第四代木马的终结(一)---进程篇 作者:yyt_hac 我们把目前的主流木马称为第四代木马,随着Windows 2000时代的到来,第四代木马渐渐暴露 出很多致命的缺陷。它的第一个缺陷就是没法掩藏进程,这篇文章主要讲怎样通过查看进程来找出 木马。 要想通过查看进程列表来发现木马,你首先必须知道哪些是系统进程,然后才能发现可疑进程。 如果那台电脑是一台个人使用的电脑,那很简单,只要保证每次启动后在任务管理器进程列表(按ctrl+ shift+esc)中的进程为“最基本的系统进程”+你安装的自启动软件的进程(如杀毒软件,防火墙等)。 一般个人使用的电脑有这些进程就够了,如果发现有多余的进程,你可以通过服务管理器找到相应的服务 并停止它来结束进程。如果你发现多余的进程并不是系统服务,那么这个进程很可能就是一个木马。你可 以把这个进程名记下来,这个进程名在下几篇文章中要用来进一步确定是否是木马。 如果那台电脑是一台服务器,每次启动后在任务管理器进程列表(按ctrl+ shift+esc)中的进程为“最基本的系统进程”+你安装的自启动软件的进程(如杀毒软件,防火墙等)+加上所 需的服务。这就要根据需求自己配置的,第一次配置完后记下进程列表,以后要经常查看进程列表,发现多余的进程 就把它记下来,再根据下面几篇文章来进一步确定是否是木马。 下面是系统的进程列表 进程名 ID 描述 最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行) System Idle Process 0 System 8 smss.exe ? Session Manager csrss.exe ? 子系统服务器进程 winlogon.exe ? 管理用户登录 services.exe ? 包含很多系统服务 lsass.exe ? 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) svchost.exe ? 包含很多系统服务 svchost.exe ? SPOOLSV.EXE ? 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe ? 资源管理器 internat.exe ? 托盘区的拼音图标 附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少) mstask.exe ? 允许程序在指定时间运行。(系统服务) regsvc.exe ? 允许远程注册表操作。(系统服务) winmgmt.exe ? 提供系统管理信息(系统服务)。 inetinfo.exe ? 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务) tlntsvr.exe ? 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) 允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务) tftpd.exe ? 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务) termsrv.exe ? 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。(系统服务) dns.exe ? 应答对域名系统(DNS)名称的查询和更新请求。(系统服务) 以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉 tcpsvcs.exe ? 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务) 支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务) ismserv.exe ? 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务) ups.exe ? 管理连接到计算机的不间断电源(UPS)。(系统服务) wins.exe ? 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务) llssrv.exe ? License Logging Service(system service) ntfrs.exe ? 在多个服务器间维护文件目录内容的文件同步。(系统服务) RsSub.exe ? 控制用来远程储存数据的媒体。(系统服务) locator.exe ? 管理 RPC 名称服务数据库。(系统服务) lserver.exe ? 安装许可证服务器并且在连接到一台终端服务器时提供注册客户端许可证。(系统服务) dfssvc.exe ? 管理分布于局域网或广域网的逻辑卷。(系统服务) clipsrv.exe ? 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务) msdtc.exe ? 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务) faxsvc.exe ? 帮助您发送和接收传真。(系统服务) cisvc.exe ? Indexing Service(system service) dmadmin.exe ? 磁盘管理请求的系统管理服务。(系统服务) mnmsrvc.exe ? 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务) netdde.exe ? 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务) smlogsvc.exe ? 配置性能日志和警报。(系统服务) rsvp.exe ? 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务) RsEng.exe ? 协调用来储存不常用数据的服务和管理工具。(系统服务) RsFsa.exe ? 管理远程储存的文件的操作。(系统服务) grovel.exe ? 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务) SCardSvr.exe ? 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务) snmp.exe ? 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务) snmptrap.exe ? 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。(系统服务) UtilMan.exe ? 从一个窗口中启动和配置辅助工具。(系统服务) msiexec.exe ? 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务) 总结: 发现可疑进程的秘诀就是要多看任务管理器中的进程列表,看多了以后,一眼就可以发现可疑进程,就象 找一群熟悉人中的陌生人一样。 (待续)