系统进程初步解析
先讲下系统账户(administrator或是你自己定义的用户名)中的进程:explorer进程
Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,
桌面和文件管理(桌面程序加载项)。
wscntfy进程
wscntfy.exe是Windows安全相关策略的一部分。这个程序对你系统的正常运行是非常重要的(自动更新加
载项)。
cifmon进程
ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语
言条(输入法进加载项)。
realsched进程
Real自动加载的realsched.exe进程项。
VTTimer进程
VTTimer.exe是VIA芯片显卡相关程序,用于显卡诊断和功能设置。
VTTrayp进程
VTtrayp.exe是S3公司显示卡相关程序,用于硬件设备配置。
taskmgr进程
这个就是进程调用程序的加载项。
wdfmgr进程
wdfmgr.exe是微软Microsoft Windows media player 10播放器的一部分。该进程用于减少兼容性问题。
svchost进程
svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺
alg进程
alg.exe是微软windows操作系统自带的程序。它用于处理微软windows网络连接共享和网络连接防火墙。
这个程序对你系统的正常运行是非常重要的。
smss进程
smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个
程序对你系统的正常运行是非常重要的。
csrss进程
csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的
正常运行是非常重要的。
lsass进程
lsass.exe是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进
程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进
入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目
录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过
1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启
动。
services进程
Windows Service Controller,管理Windows服务。大多数的系统核心模式进程是作为系统进程在运行。
打开管理工具中的服务,可以看到有很多服务都是在调用service.exe。正常的services.exe应位于%
System%文件夹中,如果在%Windir%\Connection Wizard\Status中发现services.exe和csrss.exe、
smss.exe的话,则是中了Worm_Sober.N蠕虫病毒。
spoolsv进程
spoolsv是Windows打印任务控制程序,用以打印机就绪。(如果目前你没有自己的打印机而且不想用这台
计算机打印资料,可以在“我的电脑”右键“管理”里的“服务”项目中找到“Print Spooler(将文件
加载到内存中以便迟后打印。)”找到,停止并且禁用就可以了。)
因为每台电脑的硬软件不同,这里其它程序就不多说了。
这些进程也不一定是系统的,只能说是系统运行要用的进程,因为在这里所提及的很多进程的安全等级
以(0-5)的等级划分,多数是为0的,所以很有可能存在被病毒或是木马所利用该进程做隐蔽,其中比较明
显的症状是lsass、csrss等system账户的进程,却是被自己命名的系统用户名或administrator调用,比
较常的有冲击波病毒、Win32.Ladex.a木马,此类病毒常以一个大约48KB的应用程序来感染系统的,常以
网络、数据传输工具(MP3,U盘等)或是聊天工具的传播,只要一点击这个应用程序电脑就中招了。 很好,很详细。
但有时木马会仿系统进程的,例如svchost、spoolsv、explorer都经常成为木马模仿的对象,防不胜防!
因此日常使用记得要装防火墙和杀软啦~~
頁:
[1]