如何处理病毒
<是病毒的两种情况
1.利用假冒名称的病毒程序
这种方式运行的病毒并没有直接利用真正的进程,而是启动了另外一个名称同样是的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中到它,结束进程后,在C盘搜索文件,也可以用第三方进程工具直接查看该进程的路径,正常的文件是位于%systemroot%\System32目录中的,而假冒的病毒或木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的就隐藏在Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可。
2:一些高级病毒则采用类似系统服务启动的方式,通过真正的进程加载病毒程序,而是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载:
添加一个新的服务组,在组里添加病毒服务名
在现有的服务组里直接添加病毒服务名
修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序
教师工作调动申请判断方法:病毒程序要通过真正的进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空,如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\ -k netsvcs”中可以看出这是一款典型的利用进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该
服务的运行,然后运行打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\Curr
entControlSet\Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“”,一并删除即可。
<是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。
  大家对windows操作系统一定不陌生,但你是否注意到系统中“”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。
发现
  在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。
  如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。
svchost中可以包含多个服务
杭州周边游深入
  windows系统进程分为独立进程和共享进程两种,“”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
  原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。
  从启动参数中可见服务是靠svchost来启动的。
实例
  以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remo
学前教育就业方向及前景
te procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
  在运行对话框中输入“”后回车,打开注册表编辑器,到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项,到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
解惑
  因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
  假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
  由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。
梦幻西游孩子知识教导大家都要知道,是系统必不可少的一个进程,很多服务都会多多少少用到它,
  但是我想大家也知道,由于它本身特殊性,高明的"黑客们"肯定是不会放过的,前段时间的木马风波,大家应该是记忆犹新吧,而且现在还是有很多机器里都藏有此木马,因为它伪装和系统进程一样,所以很多人分不清,那个是进程,那个是木马....
  好的,还是让我们详尽了解一下进程吧
  1.多个服务共享一个 进程利与弊
  windows 系统服务分为独立进程和共享进程两种,在windows NT时只有服务器管理器SCM()有多个共享服务,随着系统内置服务的增加,在windows 2000中m
s又把很多服务做成共享方式,由启动。windows 2000一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个。而在windows XP中,则一般有4个以上的服务进程,windows 2003 server中则更多,可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程度上减少了系统资源的消耗,不过也带来一定的不稳定因素,因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。另外就是有一点安全隐患,首先要介绍一下的实现机制。
  2. Svchost原理
  Svchost本身只是作为服务宿主,并不实现任何服务功能,需要Svchost启动的服务以动态链接库形式实现,在安装这些服务时,把服务的可执行程序指向svchost,启动这些服务时由svchost调用相应服务的动态链接库来启动服务。
  那么svchost如何知道某一服务是由哪个动态链接库负责呢?这不是由服务的可执行程序路径中的参数部分提供的,而是服务在注册表中的参数设置的,注册表中服务下边有一个Parameters子键其中的
ServiceDll表明该服务由哪个动态链接库负责。并且所有这些服务动态链接库都必须要导出一个ServiceMain()函数,用来处理服务任务。
  例如rpcss(Remote Procedure Call)在注册表中的位置是 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs,它的参数子键Parameters里有这样一项:
  "ServiceDll"=REG_EXPAND_SZ:"%SystemRoot%system32 pcss.dll"
热带雨林探险作文  当启动rpcss服务时,svchost就会调用rpcss.dll,并且执行其ServiceMain()函数执行具体服务。
  既然这些服务是使用共享进程方式由svchost启动的,为什么系统中会有多个svchost进程呢?ms把这些服务分为几组,同组服务共享一个svchost进程,不同组服务使用多个svchost进程,组的区别是由服务的可执行程序后边的参数决定的。
  例如rpcss在注册表中 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs 有这样一项:
  "ImagePath"=REG_EXPAND_SZ:"%SystemRoot%system32svchost -k rpcss"
  因此rpcss就属于rpcss组,这在服务管理控制台也可以看到。
  svchost的所有组和组内的所有服务都在注册表的如下位置: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost,例如windows 2000共有4组rpcss、netsvcs、wugroup、BITSgroup,其中最多的就是netsvcs=REG_MULTI_SZ:EventSystem.Ias.Iprip.Irmon.Netman.
  Nwsapagent.Rasauto.Rasman.Remoteaccess.SENS.Sharedaccess.Tapisrv.Ntmssvc.wzcsvc..
  在启动一个负责的服务时,服务管理器如果遇到可执行程序内容ImagePath已经
存在于服务管理器的映象库中,就不在启动第2个进程svchost,而是直接启动服务。这样就实现了多个服务共享一个svchost进程。
  3. Svchost代码
  现在我们基本清楚svchost的原理了,但是要自己写一个DLL形式的服务,由svchost来启动,仅有上边的信息还有些问题不是很清楚。比如我们在导出的ServiceMain()函数中接收的参数是ANSI还是Unicode?我们是否需要调用RegisterServiceCtrlHandler和StartServiceCtrlDispatcher来注册服务控制及调度函数?
  这些问题要通过查看svchost代码获得。下边的代码是windows 2000+ service pack 4 的svchost反汇
编片段,可以看出svchost程序还是很简单的。
  主函数首先调用ProcCommandLine()对命令行进行分析,获得要启动的服务组,然后调用SvcHostOptions()查询该服务组的选项和服务组的所有服务,并使用一个数据结构 svcTable 来保存这些服务及其服务的DLL,然后调用PrepareSvcTable() 函数创建 SERVICE_TABLE_ENTRY 结构,把所有处理函数SERVICE_MAIN_FUNCTION 指向自己的一个函数FuncServiceMain(),最后调用API StartServiceCtrlDispatcher() 注册这些服务的调度函数。
  ; =============================== Main Funcion =======================================
  .text:010010B8 public start
  .text:010010B8 start proc near
  .text:010010B8 push esi
  .text:010010B9 push edi
  .text:010010BA push offset sub_1001EBA ; lpTopLevelExceptionFilter
  .text:010010BF xor edi, edi
  .text:010010C1 call ds:SetUnhandledExceptionFilter
  .text:010010C7 push 1 ; uMode
  .text:010010C9 call ds:SetErrorMode
  .text:010010CF call ds:GetProcessHeap
  .text:010010D5 push eax
  .text:010010D6 call sub_1001142
  .text:010010DB mov eax, offset dword_1003018
  .text:010010E0 push offset unk_1003000 ; lpCriticalSection
  .text:010010E5 mov dword_100301C, eax
  .text:010010EA mov dword_1003018, eax
  .text:010010EF call ds:InitializeCriticalSection
  .text:010010F5 call ds:GetCommandLineW
  .text:010010FB push eax ; lpString
  .text:010010FC call ProcCommandLine
  .text:01001101 mov esi, eax
  .text:01001103 test esi, esi
  .text:01001105 jz short lab_doservice
  .text:01001107 push esi
  .text:01001108 call SvcHostOptions
  .text:0100110D call PrepareSvcTable
  .text:01001112 mov edi, eax ; SERVICE_TABLE_ENTRY returned
  .text:01001114 test edi, edi
  .text:01001116 jz short loc_1001128
  .text:01001118 mov eax, [esi+10h]
  .text:0100111B test eax, eax
如何做糟鱼  .text:0100111D jz short loc_1001128
  .text:0100111F push dword ptr [esi+14h] ; dwCapabilities
  .text:01001122 push eax ; int
  .text:01001123 call InitializeSecurity
  .text:01001128
  .text:01001128 loc_1001128: ; CODE XREF: start+5Ej

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。