系统安全：从异常系统进程检查企业网络安全 (二)

    一般来说，任何的网络攻击行为，无论是病毒还是木马，其发生的时候，肯定会在系统中留下一些痕迹。我接着谈谈我们如何从系统进程中查看我们的网络及操作系统是否正在遭受病毒或者木马的侵袭，及对应的解决方法。或许能够给正在遭受网络安全困扰的用户，一些帮助。



    三、SMSS进程异常 



　　SMSS进程是会话管理子系统的进程，他主要用来初始化系统变量。正常情况下，他是以系统用户名（system）身份运行，并且运行目录是在SYSTEM32下面。这个进程是通过系统进程初始化的并且对许多活动的系统变量作出反映。其实这个进程我们平时也经常会感受到。当某个程序发生异常时，SMSS进程就会让系统停止响应。有时候我们在网上冲浪系统突然提示网页发生错误将关闭，就跟这个进程有关系。这个进程的正常运行，对于系统稳定性来说，是非常重要的。 



　　但是，这个系统进程也被不法之人利用了。若你在任务管理器中发现以下异常现象，那么就要恭喜你了，你中木马了。 



　　异常现象： 



　　1、不是以系统用户名（system）身份运行的，并且，运行目录不是SYSTEM32下面的，那么就说明这个进程有异常。我们要注意，若是系统的正常的SMSS进程，一定是以系统用户名运行的，并且，一定是在SYSTEM32目录下运行。否则的话，就不是系统本身的SMSS进程，很可能是木马伪造的进程。 



　　2、在系统中有同时出现两个或者两个以上SMSS进程，那么你就要注意了，你电脑很可能中了木马。 



　　现在最常见的SMSS进程异常是由WIN32.LADEX.A木马所造成的。这个木马病毒危害很大，他不仅允许攻击者访问你的电脑，而且，还会窃取你的机密文件与个人密码。这个危害性是很大的。根据官方的建议，若发现这个进程异常的话，要马上删除这个进程，并进行杀毒工作。 



　　这个木马若手工删除的话，非常的麻烦。以前我单位有一电脑中了这个木马，我整整花了一天的时间，删除关联文件，修改注册表，才清除干净。一般我不建议手工删除这个木马，太麻烦，而且比较专业，要求对这个病毒有比较彻底的认识与了解。若发现这个进程异常时，我建议采取如下操作： 



　　1、在任务管理器下，马上关闭这个进程。有时候，可能利用系统的进程管理器还不能关闭这个进程，需要在安全模式下，才能关闭。所以，我们的第一要务，就是想尽一切可以想的办法，把这个进程先结束掉，如此，我们才可以做其他的工作。 



　　2、在杀毒软件网站上，找这个木马的专杀工具。这个病毒其关联的范围太广，若手工删除的话，太浪费时间，一不小心的话，那边还会剩下漏网之雨。即使熟悉这个木马的人，要把木马清除干净的话，若没有半天的时间估计也搞不定。而且，因为要修改注册表等信息，所以手工修改也会发生错误。我的建议是，从网上寻找一个转杀工具，用来查杀一下就可以了。 



　　3、利用专杀工具杀掉病毒后，要提醒中木马电脑的用户，要及时修改密码。如用户邮箱、QQ等即时通信工具的密码；若在这台电脑上使用过网上银行的话，还要修改这个网上银行的密码。因为这些信息很可能在用户不知情的情况下，就已经被攻击者所获取。所以，不怕一万，就怕万一，要即使修改这些信息，防止被攻击者非法利用。



　　四、Winlogon进程异常 



　　这个进程是微软操作系统的用户登陆程序，管理用户的登陆与退出。该进程正常运行路径已经为SYSTEM32路径下并且是以SYSTEM系统身份用户运行。 



　　但是，不幸的是，这个进程已经被落雪木马看中。 



　　进程异常现象： 



　　当你打开系统进程查看器查看你的系统进程时，若你发现你的系统中有个大写的WINLOGON进程并且该进程不是以SYSTEM系统用户名身份运行，而是当前帐户身份运行的话，那你就中了这个所谓的落雪病毒。 



　　这个病毒很顽固，而且，也很狡猾， 



　　这个木马是由VB程序语言编写，通过北斗壳技术进行加壳处理。病毒文件名被模拟成正常的系统工具名称，但是，文件扩展名变成了COM，而正常的系统进程是以EXE结尾的。这是落雪木马利用了微软操作系统的一个特性。当有两个文件，如A.EXE与A.COM两个文件。这个两个文件都是可执行文件，而且，文件名相同，只是扩展名不同。此时，我们若在命令行中，输入A运行A程序时，系统会优先执行A.COM程序。这是为什么呢？原来微软操作系统执行COM文件的优先级别要比执行EXE的文件级别高。如此，当用户在命令行中输入A，此时，系统运行的不是系统征程的进程或者程序，而是木马病毒。该病毒在运行时，还会创建一个WINLOGON.EXE进程，所以，我们查看进程管理器的时候，会发现有两个WINLOGON进程。只是一个是大写名字，一个是小写名字。另外运行的用户与路径也有差异。 



