日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

一般來說，任何的網(wǎng)絡攻擊行為，無論是病毒還是木馬，其發(fā)生的時候，肯定會在系統(tǒng)中留下一些痕跡。下面，我談談我們?nèi)绾螐南到y(tǒng)進程中查看我們的網(wǎng)絡及操作系統(tǒng)是否正在遭受病毒或者木馬的侵襲，及對應的解決方法?；蛟S能夠給正在遭受網(wǎng)絡安全困擾的用戶，一些幫助。

具體怎么看系統(tǒng)進程，我想這里就不用我多說了。很多工具都可以查看系統(tǒng)進程，最常用的方法就是利用操作系統(tǒng)自帶的任務管理器進行查看。

一、CSRSS進程異常

根據(jù)官方的解釋，CSRSS進程是Windows圖形相關(guān)控制的客戶端服務自系統(tǒng)。正常情況下，在操作系統(tǒng)的任務進程中，必須有這個進程，否則系統(tǒng)就的圖形界面就無法使用了。但是，這個進程也很有可能被病毒所利用，成為病毒的保護傘。

若CSRSS進程出現(xiàn)了以下的異常情況，那么說明你的電腦很可能中毒了。應該即使采取措施，否則會影響操作系統(tǒng)以網(wǎng)絡的安全。

1、當任務管理器中，出現(xiàn)多個CSRSS進程時。一般情況下，在操作系統(tǒng)中，只能出現(xiàn)一個CSRSS進程。雖然說CSRSS進程是必須的，但是，也不是多多益善。當任務管理器中的進程顯示出有多個CSRSS進程的話，那么說明你的操作系統(tǒng)中招了。

 2、當CSRSS進程運行的用戶名不是SYSTEM，及其運行的模塊路徑不是System32 文件夾下的話，那么你也要當心了。很可能你電腦已經(jīng)成為了黑客眼中的肉雞，成為影響企業(yè)網(wǎng)絡安全的一顆定時炸彈，隨時都會爆炸。

3、當CSRSS病毒出現(xiàn)在微軟早七的版本中，如98系統(tǒng)或者WINME操作系統(tǒng)的話，那么，也說明這個進程是有問題的進程。因為CSRSS進程，是微軟操作系統(tǒng)2000以后的產(chǎn)物。在以前的操作系統(tǒng)中，沒有這個進程。若不幸在以前的操作系統(tǒng)的版本中發(fā)現(xiàn)這個進程的話，那絕對是病毒無疑。

解決方式：

若CSRSS是木馬引起的，那么CSRSS是一個小的腳本程序?，F(xiàn)在很多木馬都會用到這個進程，如QQ木馬、傳奇盜號木馬、MSN木馬、郵件帳號木馬等等。中了這些木馬的時候，一般操作系統(tǒng)本身不會有很大的反映，系統(tǒng)的速度也是正常的，所以比較隱蔽。但是，其危害是很大的。其會把企業(yè)的一些帳號，如VPN用戶名與密碼、即時通信工具與密碼等等都泄露出去，給企業(yè)的網(wǎng)絡安全帶來很大的隱患。

遇到這種這種情況的話，我們應該采取如下措施：

1、通過注冊表刪除這個進程。因為木馬把這個進程偽裝成系統(tǒng)進程，所以，試圖通過任務管理器結(jié)束這個進程的時候，系統(tǒng)會提示錯誤信息，告知這個進程為系統(tǒng)進程不能停止。所以，只能夠通過注冊表管理器，把這個進程刪除。注意，不要把系統(tǒng)原來的那個進程給刪除了。所以，還是建議在修改注冊表之前，先記得備份一下。

2、然后查看進程運行時的系統(tǒng)路徑。把該進程在注冊表中刪除后，在任務管理器中的進程處就找不到這個進程了。此時，找到其原先運行的路徑下面，我們就可以看到有一個CSRSS可執(zhí)行文件。注意，只要不是SYSTEM32，其他的都可以刪除。我們也可以通過系統(tǒng)自帶的搜索功能，查詢這個文件。把不是在SYSTEM32目錄下的CSRSS文件都刪除。

3、為了安全起見，升級我們的殺毒軟件或者網(wǎng)上尋找專殺工具，對我們的系統(tǒng)進行全面的查殺。把病毒殺掉后，要及時把補丁打上，以防止下次不小心又中招了。

