- 1、本文档共20页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
项目二:进程与注册表 任务1:认识系统进程与常被利用的危险进程 任务2:使用常用的进程管理工具管理进程(IceSword) 任务3:了解木马经常利用的注册表键值 任务1:认识系统进程与常被利用的危险进程 进程是指在系统中正在运行的一个应用程序;线程是系统分配处理器时间资源的基本单元,或者说进程之内独立执行的一个单元。对于操 作系统而言,其调度单元是线程。一个进程至少包括一个线程,通常将该线程称为主线程。一个进程从主线程的执行开始进而创建一个或多个附加线程,就是所谓基于多线程的多任务。 在操作系统中,进程与病毒永远是不会分离的,病毒要运行,是需要依靠进程的。 因此,了解进程,能够帮助我们更好的了解病毒,从而进行病毒的查杀工作。 常见的进程 进程名 描述 smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序 svchost.exe Windows 2000/XP 的文件保护系统 SPOOLSV.EXE 将文件加载到内存中以便迟后打印。 explorer.exe 资源管理器 internat.exe 托盘区的拼音图标 mstask.exe 允许程序在指定时间运行。 regsvc.exe 允许远程注册表操作。(系统服务)→remoteregister tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。 llssrv.exe 证书记录服务 ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。 RsSub.exe 控制用来远程储存数据的媒体。 locator.exe 管理 RPC 名称服务数据库。 clipsrv.exe 支持剪贴簿查看器,以便可以从远程剪贴簿查阅剪贴页面。 msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其他 事务保护资源管理器。 grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)。 snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报 以上这些进程都是对计算机运行起至关重要的,千万不要随意“杀掉”,否则可能直接影响系统的正常运行。 病毒如何利用进程? 系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等。 可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。 对比一下,发现区别了么? 这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。 如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。 如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。 如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录),如果病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。 你能辨别出其中哪一个是病毒的进程吗? 进程注入 即使我们了解一般的进程以及它们所在的位置,但是还是不能避免病毒利用进程的第三招:注入。 所谓注入就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。 病毒利用进程的实例 svchost.exe 常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着
您可能关注的文档
- 真核细胞生物膜系统.ppt
- 音乐作业《茉莉花》2.ppt
- 音乐剧《悲惨世界》 (2).ppt
- 真正成功的人是品德高尚而有价值的人 (2).ppt
- 音乐在培训中的运用要点1.ppt
- 音乐基础知识课件 (2)1.ppt
- 真理诞生一百个问好之后第二课时1.ppt
- 音乐巨人贝多芬 (2).ppt
- 音乐教学课件:人教版五年级《送别》.ppt
- 音乐广场设计方案.pptx
- 《GB/T 32151.42-2024温室气体排放核算与报告要求 第42部分:铜冶炼企业》.pdf
- GB/T 32151.42-2024温室气体排放核算与报告要求 第42部分:铜冶炼企业.pdf
- GB/T 38048.6-2024表面清洁器具 第6部分:家用和类似用途湿式硬地面清洁器具 性能测试方法.pdf
- 中国国家标准 GB/T 38048.6-2024表面清洁器具 第6部分:家用和类似用途湿式硬地面清洁器具 性能测试方法.pdf
- 《GB/T 38048.6-2024表面清洁器具 第6部分:家用和类似用途湿式硬地面清洁器具 性能测试方法》.pdf
- 《GB/T 18238.2-2024网络安全技术 杂凑函数 第2部分:采用分组密码的杂凑函数》.pdf
- GB/T 18238.2-2024网络安全技术 杂凑函数 第2部分:采用分组密码的杂凑函数.pdf
- 《GB/T 17215.686-2024电测量数据交换 DLMS/COSEM组件 第86部分:社区网络高速PLCISO/IEC 12139-1配置》.pdf
- GB/T 13542.4-2024电气绝缘用薄膜 第4部分:聚酯薄膜.pdf
- 《GB/T 13542.4-2024电气绝缘用薄膜 第4部分:聚酯薄膜》.pdf
文档评论(0)