网络信息安全员(高级)——05Windows操作系统进程解析.ppt

1、网络信息安全管理员,高级网络安全员培训,第五讲 Windows操作系统进程解析,Windows操作系统进程解析,Windows系统进程活动 Windows基本进程解析 svchost.exe进程剖析 基于进程的木马病毒查杀,Windows操作系统进程解析,Windows系统进程活动 Windows基本进程解析 svchost.exe进程剖析 基于进程的木马病毒查杀,进程的概念,进程是程序在计算机上的一次执行活动。运行一个程序时，就启动了一个进程。相对而言，程序是一组代码，是静态的，进程是代码的执行行为，是活的。 在Windows下，进程又被细化为线程，也就是一个进程下有多个能独立运行的更小的单

2、位。 多线程的好处： 产生多响应效果 可以充分使用多处理器,进程分析工具,任务管理器 进程观察器PViewer 进程树观察器Tlist/Tasklist 进程浏览器Process Explorer 依赖关系浏览器dependencywalker,Windows操作系统进程解析,Windows系统进程活动 Windows基本进程解析 svchost.exe进程剖析 基于进程的木马病毒查杀,Windows基本进程解析,1、Winlogon Winlogon是一个登录/退出进程。winlogon在用户按下CTRL+ALT+DEL时激活，并显示安全对话框。该进程提供了登录所需的类型控制和输入口令所需的

3、对话框。当你输入用户名和口令时，Winlogon将其发送给一个叫做LSASS的子进程。如果你执行对服务器或工作站的本地登录，LSASS进程将在安全数据库（亦即SAM）中查对有关用户名和口令。Winlogon有两个子进程，即服务控制器和LSASS。 2、Explorer进程 在Windows系列的操作系统中，运行时都会启动一个名为Explorer.exe的进程。这个进程主要负责显示系统桌面上的图标以及任务栏。,Windows基本进程解析,3、csrss.exe进程 这个进程是用户模式Win32子系统的一部分，CSRSS代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。CSRSS负责控

4、制Windows图形相关子系统，创建或者删除线程和一些16位的虚拟MS-DOS环境。 4、System Idle 这个进程不可以从任务管理器中关掉，是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。所以，在任务管理器中，看到的“System Idle Process”的CPU资源占用恰恰是CPU资源空闲时间。,Windows基本进程解析,5、smss.exe 这个进程是不可以从任务管理器中关掉的，是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化，并且对许多活动的，包括正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量

5、作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程是正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。 6、lsass.exe 这个进程是不可以从任务管理器中关掉的。管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。这是一个本地的安全授权服务，它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行。如果授权是成功的，lsass就会产生用户的进入令牌，令牌被用于启动初始的shell，其他由用户初始化的进程也会继承这个令牌

6、（系统服务）。,Windows基本进程解析,7、services.exe 大多数的系统核心模式进程是作为系统进程在运行。 8、spoolsv.exe 缓冲（spooler）服务是管理缓冲池中的打印和传真作业，将文件加载到内存中以便迟后打印（系统服务）。 以下是一些非必要系统进程，可以根据需要通过服务管理器来增加或减少。 9、mstask.exe：这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行，即允许定制程序在指定时间运行。,Windows基本进程解析,10、regsvc.exe：允许远程注册表操作（系统服务）。 11、winmgmt：是Windows2000客户端管理的核心组

7、件，当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化，提供系统管理信息（系统服务）。 12：inetinfo.exe：通过Internet信息服务的管理单元提供FTP连接和管理（系统服务）。 13：tlntsvr.exe：允许远程用户登录到系统并且使用命令行运行控制台程序，允许通过Internet信息服务的管理单元管理Web和FTP服务（系统服务）。 14：tftpd.exe实现TFTPInternet标准。该标准不要求用户名和密码。远程安装服务的一部分（系统服务）。 15、termsrv.exe：提供多会话环境允许客户端设备访问虚拟的Windows2000Profession

8、al桌面会话以及运行在服务器上的基于Windows的程序（系统服务）。,Windows基本进程解析,16、dns.exe：应答对域名系统(DNS)名称的查询和更新请求（系统服务）。 17、internat.exe：托盘区的拼音图标进程，在系统启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表：HKEY_USERS.DEFAULTKeyboard LayoutPreload加载内容的。internat.exe 加载“EN”图标进入系统的图标区，允许使用者容易地转换不同的输入点。当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变（系统服务）。 18、tcpsvc

9、s.exe：提供在PXE可远程启动客户计算机上远程安装Win2000Professional的能力，支持以下TCP/IP服务：CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay（系统服务）。,Windows基本进程解析,19、ismserv.exe：允许在WindowsAdvancedServer站点间发送和接收消息（系统服务）。 20、ups.exe：管理连接到计算机的不间断电源(UPS)(系统服务) 21、wins.exe：为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务（系统服务）。 22、llssr