二、LSASS進程異常

LSASS進程也是微軟操作系統(tǒng)的系統(tǒng)進程，其主要用來管理IP安全策略以及啟動ISAKMP/IKE和IP安全驅(qū)動程序。這個進程會產(chǎn)生會話秘鑰以及授予用戶交互式客戶/服務器驗證的服務憑據(jù)。

一般情況下，若系統(tǒng)進程中出現(xiàn)了一個LSASS進程，并且其是以SYSTEM的用戶運行且運行目錄是在System32下面，那不用擔心，是正常的。但是，有時候這個進程也會作怪，有些木馬或者病毒也會假冒這個進程來欺騙用戶。

當發(fā)生以下異常情況時，那我們需要注意了，可能我們的操作系統(tǒng)以及網(wǎng)絡已經(jīng)受到病毒或者木馬的威脅。

1、在系統(tǒng)中出現(xiàn)了多個LSASS進程。一般以大寫命名的LSASS進程是正常的，是系統(tǒng)進程；但是，若同時還存在一個小寫命名的lsass進程的話，那就說明你的系統(tǒng)可能已經(jīng)出問題了，被病毒或者木馬看中了。

2、若中了ISASS病毒的話，不僅會在系統(tǒng)進程中產(chǎn)生兩個LSASS進程，而且，還會產(chǎn)生一個EXERT進程。這兩個進程分工合作，共同來管理LSASS病毒。一般來說，LSASS進程控制LSASS病毒的執(zhí)行，而EXERT病毒控制LSASS病毒的退出。所以，若這兩個進程成對出現(xiàn)的話，那你的系統(tǒng)百分之百的已經(jīng)中了LSASS病毒。

LSASS病毒也是一個盜號木馬，其主要運行在微軟的操作系統(tǒng)上。以前的版本危害比較小，主要用來盜取游戲密碼。但是，改良后的LSASS病毒，不僅會盜取游戲密碼，而且，還會盜取郵箱、QQ密碼等等，對于企業(yè)網(wǎng)絡的安全影響比較大。不法之徒可以利用這個工具，獲取企業(yè)郵箱等密碼，竊取企業(yè)的機密，如客戶發(fā)給企業(yè)的定單等等。LSASS病毒會記錄鍵盤信息，最后把用戶名與密碼信息記錄下來并發(fā)送到指定的郵箱，從而竊取用戶的帳號與密碼等等。所以，危害級別比較大。

解決方案：

1、結(jié)束LSASS進程。因為該進程為系統(tǒng)進程（其實不是，只是偽裝，但是操作系統(tǒng)本身不能識別），所以，無法在進程管理器中直接停止。我們只能夠通過注冊表，或者在DOS窗口中，利用NTSD命令強行停止。NTSD是從微軟的2000以后的操作系統(tǒng)中自帶的用戶調(diào)試工具。被調(diào)試器附著的進程會隨調(diào)試器的退出而一起退出。所以，可以同這個命令在命令行窗口下強行終止進程。但是，一般情況下，NTSD命令不能殺掉SYSTEM用戶運行的進程。不過還好，LSASS病毒的LSASS進程是不是以SYSTEM用戶運行的。從這里我們可以看出，在進程管理器中，其結(jié)束進程的話，有時候是按進程的名字來限制的；但是，利用NTSD命令的話，他考慮的是以什么身份進行運行的。故利用NTSD命令可以停止一些偽裝系統(tǒng)進程運行的非法進程。利用這個命令，也可以禁止上面談的CSRSS非法進程。當然，以SYSTEM運行的合法系統(tǒng)進程是結(jié)束不掉的。具體的命令為ntsd –c q –p 進程ID.通過進程管理器,可以查到非法進程的ID,就可以通過這個命令禁止掉了。

2、刪除病毒文件。LSASS病毒會在其他盤下生成兩個文件，分別為Autorun.inf與command.com文件。一般這兩個文件的屬性是隱藏的。所以，我們需要把文件的顯示屬性設(shè)置為“顯示隱藏文件與系統(tǒng)文件”才會看到這個兩個文件。找到他們，然后把他們刪除。

