日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

解析Windows XP操作系統(tǒng)進(jìn)程( 二 )

云知道


圖 3
我們?cè)诔绦蛑袌?zhí)行的各項(xiàng)操作,將會(huì)被自動(dòng)記錄下來,大家在“柳葉日志”中可以查看(圖4) 。
圖 4
揭露進(jìn)程偽裝術(shù)
木馬偽裝技術(shù)的發(fā)展可謂日新月異,由進(jìn)程隱藏到進(jìn)程插入,使得在查殺方面越來越難以應(yīng)付了 。一般具有進(jìn)程插入功能的木馬會(huì)把自身注入其它應(yīng)用程序的地址空間,而這個(gè)應(yīng)用程序?qū)τ谙到y(tǒng)來說,是一個(gè)絕對(duì)安全的程序 。
即使我們查找出了DLL插入進(jìn)程,如果它是嵌入在系統(tǒng)基本進(jìn)程中的,如“svchost.exe”等進(jìn)程,我們是無法結(jié)束其運(yùn)行的 。
下面,將以實(shí)例演示一下線程插入類后門是如何在機(jī)器上運(yùn)行的 。我們以目前比較流行的“Devil4.exe”(魔鬼4號(hào))程序?yàn)槔?。
運(yùn)行“EditDevil4.exe”配置程序后,在顯示界面中設(shè)置“配置文件”(即需要在目標(biāo)上激活的可執(zhí)行文件)、端口(可自定義,本例中為9000)、密碼及插入進(jìn)程(一般設(shè)置為系統(tǒng)基本進(jìn)程,本例中為Explorer.exe)(圖5) 。配置完畢后,執(zhí)行確認(rèn)操作,使其生效 。
圖 5
一旦目標(biāo)機(jī)器激活了配置好的程序,“Devil4.exe”將立即插入至指定進(jìn)程中 。我們可使用“fport v2.0”這款系統(tǒng)工具查看所有開放的TCP和UDP端口,并顯示相應(yīng)的應(yīng)用程序(支持WinNT4/2000/XP) 。運(yùn)行“命令提示符”后,進(jìn)入fport程序的存儲(chǔ)路徑,運(yùn)行它 。
大家注意查看其中的“Explorer.exe”進(jìn)程,看到其TCP協(xié)議開放端口為適才筆者所定制9000端口,此時(shí)表明病毒進(jìn)程插入成功(圖6) ?!癉evil4.exe”后門本身具有刪除程序,運(yùn)行“DelDevil4.exe”程序后,就可清除駐留系統(tǒng)中的后門 。
圖 6
小提示:如果大家要封殺可疑端口,可以使用Active Ports及DBPort之類的第三方端口工具 。這兩款軟件均是圖形化界面,操作方法非常類似 。不僅可自動(dòng)刷新進(jìn)程,還能夠立即關(guān)閉指定端口 。對(duì)于線程插入類木馬的查殺,并非一件輕而易舉的事,由于在配置插入進(jìn)程時(shí)使用者可隨意指定,因此,大家一定要安裝殺毒軟件并定期升級(jí)病毒庫 。
如果要手動(dòng)查殺,則需要用戶具有相當(dāng)?shù)闹R(shí)水平與一定的經(jīng)驗(yàn)積累 。在此給大家推薦一款比較優(yōu)秀的軟件——進(jìn)程間諜 。利用它,可以查看窗口和子窗口句柄、ID、標(biāo)題,以及父進(jìn)程ID線程個(gè)數(shù)路徑等,還可獲知指定父進(jìn)程的下屬模塊……我們要著重利用該程序的可查看DLL模塊的功能,試圖找出可疑的插入進(jìn)程 。
軟件名稱:進(jìn)程間諜
軟件版本:V1.0.2.1
軟件語言:簡(jiǎn)體中文
軟件類型:共享軟件
應(yīng)用平臺(tái):Win9X/Me/2000/XP/2003
下載地址
運(yùn)行《進(jìn)程間諜》程序后,查看“進(jìn)程樹”標(biāo)簽頁,點(diǎn)擊“刷新進(jìn)程”按鈕,而后選擇左側(cè)列表的進(jìn)程,當(dāng)選定一個(gè)進(jìn)程后,程序開始處理相關(guān)信息 。我們切換到當(dāng)前右側(cè)視圖中的“模塊”標(biāo)簽頁(圖7),在此顯示了很多該進(jìn)程中插入的DLL線程,包括“模塊名”(需要著重查看)、“基地地址”、“大小”及“進(jìn)入口” 。大家從中即可仔細(xì)排查可疑線程,例如廣外女生的DLL插入線程是“%system32gwboydll.dll” 。
圖 7
進(jìn)程級(jí)別有高低
我們?cè)谑褂肕yIE 2瀏覽網(wǎng)頁時(shí),又同時(shí)運(yùn)行了下載工具等 。這種情況下,我們就可以通過相應(yīng)的設(shè)置,使系統(tǒng)優(yōu)先處理MyIE 2,為它分配更多的CPU資源 。
按“Ctrl Alt Del”組合鍵,調(diào)出“Windows任務(wù)管理器”,查看“進(jìn)程”標(biāo)簽頁,選定其中希望優(yōu)先處理的程序后,在其右鍵彈出菜單中選擇“設(shè)置優(yōu)先級(jí)→‘高’或‘高于標(biāo)準(zhǔn)’”(圖8) 。而其它在后臺(tái)處理的程序,則可將進(jìn)程設(shè)置為“低”或“低于標(biāo)準(zhǔn)” 。
圖 8

推薦閱讀