10、v.exe：LicenseLoggingService（系统服务）。 23、ntfrs.exe：在多个服务器间维护文件目录内容的文件同步（系统服务）。 24、RsSub.exe：控制用来远程储存数据的媒体（系统服务） 25、locator.exe：管理RPC名称服务数据库（系统服务）。 26、lserver.exe：注册客户端许可证（系统服务）。,Windows基本进程解析,27、dfssvc.exe：管理分布于局域网或广域网的逻辑卷（系统服务）。 28、clipsrv.exe：支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面（系统服务）。 29、msdtc.exe：并列事务，是分布于两

11、个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器（系统服务）。 30、faxsvc.exe：帮助你发送和接收传真（系统服务）。 31、cisvc.exe：IndexingService（系统服务）。 32、dmadmin.exe：磁盘管理请求的系统管理服务(系统服务) 33、mnmsrvc.exe：允许有权限的用户使用NetMeeting远程访问Windows桌面（系统服务）。,Windows基本进程解析,34、netdde.exe：提供动态数据交换(DDE)的网络传输和安全特性（系统服务）。 35、smlogsvc.exe：配置性能*志和警报（系统服务）。 36、rsvp.exe

12、：为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能（系统服务）。 37、RsEng.exe：协调用来储存不常用数据的服务和管理工具（系统服务）。 38、RsFsa.exe：管理远程储存的文件的操作（系统服务）。 39、grovel.exe：扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间（系统服务）。,Windows基本进程解析,40、SCardSvr.exe：对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制（系统服务）。 41、snmp.exe：包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报（系统服务）

13、。 42、snmptrap.exe：接收由本地或远程SNMP代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上SNMP管理程序(系统服务) 43、UtilMan.exe：从一个窗口中启动和配置辅助工具（系统服务）。 44、msiexec.exe：依据.MSI文件中包含的命令来安装、修复以及删除软件（系统服务）。 还有一些进程也是在系统中经常可以见到的。如systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe，它们都是正常的系统进程。,

14、Windows操作系统进程解析,Windows系统进程活动 Windows基本进程解析 svchost.exe进程剖析 基于进程的木马病毒查杀,svchost.exe进程剖析,svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称。svchost.exe是WindowsNT核心系统的最重要的进程之一，但它本身只作为服务宿主，提供条件让其他服务在这里被启动，而它自己却不能提供任何服务。 Windows系统服务分为独立进程和共享进程两种，在WindowsNT中只有服务器管理器SCM（services.exe）有多个共享服务，随着系统内置服务的增加，在Windows2000中微

15、软又把很多服务做成共享方式，由svchost.exe启动。 Windows2000一般有2个svchost进程，一个是RPCSS（Remote Procedure Call）服务进程，另外一个则是由很多服务共享的一个svchost.exe。而在WindowsXP中，则一般有4个以上的svchost.exe服务进程，Windows2003 Server中则更多，可以看出把更多的系统内置服务以共享进程方式由svchost启动是微软的一个趋势。,svchost.exe进程剖析,svchost.exe文件定位在系统的%systemroot%system32文件夹下 在启动的时候，svchost.exe

16、检查注册表中的位置来构建需要加载的服务列表。这就会使多个svchost.exe在同一时间运行。一般地，通过在任务管理器，我们可以看到Windows系统中存在多个“svchost”进程。 这些svchost进程提供多种系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。,svchost工作过程,系统的大部分服务是以动态链接库（dll）形式实现的。如果需要使用Svchost来启动某个DLL形式实现的服务，该DLL的载体Loader指向Svchost，在启动服务的时候由

17、Svchost调用该服务的DLL来实现启动的目的。使用Svchost启动某个服务的DLL文件是由注册表中的参数来决定的，在需要启动服务的注册表项下都有一个“Parameters”子项，其中的“ServiceDll”键值表明该服务由哪个DLL文件负责，并且这个DLL文件必须导出一个ServiceMain（）函数，为处理服务任务提供支持 以rpcss（remote procedure call）服务为例,svchost工作过程,点击“开始”“运行”，输入“services.msc”命令，弹出服务对话框，右击“remote procedure call”服务项，选择属性快捷菜单，打开属性对话框，可以

18、看到rpcss服务的可执行文件的路径为“c:Windowssystem32svchost k rpcss”，这说明rpcss服务是由svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。,hkey_local_machinesystemcurrentcontrolsetservicesrpcss项，找到类型为“reg_expand_sz”的键“Imagepath”，其键值为“%systemroot%system32svchost k rpcss”（这就是在服务窗口中看到的服务启动命令。,svchost工作过程,另外在“parameters”子项中有个名为“serv

