户名身份运行,而是当 前帐户身份运行的话,那你就中了这个所谓的落雪病毒。 这个病毒很顽固,而且,也很狡猾,这个木马是由VB程序语言编写,通过北斗壳技术进行加壳处理。病毒文件名被模拟成正常的系统工具名称,但是,文件扩展名 变成了COM,而正常的系统进程是以EXE结尾的。这是落雪木马利用了微软操作系统的一个特性。当有两个文件,如A.EXE与A.COM两个文件。这个两 个文件都是可执行文件,而且,文件名相同,只是扩展名不同。此时,我们若在命令行中,输入A运行A程序时,系统会优先执行A.COM程序。这是为什么呢? 原来微软操作系统执行COM文件的优先级别要比执行EXE的文件级别高。如此,当用户在命令行中输入A,此时,系统运行的不是系统征程的进程或者程序,而 是木马病毒。该病毒在运行时,还会创建一个WINLOGON.EXE进程,所以,我们查看进程管理器的时候,会发现有两个WINLOGON进程。只是一个 是大写名字,一个是小写名字。另外运行的用户与路径也有差异。

        另外该病毒还会修改注册表文件关联,每次当用户打开HTML的文件时,都会触发这个病毒。并且,该病毒还会在我们系统的其他盘下面,生成两个隐藏文 件,autorun.inf与pagefile.com文件。这两个文件,一看扩展名,就知道不是善类。这两个文件是自动运行批处理文件,这样即使系统盘 下面的病毒文件被删除了,但是,当用户打开其他盘,如D盘时,这个病毒仍然会运行。所以,这个病毒在“杀不死的病毒”排行榜上,是名列前茅的。

  遇到这个病毒时,我们该怎么办呢?

  这个病毒牵涉的范围跟上面这个病毒一样,是非常的广。在系统盘中、注册表中及其他盘上都有涉及到,所以,若靠手工删除病毒的话,很难清除干净。我的建议还 是依靠采用专门的杀毒软件或者专杀工具来对付他。所以当我们发现这个病毒时,为了安全起见,最好把这中木马的主机从局域网上断掉,然后在其他正常的主机 上,从网上找到病毒的专杀工具,然后通过U盘等工具,拷过来,把病毒杀掉。不过,若用U盘等工具拷贝的话,要注意,最好把U盘设置为只读,也就是打开写保 护,如此的话,U盘就不会被感染病毒。

  五、svohost进程

  你能够一眼看出 svohost与svchost这两个单词的区别吗?要是不特别提醒,你不会知道这里还隐藏着什么密码。

  一次我有一个同事电脑出现了问题,我过去一看,运行速度很慢,估计是中了病毒。我想看看系统中是否多了很多隐藏的文件,如在其他盘根目录下是否多了隐藏的 批处理文件。可是当我通过工具栏那边想把隐藏文件显示出来的时候,才发现居然没有这个选项,我现在所有的隐藏文件都看不到了。这是怎么回事情呢?其实,这 就是这个svohost(注意不是svchost进程)进程在作怪。

  Svchost是一个标准的动态连接库主机处理服务,它包含很多系统服务。有些病毒就利用用户粗心大意的态度,通过伪装,另外开了一个新的进程 SCOHOST。两个进程只有一字只差,而且,这个两个字符C与O又非常相似,不仔细看,还真看不出来。 一般中这个病毒的症状是盘打不开,而且不能查看隐藏文件。若你不幸有这两种症状,并且,在进程管理器中,有SVOHOST进程的话,那就说明你中招了。要 赶紧想办法处理了。

  因为有时候在你没装杀毒软件之前,中了这个病毒的话,他就会影响你杀毒软件的安装过程。也就是说,你中了这个病毒之后,再装杀毒软件的话,那么你可能就装不上。此时,除了重新安装系统之外,还有其他的解决方法吗?

  我们的思路是先手工的把病毒删除,然后再按照杀毒软件进行病毒查杀。所以现在首要的问题就是如何手工的杀除这个病毒。

  1、关闭病毒进程。由于SVOHOST进程虽然跟系统进程比较像,但是毕竟只是像而已,而不是系统进程。所以,可以通过系统的进程管理器把这个病毒直接关 闭掉。只是在关的时候,我们不要看花了眼,要选择真正的我们需要关闭的进程SVOHOST,而不是svchost。

  2、修改注册表,把隐藏文件显示出来。我们可以在注册表中进行修改,让其显示文件性质为隐藏的文件。这里我们要注意,病毒会把注册表中本来有效的值删除 掉,新建了一个无效的字符串。所以,在修改注册表显示隐藏文件的时候,要先把病毒新建的无效字符串去掉,然后把其原来的字段加进去。这可见这个病毒是花了 很大心思的。

  3、手工删除病毒。把隐藏文件显示出来后,我们就要手工的删除病毒文件。用鼠标又键电脑中年的盘符,选择打开。注意,这里不要直接双击打开电脑,否则的话,又会激活这个病毒。打开盘后,我们看到在盘符下面,有几个隐藏文件,把他们删除掉。

  然后我们就可以正常安装杀毒软件进行杀毒了。这里要注意,我们经过了第三步后,并没有把病毒全部删除干净。最后仍然要依靠杀毒软件来对病毒进行全面的查杀。