同時，在啟動盤下，可能會有一些病毒文件，如EXERT.EXE等，我們也要把他們一一找出來，刪除掉。不然的話，下次還是會中招。

3、修復注冊表。這個病毒在注冊表中會生成比較多的垃圾，所以，若是手工清除的話，一方面，不一定能夠全部清除干凈，另一方面，也可能一不小心，產(chǎn)生一些錯誤。此時，我們最好利用我們最近備份的注冊表備份文件，直接進行恢復。

4、從網(wǎng)上下載專殺工具或者升級我們的殺毒軟件，進行全面的查殺。

5、為了安全起見，需要提醒我們的員工，及時更改我們的帳戶密碼。因為用戶 的密碼很可能已經(jīng)泄露出去。如果不及時把密碼改過來的話，不法分子可以利用他們已經(jīng)得到的用戶名與密碼，進行一些非法的勾當。

以上這兩種進程都是盜號木馬的工具。對于這些盜號木馬進程，一般情況下，不會對系統(tǒng)運行造成什么影響。所以，相對來說，比較隱蔽。但是，其危害性，確實比其他病毒大的多。有些病毒只是惡作劇的性質(zhì)，最多只是讓操作系統(tǒng)崩潰或者造成網(wǎng)絡擁塞。而企業(yè)的文件、帳戶信息等不會泄露出去。所以，這些惡作劇的病毒危害性反而小一點。

所以，為了保障企業(yè)網(wǎng)絡的安全，最好的辦法還是部署企業(yè)級別的殺毒系統(tǒng)。如此的話，可以實現(xiàn)在用戶不用干預的情況下，對殺毒軟件進行及時的升級，防止病毒與木馬入侵。

一般來說，任何的網(wǎng)絡攻擊行為，無論是病毒還是木馬，其發(fā)生的時候，肯定會在系統(tǒng)中留下一些痕跡。我接著談談我們?nèi)绾螐南到y(tǒng)進程中查看我們的網(wǎng)絡及操作系統(tǒng)是否正在遭受病毒或者木馬的侵襲，及對應的解決方法?；蛟S能夠給正在遭受網(wǎng)絡安全困擾的用戶，一些幫助。

三、SMSS進程異常

SMSS進程是會話管理子系統(tǒng)的進程，他主要用來初始化系統(tǒng)變量。正常情況下，他是以系統(tǒng)用戶名（system）身份運行，并且運行目錄是在SYSTEM32下面。這個進程是通過系統(tǒng)進程初始化的并且對許多活動的系統(tǒng)變量作出反映。其實這個進程我們平時也經(jīng)常會感受到。當某個程序發(fā)生異常時，SMSS進程就會讓系統(tǒng)停止響應。有時候我們在網(wǎng)上沖浪系統(tǒng)突然提示網(wǎng)頁發(fā)生錯誤將關(guān)閉，就跟這個進程有關(guān)系。這個進程的正常運行，對于系統(tǒng)穩(wěn)定性來說，是非常重要的。

但是，這個系統(tǒng)進程也被不法之人利用了。若你在任務管理器中發(fā)現(xiàn)以下異?，F(xiàn)象，那么就要恭喜你了，你中木馬了。

異常現(xiàn)象：

1、不是以系統(tǒng)用戶名（system）身份運行的，并且，運行目錄不是SYSTEM32下面的，那么就說明這個進程有異常。我們要注意，若是系統(tǒng)的正常的SMSS進程，一定是以系統(tǒng)用戶名運行的，并且，一定是在SYSTEM32目錄下運行。否則的話，就不是系統(tǒng)本身的SMSS進程，很可能是木馬偽造的進程。

2、在系統(tǒng)中有同時出現(xiàn)兩個或者兩個以上SMSS進程，那么你就要注意了，你電腦很可能中了木馬。

現(xiàn)在最常見的SMSS進程異常是由WIN32.LADEX.A木馬所造成的。這個木馬病毒危害很大，他不僅允許攻擊者訪問你的電腦，而且，還會竊取你的機密文件與個人密碼。這個危害性是很大的。根據(jù)官方的建議，若發(fā)現(xiàn)這個進程異常的話，要馬上刪除這個進程，并進行殺毒工作。