19、icedll”的键，其值为“%systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。,svchost工作过程,因为svchost进程能够启动各种服务，所以病毒、木马也想尽办法利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的。如“蓝色代码”，冲击波病毒的变种“w32.welchia.worm”等。Windows系统存在着许多正常svchost进程，如何检测到底哪个是病毒进程呢？以下简单方法足以对付一般病毒了。 假设系统感染了“w32

20、.welchia.worm”。正常的svchost文件存在于“c:Windowssystem32”目录下，如果发现该文件出现在其他目录下，这很可能就是病毒文件。通常“w32.welchia.worm”病毒存在于“c:Windowssystem32wins”目录中，因此只要通过进程浏览器或“Windows优化大师”进程管理器等工具查看svchost进程的执行文件路径就可以发现系统是否感染了相关病毒。,svchost工作过程,要注意的是，并不是启动一个相关服务就增加一个svchost进程的，而是根据命令参数分组，一般是一组服务就有一个svchost进程。也就是说，每个svchost.exe会话可以

21、包含一组服务，可以根据svchost.exe的启动方式和位置的不同运行不同的服务。 svchost.exe组的键值是： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionsvchost 每个在这个键下的值代表一个独立的Svchost组，查看活动的进程时，它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值，而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值：HKEY_LOCAL_MACHINESystemCurr

22、entControlSetservicesService。,svchost工作过程,svchost工作过程,本质上，svchost的工作方法就是svchost进程型木马病毒的工作方法。 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrent-Versionsvchost 存放着svchost启动的组和组内的各项服务，很多木马和病毒正是利用这一点来实现自动加载的。它们通常的方法有: （1）添加一个新的组，在组里添加服务名； （2）在现有的组里添加服务名或者利用现有组一个未安装的服务； （3）修改现有组里的服务，将它的ServiceDll指向自己的D

23、LL文件。,svchost工作过程,svchost工作过程,利用进程查看工具如“进程间谍”来查看svchost进程中的模块信息,svchost工作过程,利用进程查看工具如“金山毒霸系统清理专家”来查看svchost进程中的模块信息,svchost原理总结,svchost本身只是作为服务宿主，并不实现任何服务功能，需要svchost启动的服务以动态链接库形式实现，在安装这些服务时，把服务的可执行程序指向svchost，启动这些服务时由svchost调用相应服务的动态链接库来启动服务。 那么svchost如何知道某一服务是由哪个动态链接库负责呢？这不是由服务的可执行程序路径中的参数部分提供的，而是

24、服务在注册表中的参数设置的，注册表中服务下边有一个Parameters子键其中的ServiceDll表明该服务由哪个动态链接库负责。并且所有这些服务动态链接库都必须要导出一个ServiceMain()函数，用来处理服务任务。,例如rpcss(Remote Procedure Call) 在注册表中的位置是： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRpcSs，它的参数子键Parameters里有这样一项： ServiceDll=REG_EXPAND_SZ:%SystemRoot%system32rpcss.dll 当启动rpcss服务时

25、，svchost就会调用rpcss.dll，并且执行其ServiceMain()函数执行具体服务。 既然这些服务是使用共享进程方式由svchost启动的，为什么系统中会有多个svchost进程呢？微软把这些服务分为几组，同组服务共享一个svchost进程，不同组服务使用多个svchost进程，组的区别是由服务的可执行程序后边的参数决定的。,svchost原理总结,例如rpcss在注册表中： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRpcSs有这样一项： ImagePath=REG_EXPAND_SZ:%SystemRoot%system

26、32svchost-krpcss 因此rpcss就属于rpcss组，这在服务管理控制台也可以看到,svchost原理总结,svchost的所有组和组内的所有服务都在注册表的如下位置： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionsvchost，例如Windows2000共有4组rpcss、netsvcs、wugroup、BITSgroup，其中最多的就是 netsvcs=REG_MULTI_SZ:EventSystem.Ias.Iprip.Irmon.Netman.Nwsapagent.Rasauto.Rasman.Rem

27、oteaccess.SENS.Sharedaccess.Tapisrv.Ntmssvc.wzcsvc. 在启动一个svchost.exe负责的服务时，服务管理器如果遇到可执行程序内容ImagePath已经存在于服务管理器的映象库中，就不再启动第2个进程svchost，而是直接启动服务。这样就实现了多个服务共享一个svchost进程。,svchost原理总结,要通过svchost调用来启动的服务，就一定要在 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下有该服务名，这可以通过如下方式来实现： （1） 添加一个

28、新的服务组，在组里添加服务名； （2） 在现有组里添加服务名； （3） 直接使用现有服务组里的一个服务名，但本机没有安装的该服务； （4） 修改现有服务组里的现有服务，把它的ServiceDll指向自己。,svchost原理总结-安装服务与设置,前两种可以被正常服务使用，如使用第1种方式，启动其服务要创建新的svchost进程；第2种方式如果该组服务已经运行，安装后不能立刻启动服务，因为svchost启动后已经把该组信息保存在内存里，并调用API StartServiceCtrlDispatcher() 为该组所有服务注册了调度处理函数，新增加的服务不能再注册调度处理函数，需要重启计算机或者该

