05-Windows操作系统基本监控

Windows操作系统基本监控烟台大学网络中心万红波内容WindowsXP操作系统的层次结构操作系统的启动、引导过程进程的基本概念进程监控病毒进程隐藏常用进程病毒进程的隐藏启动WindowsXP操作系统层次结构操作系统是由内核（kernel）和外壳（shell）两部分组成的；内核负责一切实际的工作，包括cpu任务调度、内存分配管理、设备管理、文件操作等；外壳是基于内核提供的交互功能而存在的界面，它负责指令传递和解释；WindowsXP操作系统层次结构启动过程－预引导打开计算机电源后，预引导过程就开始运行；计算机硬件首先要完成加电自检（Power-OnSelfTest，POST）；对计算机中安装的处理器、内存等硬件进行检测；启动过程－引导阶段初始化引导载入程序(BIOS)：提前加载的程序，准备读取硬盘上的操作系统加载程序，比如对于WindowsXP的加载NTLDR，在系统盘的根目录下；操作系统选择－多系统的时候，需要选择要加载的操作系统，记录在BOOT.INI文件中；NTLDR加载NTDETECT.COM文件，由它来检测机器硬件,如并行端口,显示适配器等等,并将收集到的硬件列表返回NTLDR用于以后在注册表中注册保存。NTLDR开始装载WindowsXP内核NTOSKRNL.EXE。内核文件位于XP安装文件夹下的SYSTEM32文件夹中。启动过程－启动服务－登录内核完成初始化,NTLDR将控制权转交WindowsXP内核；装载并初始化设备驱动程序启动WIN32子系统启动WindowsXP服务进入登录界面为什么WindowsXP的启动速度要比Windows2000快所有不重要的设备驱动和服务都将在用户登录系统之后才加载和运行；用户登录后系统才开始加载非关键组件；进程操作系统中运行的所有程序，都是以进程的形式来显示；病毒和木马存在于系统中的时候，在进程中也有所反映，监控系统中的进程，可以发现系统中存在的问题；木马程序进程的基本分类：服务进程用户程序进程使用ProcessExplorer进程监控WindowsXP核心系统进程层次结构smss.exe(SessionManagerSubsystem)，该进程为会话管理子系统用以初始化系统变量，调用Win32壳子系统和运行Windows登陆过程。csrss.exe是微软客户端/服务端运行时子系统，该进程管理Windows图形相关任务。winlogon.exe是WindowsXP登录管理器，位于C:\Windows\System32目录下，主要用于管理XP用户的登录和退出，处理用户登录和注销任务。services.exe进程，用于管理启动和停止服务，所有服务进程都作为该进程的子进程；lsass.exe是一个系统进程，用于微软Windows系统的安全机制，用于本地安全和登陆策略，并且负责显示登录界面；登录后，系统启动userinit.exe进程，该进程负责启动其他相关服务，比如启动网络连接，最后启动Windows外壳界面程序(explorer.exe)，然后该进程退出；explorer.exe进程，Windows资源管理器，Windows图形界面外壳程序，所有用户启动的非服务类程序都作为该进程的子进程；病毒进程病毒要在计算机中运行，在系统中必然存在进程；病毒都要以某种方式隐藏自身进程；以假乱真偷梁换柱借尸还魂病毒进程隐藏－以假乱真将系统中正常的进程修改一下名字，迷惑用户系统中正常存在的进程：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe改名后的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe病毒进程隐藏－偷梁换柱跟常见的系统进程名字相同，但是可执行文件的位置不同；比如，正常的svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下；病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异；病毒进程隐藏－借尸还魂病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了；必须使用杀毒软件进行检测；常用系统进程－svchost.exe随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动；在WindowsXP中，则一般有4-5个svchost.exe服务进程；如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的；svchost.exe的可执行文件路径在“C:\WINDOWS\system32”目录下；常用系统进程－explorer.exeexplorer.exe进程的作用就是管理计算机中的资源，图形用户界面的控制程序，负责启动用户程序；explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:\Windows”目录；常用系统进程－spoolsv.exe系统服务“PrintSpooler”所对应的可执行程序，其作用是管理所有本地和网络打印队列及控制所有打印工作；iexplore.exe进程IE浏览器对应的进程，属于用户进程；iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中；没有打开IE浏览器的情况下，如果系统中仍然存在iexplore.exe进程，则可能：病毒假冒iexplore.exe进程名；IE被病毒感染，病毒偷偷在后台通过iexplore.exe干坏事；rundll32.exe进程rundll32.exe的作用是执行DLL文件中的内部函数；rundll32.exe的路径为”C:\Windows\system32”；比如如下的命令：rundll32.exeuser32.dll,LockWorkStation病毒进程的隐藏启动病毒进程需要自动启动，驻留在内存中，以实现对系统的破坏；木马病毒一定要和系统一起启动而启动；常用的病毒进程隐藏启动方式：1.注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce使用Autorun监控启动项2.利用系统文件Win.ini;system.ini;Autoexec.bat;Config.sys.当系统启动的时候，上述这些文件的一些内容是可以随着系统一起加载的，从而可以被木马利用；3.系统启动组“开始”------“程序”------“启动”4.利用文件关联进行启动例如：正常情况下txt文件的打开方式为Notepad.exe文件，如果一旦中了文件关联类的木马，这样打开一个txt文件，原本应该用Notepad打开该文件的，现在却变成了启动木马程序了；5.利用服务加载一些木马通过加载服务来达到随系统启动的目的后台服务监控映像胁持（IFEO）IFEO就是ImageFileExecutionOptionsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptionsIFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定。手工清除病毒的过程找到系统中的病毒进程；杀死病毒进程或进程树必要的时候可以在安全模式下处理；删除病毒进程的可执行文件；删除病毒的隐藏启动方式；处理其他的问题比如，删除自动运行病毒的文件在命令行下显示和删除隐藏文件显示所有文件dir/a删除隐藏文件del/f/a:hfilename修改文件、文件夹属性只读存档系统隐藏attrib[{+r|-r}][{+a|-a}][{+s|-s}][{+h|-h}]filename