科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道如何从异常系统进程 检查企业网络安全(1)

如何从异常系统进程 检查企业网络安全(1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

一般来说,任何的网络攻击行为,无论是病毒还是木马,其发生的时候,肯定会在系统中留下一些痕迹。下面,我谈谈我们如何从系统进程中查看我们的网络及操作系统是否正在遭受病毒或者木马的侵袭,及对应的解决方法。或许能够给正在遭受网络安全困扰的用户,一些帮助。

来源:论坛整理 2009年1月2日

关键字: 安全防范 黑客入侵 攻击防范

  • 评论
  • 分享微博
  • 分享邮件
一般来说,任何的网络攻击行为,无论是病毒还是木马,其发生的时候,肯定会在系统中留下一些痕迹。下面,我谈谈我们如何从系统进程中查看我们的网络及操作系统是否正在遭受病毒或者木马的侵袭,及对应的解决方法。或许能够给正在遭受网络安全困扰的用户,一些帮助。

    具体怎么看系统进程,我想这里就不用我多说了。很多工具都可以查看系统进程,最常用的方法就是利用操作系统自带的任务管理器进行查看。

    一、CSRSS进程异常

    根据官方的解释,CSRSS进程是Windows图形相关控制的客户端服务自系统。正常情况下,在操作系统的任务进程中,必须有这个进程,否则系统就的图形界面就无法使用了。但是,这个进程也很有可能被病毒所利用,成为病毒的保护伞。

    若CSRSS进程出现了以下的异常情况,那么说明你的电脑很可能中毒了。应该即使采取措施,否则会影响操作系统以网络的安全。

    1、当任务管理器中,出现多个CSRSS进程时。一般情况下,在操作系统中,只能出现一个CSRSS进程。虽然说CSRSS进程是必须的,但是,也不是多多益善。当任务管理器中的进程显示出有多个CSRSS进程的话,那么说明你的操作系统中招了。

    2、当CSRSS进程运行的用户名不是SYSTEM,及其运行的模块路径不是System32 文件夹下的话,那么你也要当心了。很可能你电脑已经成为了黑客眼中的肉鸡,成为影响企业网络安全的一颗定时炸弹,随时都会爆炸。

    3、当CSRSS病毒出现在微软早七的版本中,如98系统或者WINME操作系统的话,那么,也说明这个进程是有问题的进程。因为CSRSS进程,是微软 操作系统2000以后的产物。在以前的操作系统中,没有这个进程。若不幸在以前的操作系统的版本中发现这个进程的话,那绝对是病毒无疑。

    解决方式:

    若CSRSS是木马引起的,那么CSRSS是一个小的脚本程序。现在很多木马都会用到这个进程,如QQ木马、传奇盗号木马、MSN木马、邮件帐号木马等 等。中了这些木马的时候,一般操作系统本身不会有很大的反映,系统的速度也是正常的,所以比较隐蔽。但是,其危害是很大的。其会把企业的一些帐号,如 VPN用户名与密码、即时通信工具与密码等等都泄露出去,给企业的网络安全带来很大的隐患。 

    遇到这种这种情况的话,我们应该采取如下措施:

    1、通过注册表删除这个进程。因为木马把这个进程伪装成系统进程,所以,试图通过任务管理器结束这个进程的时候,系统会提示错误信息,告知这个进程为系统 进程不能停止。所以,只能够通过注册表管理器,把这个进程删除。注意,不要把系统原来的那个进程给删除了。所以,还是建议在修改注册表之前,先记得备份一 下。

    2、然后查看进程运行时的系统路径。把该进程在注册表中删除后,在任务管理器中的进程处就找不到这个进程了。此时,找到其原先运行的路径下面,我们就可以 看到有一个CSRSS可执行文件。注意,只要不是SYSTEM32,其他的都可以删除。我们也可以通过系统自带的搜索功能,查询这个文件。把不是在 SYSTEM32目录下的CSRSS文件都删除。

    3、为了安全起见,升级我们的杀毒软件或者网上寻找专杀工具,对我们的系统进行全面的查杀。把病毒杀掉后,要及时把补丁打上,以防止下次不小心又中招了。

    二、LSASS进程异常

    LSASS进程也是微软操作系统的系统进程,其主要用来管理IP安全策略以及启动ISAKMP/IKE和IP安全驱动程序。这个进程会产生会话秘钥以及授予用户交互式客户/服务器验证的服务凭据。

    一般情况下,若系统进程中出现了一个LSASS进程,并且其是以SYSTEM的用户运行且运行目录是在System32下面,那不用担心,是正常的。但是,有时候这个进程也会作怪,有些木马或者病毒也会假冒这个进程来欺骗用户。

    当发生以下异常情况时,那我们需要注意了,可能我们的操作系统以及网络已经受到病毒或者木马的威胁。

    1、在系统中出现了多个LSASS进程。一般以大写命名的LSASS进程是正常的,是系统进程;但是,若同时还存在一个小写命名的lsass进程的话,那就说明你的系统可能已经出问题了,被病毒或者木马看中了。

    2、若中了ISASS病毒的话,不仅会在系统进程中产生两个LSASS进程,而且,还会产生一个EXERT进程。这两个进程分工合作,共同来管理 LSASS病毒。一般来说,LSASS进程控制LSASS病毒的执行,而EXERT病毒控制LSASS病毒的退出。所以,若这两个进程成对出现的话,那你 的系统百分之百的已经中了LSASS病毒。

    LSASS病毒也是一个盗号木马,其主要运行在微软的操作系统上。以前的版本危害比较小,主要用来盗取游戏密码。但是,改良后的LSASS病毒,不仅会盗 取游戏密码,而且,还会盗取邮箱、QQ密码等等,对于企业网络的安全影响比较大。不法之徒可以利用这个工具,获取企业邮箱等密码,窃取企业的机密,如客户 发给企业的定单等等。LSASS病毒会记录键盘信息,最后把用户名与密码信息记录下来并发送到指定的邮箱,从而窃取用户的帐号与密码等等。所以,危害级别 比较大。

    解决方案:

    1、结束LSASS进程。因为该进程为系统进程(其实不是,只是伪装,但是操作系统本身不能识别),所以,无法在进程管理器中直接停止。我们只能够通过注 册表,或者在DOS窗口中,利用NTSD命令强行停止。NTSD是从微软的2000以后的操作系统中自带的用户调试工具。被调试器附着的进程会随调试器的 退出而一起退出。所以,可以同这个命令在命令行窗口下强行终止进程。但是,一般情况下,NTSD命令不能杀掉SYSTEM用户运行的进程。不过还 好,LSASS病毒的LSASS进程是不是以SYSTEM用户运行的。从这里我们可以看出,在进程管理器中,其结束进程的话,有时候是按进程的名字来限制 的;但是,利用NTSD命令的话,他考虑的是以什么身份进行运行的。故利用NTSD命令可以停止一些伪装系统进程运行的非法进程。利用这个命令,也可以禁 止上面谈的CSRSS非法进程。当然,以SYSTEM运行的合法系统进程是结束不掉的。具体的命令为ntsd –c q –p 进程ID.通过进程管理器,可以查到非法进程的ID,就可以通过这个命令禁止掉了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章