29、组的svchost进程。 后两种可能被后门使用，尤其是最后一种，没有添加服务，只是改了注册表里一项设置，从服务管理控制台又看不出来，如果作为后门还是很隐蔽的。比如EventSystem服务，缺省是指向es.dll，如果把ServiceDll改为EventSystem.dll就很难发现。 服务的安装除了调用CreateService()创建服务之外，还需要设置服务的ServiceDll，如果使用前2种还要设置svchost的注册表选项，在卸载时也最好删除增加的部分。,svchost原理总结-安装服务与设置,Windows操作系统进程解析,Windows系统进程活动 Windows基本进程解析 s

30、vchost.exe进程剖析 基于进程的木马病毒查杀,进程优化，肃清恶意进程,除系统运行必须的基本进程外，每个程序运行后都会在系统中生成进程，每个进程都会占用一定的CPU资源和内存资源。过多的进程和一些设计不良的进程就会导致系统变慢、性能下降，从而应该对它们进行优化，更重要的是经常性的优化可以及时发现病毒，从精简的进程列表中容易发现病毒。 1、精简进程 2、优化软件性能 3、杀死不良进程,进程优化，肃清恶意进程,1、精简进程 系统中的一些进程并不是必须的，结束它们并不会对系统造成什么损害。比如：internat.exe(显示输入法图标)、systray.exe(显示系统托盘小喇叭图标)、ctf

31、mon.exe(微软Office输入法)、mstask.exe(计划任务)、sysexplr.exe(超级解霸伺服器)、winampa.exe(Winamp代理)、wzqkpick.exe(WinZip助手)等。 2、优化软件性能 可以通过改变软件进程优先级来提高其性能，这样能使它们运行得更快，当然负作用就是可能影响到其他正在运行的进程。比如，为避免刻录缓存溢出问题造成刻录失败，可进入任务管理器的进程选项卡，找到并右击刻录软件的进程项，选择“设置优先级”，然后在弹出的子菜单中选择“高”。,进程优化，肃清恶意进程,3、杀死不良进程 有时会发现系统运行速度特别慢，这时可打开任务管理器，单击“进程”

32、标签，点击“CPU”列标签让进程按CPU资源占用排序，可以很明显地看到资源占用最高的程序。同样方法，可以点击“内存”列标签，查看那些内存占用大户，及时结束进程。 要注意的是显示的“SystemIdleProcess”进程CPU占用时间恰恰是系统空闲时间，单击“性能”标签可看到其实际的CPU资源占用情况。 如果某个16位程序影响了系统运行，而且也关不掉，可进入任务管理器的进程选项卡，找到NTVDM.exe进程，将其关掉即可杀掉所有16位应用程序，而不用重启。,查杀“Falling Star”双进程木马,第一步：打开“任务管理器”。根据和常见进程比较，很明显会发现两个“熟悉的陌生人”（和系统基本进

33、程名称相似，但不相同）：“internet.exe”和“systemtray.exe”。与前面介绍的进程名比较即可发现其异同了。 第二步：打开“系统信息”的“软件环境正在运行任务”，查看路径信息，两者均指向WindowsSystem32目录，而且文件大小、日期均相同，但从文件日期来看并不属于微软的系统文件。进入资源管理器查看其版本属性，虽然公司标明为Microsoft，但与系统文件中的微软公司名称书写并不相同，基本可断定是非法进程，并且为双进程模式。 第三步：在尝试结束进程时，第一次选择“systemtray.exe”来结束进程树，结果进程马上就再生了，任务管理器中又显示出这两个进程。于是再次

34、选择“internet.exe”，然后结束进程树。进程没有再生，从而将木马进程从系统中清除。,查杀伪装系统进程木马,文件名伪装 （1）修改常见程序或进程个别字符：“Falling Star”木马的进程名称“internet.exe”就与输入法进程“internat.exe”十分相似；“WAY无赖小子”的服务端进程名称为“msgsvc.exe”，与系统基本进程“msgsrv32.exe”类似，还有Explorer.exe和Exp1orer.exe的区别，用数字“1”取代了字母“l”，不仔细的话根本看不出来。 （2）修改扩展名：冰河木马的服务端进程为Kernel32.exe，乍一看很熟悉，好像是哪个系统进程，其实系统根本不存在这样一个文件，Windows9x的基本进程中却有一个叫做“Kernel32.dll”的。诸如此类的还有“Shell32.exe”的木马进程是从“Shell32.dll”这个大家都很熟悉的文件“演变”而来的，实际在系统中都是不存在的。,查杀伪装系统进程木马,路径伪装 Wind