|
注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 841|回复: 0

[技术文章] 针对进程与服务的攻防

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
46989
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   650 小时
   最后登录
   2020-10-27
发表于 2020-9-22 07:55:23 来自手机 | 显示全部楼层 |阅读模式
本节结合Windows操作系统的工作特点,对一些平时容易混淆的基本概念进行介绍,同时结合其实现对安全性进行必要的分析。
2.4.1 进程、线程、程序和服务的概念
1. 基本概念
(1)进程。进程(process)是正在运行的程序的实例,是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位。例如,在计算机上打开了QQ就启动了一个进程。
(2)线程。线程(threads)是进程的一部分,有时也称为轻量级进程(Light Weight Process,LWP),是程序执行流的最小单元。例如,在QQ这个进程中,传输文字启动一个线程,传输语音启动了一个线程,弹出对话框又启动了一个线程。
(3)程序。程序(program)是一组可执行指令的集合,是指为了得到某种结果而可以由计算机等具有信息处理能力的装置执行的代码化指令序列。
(4)服务。服务(service)是执行指定系统功能的程序、例程(例程是某个系统对外提供的功能接口或服务的集合,如操作系统的API,例程的作用类似于函数)或进程。
2. 概念之间的区别
(1)进程与线程的区别。线程是比进程更小的处理模块。进程和线程都是由操作系统所包含的程序运行的基本单元,系统利用该基本单元实现应用的并发性。进程和线程的区别在于:一个程序至少有一个进程,一个进程至少有一个线程;进程是系统所有资源分配时的一个基本单位,拥有一个完整的虚拟空间地址,并不依赖线程而独立存在;系统在运行时会为每一个进程分配不同的内存区域,但不会为线程分配,线程只能共享资源。
(2)进程与程序的区别。程序是一组指令的集合,是静态的实体,没有执行的含义;而进程是一个动态的实体,有自己的生命周期。一般来讲,一个进程肯定与一个程序相对应,并且只有一个。但是,一个程序既可以有多个进程,也可能一个进程都没有。简单来讲,进程是程序的运行实体,只有程序在运行时才会产生进程。
(3)服务与进程。在Windows操作系统中,当通过网络提供服务时,服务可以在活动目录中发布。可以设置服务是否与操作系统一起启动、一起关闭。Windows中的服务支持自动、手动和禁用3种方式。服务和进程并不是一一对应的,进程是当前系统使用中调用程序,包括一些dll动态链接库文件的实体,而系统服务是系统当前使用的一些规则,服务的打开与否关系到系统能否执行某些特定的功能。
2.4.2 重要系统进程
由于进程的重要性,进程也成为网络攻防者的主要攻击目标。在网络攻防中,不仅要了解用于攻击的“矛”,也要掌握用于防范的“盾”。下面从攻防的角度来介绍几个重要的Windows进程。
1. Smss.exe
Smss.exe(Session Manager Subsystem)是Windows会话管理器,属于Windows操作系统的一部分。该进程调用会话管理子系统并负责操作系统的会话,决定着系统能否正常地运行。正常的Smss.exe进程文件存放在Windows\System32下。
如果系统中出现了多个Smss.exe进程,而且占用的CPU资源较大时,该Smss.exe可能是木马程序(如Win32.ladex.a木马),可通过手工方式清除。首先在“Windows资源管理器”中确定Smss.exe进程,然后通过“打开文件位置”找到所在的文件夹后将其删除,并消除它在注册表和WIN.ini文件中的相关项。
2. Csrss.exe
Csrss.exe所在的进程文件是csrss或csrss.exe,通常是Windows系统的正常进程。它管理Windows图形相关任务,是Windows的核心进程之一,对系统的正常运行起着关键作用。
在正常情况下,Csrss.exe位于Windows\System32文件夹中,如果系统中出现了多个Csrss.exe文件(其中一个位于Windows文件夹下),则很有可能是感染了Trojan.Gutta或[email protected]病毒。非正常的Csrss.exe是一种蠕虫病毒,它会以Csrss.exe为文件名复制自己的副本文件到Windows目录下,并添加下面的注册表键值,以便每次Windows启动时蠕虫会自动运行:HKEL_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SystemSARS32,with value"C:WINNTcsrss.EXE"。
手工删除Csrss.exe蠕虫时,可先结束Windows根目录下的Csrss.exe进程,删除病毒生成的.com或.exe文件,并删除注册表中病毒的启动项。
3. Services.exe
Services.exe(Windows service controller)是Windows操作系统的一部分,用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。该程序对Windows系统的正常运行起着关键作用,结束该进程后系统会重新启动。
正常的Services.exe应位于Windows\System32文件夹中,不过也可能是W32.Randex.R(储存在Windows\System32文件夹中)和Sober.P(储存在Windows\Connection Wizard\Status文件夹下)木马。该木马允许攻击者访问用户的计算机,窃取密码和个人数据。
需要说明的是,当使用计算机的时间较长时也可能导致Services.exe占用内存较大,主要原因是事件日志(Event Log)过多,而Services.exe启动时会加载事件日志,因而使得进程占用了大量内存。可在Windows的“事件查看器”中查看,并清除日志记录。
4. Svchost.exe
Svchost.exe是Windows系统中一类通用的进程名称,它是与运行动态链接库dlls的Windows系统服务相关的。在计算机启动时,Svchost.exe检查注册表中的服务并将其载入并运行。Svchost.exe程序对系统的正常运行是非常重要,而且不能被结束运行。
在“Windows任务管理器”中经常会出现多个Svchost.exe同时运行的情况,正常情况下,每一个都表示该计算机上运行的一类基本服务。例如,在Windows XP操作系统中,一般有4个以上的Svchost.exe服务进程,而从Windows 7操作系统开始则更多。

发表回复

您需要登录后才可以回帖 登录 | 注册会员 |

本版积分规则

快速回复 返回顶部 返回列表