　　另外该病毒还会修改注册表文件关联，每次当用户打开HTML的文件时，都会触发这个病毒。并且，该病毒还会在我们系统的其他盘下面，生成两个隐藏文件，autorun.inf与pagefile.com文件。这两个文件，一看扩展名，就知道不是善类。这两个文件是自动运行批处理文件，这样即使系统盘下面的病毒文件被删除了，但是，当用户打开其他盘，如D盘时，这个病毒仍然会运行。所以，这个病毒在“杀不死的病毒”排行榜上，是名列前茅的。 



　　遇到这个病毒时，我们该怎么办呢？ 



　　这个病毒牵涉的范围跟上面这个病毒一样，是非常的广。在系统盘中、注册表中及其他盘上都有涉及到，所以，若靠手工删除病毒的话，很难清除干净。我的建议还是依靠采用专门的杀毒软件或者专杀工具来对付他。所以当我们发现这个病毒时，为了安全起见，最好把这中木马的主机从局域网上断掉，然后在其他正常的主机上，从网上找到病毒的专杀工具，然后通过U盘等工具，拷过来，把病毒杀掉。不过，若用U盘等工具拷贝的话，要注意，最好把U盘设置为只读，也就是打开写保护，如此的话，U盘就不会被感染病毒。



　　五、svohost进程 



　　你能够一眼看出 svohost与svchost这两个单词的区别吗？要是不特别提醒，你不会知道这里还隐藏着什么密码。 



　　一次我有一个同事电脑出现了问题，我过去一看，运行速度很慢，估计是中了病毒。我想看看系统中是否多了很多隐藏的文件，如在其他盘根目录下是否多了隐藏的批处理文件。可是当我通过工具栏那边想把隐藏文件显示出来的时候，才发现居然没有这个选项，我现在所有的隐藏文件都看不到了。这是怎么回事情呢？其实，这就是这个svohost（注意不是svchost进程）进程在作怪。 



　　Svchost是一个标准的动态连接库主机处理服务，它包含很多系统服务。有些病毒就利用用户粗心大意的态度，通过伪装，另外开了一个新的进程SCOHOST。两个进程只有一字只差，而且，这个两个字符C与O又非常相似，不仔细看，还真看不出来。 



　　一般中这个病毒的症状是盘打不开，而且不能查看隐藏文件。若你不幸有这两种症状，并且，在进程管理器中，有SVOHOST进程的话，那就说明你中招了。要赶紧想办法处理了。 



　　因为有时候在你没装杀毒软件之前，中了这个病毒的话，他就会影响你杀毒软件的安装过程。也就是说，你中了这个病毒之后，再装杀毒软件的话，那么你可能就装不上。此时，除了重新安装系统之外，还有其他的解决方法吗？ 



　　我们的思路是先手工的把病毒删除，然后再按照杀毒软件进行病毒查杀。所以现在首要的问题就是如何手工的杀除这个病毒。 



　　1、关闭病毒进程。由于SVOHOST进程虽然跟系统进程比较像，但是毕竟只是像而已，而不是系统进程。所以，可以通过系统的进程管理器把这个病毒直接关闭掉。只是在关的时候，我们不要看花了眼，要选择真正的我们需要关闭的进程SVOHOST，而不是svchost。 



　　2、修改注册表，把隐藏文件显示出来。我们可以在注册表中进行修改，让其显示文件性质为隐藏的文件。这里我们要注意，病毒会把注册表中本来有效的值删除掉，新建了一个无效的字符串。所以，在修改注册表显示隐藏文件的时候，要先把病毒新建的无效字符串去掉，然后把其原来的字段加进去。这可见这个病毒是花了很大心思的。 



　　3、手工删除病毒。把隐藏文件显示出来后，我们就要手工的删除病毒文件。用鼠标又键电脑中年的盘符，选择打开。注意，这里不要直接双击打开电脑，否则的话，又会激活这个病毒。打开盘后，我们看到在盘符下面，有几个隐藏文件，把他们删除掉。 



　　然后我们就可以正常安装杀毒软件进行杀毒了。这里要注意，我们经过了第三步后，并没有把病毒全部删除干净。最后仍然要依靠杀毒软件来对病毒进行全面的查杀。