這個木馬若手工刪除的話，非常的麻煩。以前有一電腦中了這個木馬，整整花了一天的時間，刪除關(guān)聯(lián)文件，修改注冊表，才清除干凈。一般不建議手工刪除這個木馬，太麻煩，而且比較專業(yè)，要求對這個病毒有比較徹底的認識與了解。若發(fā)現(xiàn)這個進程異常時，建議采取如下操作：

1)、在任務管理器下，馬上關(guān)閉這個進程。有時候，可能利用系統(tǒng)的進程管理器還不能關(guān)閉這個進程，需要在安全模式下，才能關(guān)閉。所以，我們的第一要務，就是想盡一切可以想的辦法，把這個進程先結(jié)束掉，如此，我們才可以做其他的工作。

2)、在殺毒軟件網(wǎng)站上，找這個木馬的專殺工具。這個病毒其關(guān)聯(lián)的范圍太廣，若手工刪除的話，太浪費時間，一不小心的話，那邊還會剩下漏網(wǎng)之雨。即使熟悉這個木馬的人，要把木馬清除干凈的話，若沒有半天的時間估計也搞不定。而且，因為要修改注冊表等信息，所以手工修改也會發(fā)生錯誤。我的建議是，從網(wǎng)上尋找一個轉(zhuǎn)殺工具，用來查殺一下就可以了。

3)、利用專殺工具殺掉病毒后，要提醒中木馬電腦的用戶，要及時修改密碼。如用戶郵箱、QQ等即時通信工具的密碼；若在這臺電腦上使用過網(wǎng)上銀行的話，還要修改這個網(wǎng)上銀行的密碼。因為這些信息很可能在用戶不知情的情況下，就已經(jīng)被攻擊者所獲取。所以，不怕一萬，就怕萬一，要即使修改這些信息，防止被攻擊者非法利用。

四、Winlogon進程異常

這個進程是微軟操作系統(tǒng)的用戶登陸程序，管理用戶的登陸與退出。該進程正常運行路徑已經(jīng)為SYSTEM32路徑下并且是以SYSTEM系統(tǒng)身份用戶運行。

但是，不幸的是，這個進程已經(jīng)被落雪木馬看中。

進程異常現(xiàn)象：

當你打開系統(tǒng)進程查看器查看你的系統(tǒng)進程時，若你發(fā)現(xiàn)你的系統(tǒng)中有個大寫的WINLOGON進程并且該進程不是以SYSTEM系統(tǒng)用戶名身份運行，而是當前帳戶身份運行的話，那你就中了這個所謂的落雪病毒。 這個病毒很頑固，而且，也很狡猾，這個木馬是由VB程序語言編寫，通過北斗殼技術(shù)進行加殼處理。病毒文件名被模擬成正常的系統(tǒng)工具名稱，但是，文件擴展名變成了COM，而正常的系統(tǒng)進程是以EXE結(jié)尾的。這是落雪木馬利用了微軟操作系統(tǒng)的一個特性。

當有兩個文件，如A.EXE與A.COM兩個文件。這個兩個文件都是可執(zhí)行文件，而且，文件名相同，只是擴展名不同。此時，我們?nèi)粼诿钚兄?，輸入A運行A程序時，系統(tǒng)會優(yōu)先執(zhí)行A.COM程序。這是為什么呢？原來微軟操作系統(tǒng)執(zhí)行COM文件的優(yōu)先級別要比執(zhí)行EXE的文件級別高。

如此，當用戶在命令行中輸入A，此時，系統(tǒng)運行的不是系統(tǒng)征程的進程或者程序，而是木馬病毒。該病毒在運行時，還會創(chuàng)建一個WINLOGON.EXE進程，所以，我們查看進程管理器的時候，會發(fā)現(xiàn)有兩個WINLOGON進程。只是一個是大寫名字，一個是小寫名字。另外運行的用戶與路徑也有差異。

另外該病毒還會修改注冊表文件關(guān)聯(lián)，每次當用戶打開HTML的文件時，都會觸發(fā)這個病毒。并且，該病毒還會在我們系統(tǒng)的其他盤下面，生成兩個隱藏文件，autorun.inf與pagefile.com文件。這兩個文件，一看擴展名，就知道不是善類。這兩個文件是自動運行批處理文件，這樣即使系統(tǒng)盤下面的病毒文件被刪除了，但是，當用戶打開其他盤，如D盤時，這個病毒仍然會運行。所以，這個病毒在“殺不死的病毒”排行榜上，是名列前茅的。

遇到這個病毒時，我們該怎么辦呢？

這個病毒牽涉的范圍跟上面這個病毒一樣，是非常的廣。在系統(tǒng)盤中、注冊表中及其他盤上都有涉及到，所以，若靠手工刪除病毒的話，很難清除干凈。我的建議還是依靠采用專門的殺毒軟件或者專殺工具來對付他。所以當我們發(fā)現(xiàn)這個病毒時，為了安全起見，最好把這中木馬的主機從局域網(wǎng)上斷掉，然后在其他正常的主機上，從網(wǎng)上找到病毒的專殺工具，然后通過U盤等工具，拷過來，把病毒殺掉。不過，若用U盤等工具拷貝的話，要注意，最好把U盤設(shè)置為只讀，也就是打開寫保護，如此的話，U盤就不會被感染病毒。

五、svohost進程

你能夠一眼看出 svohost與svchost這兩個單詞的區(qū)別嗎？要是不特別提醒，你不會知道這里還隱藏著什么密碼。

一次我有一個同事電腦出現(xiàn)了問題，我過去一看，運行速度很慢，估計是中了病毒。我想看看系統(tǒng)中是否多了很多隱藏的文件，如在其他盤根目錄下是否多了隱藏的批處理文件。可是當我通過工具欄那邊想把隱藏文件顯示出來的時候，才發(fā)現(xiàn)居然沒有這個選項，我現(xiàn)在所有的隱藏文件都看不到了。這是怎么回事情呢？其實，這就是這個svohost（注意不是svchost進程）進程在作怪。

Svchost是一個標準的動態(tài)連接庫主機處理服務，它包含很多系統(tǒng)服務。有些病毒就利用用戶粗心大意的態(tài)度，通過偽裝，另外開了一個新的進程SCOHOST。兩個進程只有一字只差，而且，這個兩個字符C與O又非常相似，不仔細看，還真看不出來。 一般中這個病毒的癥狀是盤打不開，而且不能查看隱藏文件。若你不幸有這兩種癥狀，并且，在進程管理器中，有SVOHOST進程的話，那就說明你中招了。要趕緊想辦法處理了。

因為有時候在你沒裝殺毒軟件之前，中了這個病毒的話，他就會影響你殺毒軟件的安裝過程。也就是說，你中了這個病毒之后，再裝殺毒軟件的話，那么你可能就裝不上。此時，除了重新安裝系統(tǒng)之外，還有其他的解決方法嗎？

我們的思路是先手工的把病毒刪除，然后再按照殺毒軟件進行病毒查殺。所以現(xiàn)在首要的問題就是如何手工的殺除這個病毒。

1、關(guān)閉病毒進程。由于SVOHOST進程雖然跟系統(tǒng)進程比較像，但是畢竟只是像而已，而不是系統(tǒng)進程。所以，可以通過系統(tǒng)的進程管理器把這個病毒直接關(guān)閉掉。只是在關(guān)的時候，我們不要看花了眼，要選擇真正的我們需要關(guān)閉的進程SVOHOST，而不是svchost。

2、修改注冊表，把隱藏文件顯示出來。我們可以在注冊表中進行修改，讓其顯示文件性質(zhì)為隱藏的文件。這里我們要注意，病毒會把注冊表中本來有效的值刪除掉，新建了一個無效的字符串。所以，在修改注冊表顯示隱藏文件的時候，要先把病毒新建的無效字符串去掉，然后把其原來的字段加進去。這可見這個病毒是花了很大心思的。

3、手工刪除病毒。把隱藏文件顯示出來后，我們就要手工的刪除病毒文件。用鼠標又鍵電腦中年的盤符，選擇打開。注意，這里不要直接雙擊打開電腦，否則的話，又會激活這個病毒。打開盤后，我們看到在盤符下面，有幾個隱藏文件，把他們刪除掉。

然后我們就可以正常安裝殺毒軟件進行殺毒了。這里要注意，我們經(jīng)過了第三步后，并沒有把病毒全部刪除干凈。最后仍然要依靠殺毒軟件來對病毒進行全面的查殺。

本文標題：如何從異常系統(tǒng)進程檢查企業(yè)網(wǎng)絡安全
URL鏈接：http://m.5511xx.com/article/dhpddeh.html