XP各類處理程序的名稱、位置及對應之服務

出自KMU Wiki

(修訂版本間差異)
跳轉到: 導航, 搜索
在2007年12月31日 (一) 11:47所做的修訂版本 (編輯)
Jl (對話 | 貢獻)

←上一個
在2008年3月11日 (二) 10:04所做的修訂版本 (編輯) (撤銷)
Herman (對話 | 貢獻)
(1個修訂)
下一個→

在2008年3月11日 (二) 10:04所做的修訂版本


原則上,Windows系統中的處理程序,大致可分為以下3大類:

目錄

系統服務程序

常見的系統服務程序大致有以下幾種:

1. svchost.exe

其主要負責啟動微軟Windows系統中諸多共用服務,包括Logical Disk Manager(磁碟管理服務)、

RPC(Remote Procedure Call 系統核心服務)、Automatic Updates(windows自動更新)、DHCP Client等。

一般而言,系統服務多半是由載入動態連結程式庫(DLL)而啟動,而大部分的系統服務會透過共用方式,

藉由svchost.exe載入相對應的DLL檔來啟動服務。

正因為如此,在「Windows工作管理員/處理程序」視窗中,可以看到多個正在運行的 svchost.exe程序,

原則上,在Windows 2000系統中不會超過2個,在Windows XP環境則不會超過5個。

(大致有netsvcs、LocalService、NetworkService、HTTPFilter及imgsvc等5 類)

若超過的話,很有可能是惡意程式所偽裝之程序。

無論如何,正常且合法的svchost.exe檔,其路徑位置是在“C:\WINDOWS\System32”下。

筆者曾經見識過svchost.exe的行程,多達7支之多的電腦.

圖像:taskmg25.jpg


掃個毒吧! 果然中了一些毒.....

圖像:taskmg5.jpg


2. spoolsv.exe

本程序是系統服務中“Print Spooler”服務所對應的執行檔,其主要工作是將檔案載入記憶體中,

以待稍後列印,也就是專門負責管理緩衝區中,佇列之本地及網路列印作業,

使用者若任意加以停用,可能會造成原本的列印作業無法正常運作;該檔之路徑位置為“C:WINDOWSSystem32”。

圖像:taskmg51.jpg

3. csrss.exe

屬於Win32子系統程序,主要作用在於創建或刪除執行緒及16位元之DOS虛擬環境;

其存放的路徑位置一樣在“C:\WINDOWSSystem32”之下。


4. lsass.exe

IPSEC Service(網際網路通訊協定安全性的服務)、Net Logon(網域登入服務)、NT LM Security Support Provider(Telnet 服務用的東西 lsass.exe)、Protected Storage(受保護存放區服務)

與Security Accounts Manager等多種IP安全管理、帳號驗證與安全儲存等服務,

都是透過lsass.exe執行檔來啟動;其存放位置一樣在“System32”目錄下。

註:

IPSec 是一種傳輸層次安全性的型式。IPSec 是設計將資料在兩部電腦間傳送時進行加密, 來保護資料以免受到修改或解譯。

Netlogon Netlogon(網域登入服務)的行程名是lsass.exe,WinXP Home/Pro中預設安裝的啟動檔案類型分別是手動和自動,依賴Workstation服務。 這個服務是用來做網域審查的。當你的電腦處在一個域網內時,如果要使用網內的域伺服器登入到域網時,就要通過它來登入了。一般用戶用不著,禁用即可。

NT LM Security Support Provider NtLmSsp(NT LM安全性支持提供者服務)的行程名是lsass.exe,WinXP Home/PRO預設安裝的啟動檔案類型是手動,它不依賴於其他服務。 NT LM的意思即NT LanManger,是NT下提供的認證方法之一,使用了64位的加密手段。NtLmSsp這個服務主要針對RPC(遠端程序使用),通常RPC可以選項關於兩種通信方式,一種是傳輸傳輸協定,比如TCP/IP、UDP、IPX等,另一種為命名管道(Pipeline)。 通常情況下Windows預設選項都是傳輸傳輸協定,而由於RPC是採用非加密傳輸的,通信資料安全無法得到保證,而NtLmSsp就可向這一類RPC提供安全服務。 WinXP中已知的這類RP C套用就是Telnet服務(Telnet也依賴於NtLmSsp),因此無需Telnet服務的單機用戶可將NtLmSsp其關閉。

Protected Storage ProtectedStorage的行程名是lsass.exe,WinXP Home/PRO預設安裝的啟動檔案類型是自動,依賴於Remote Procedure Call。 這一服務提供對敏感性資料保護的功能,比如密碼、證書等,但通常它只針對Windows自身的敏感資料進行保護,可用來儲存你電腦上的密碼。通常上網的用戶都比較喜歡開這個服務,畢竟像自動填表這些功能給人帶來不少方便。 但如果你的電腦是多用 戶環境,或是使用筆記型電腦,經常移動辦公,那麼這個服務就要謹慎使用了。 有不少密碼破解軟體就是針對這個ProtectedStorage的,比較有名的有Protected Storage PassView,用它可以輕易得到被儲存在ProtectedStorage中你曾經上過的論壇的帳號密碼、撥號密碼等。因此,對於這個服務要視使用環境而定,在不安全的環境下還是關閉較好。


圖像:taskmg52.jpg


5. smss.exe

其為連線對話管理子系統,專門負責啟動用戶之連線對話;存放位置一樣在“System32”目錄下。


6. winlogon.exe

主要負責用戶登錄狀態之更換,例如系統歡迎畫面、登入、登出及工作站鎖定等狀態顯示的切換。

它會將使用者的認證操作要求,傳送給負責身分認證之DLL 檔,然後再接收DLL檔的指示,進行狀態切換;

其所在位置與前述幾個程序一樣,皆放在“System32”目錄下。

7. services.exe

專門啟動Event Log及Plug and Play這2個系統服務的執行檔;其存放位置一樣在“System32”目錄下。


一般程序

常見的一般程序大致有幾下幾種:

•explorer.exe-亦即資源管理器,它是使用者與系統核心之間的介面-shell,

使用者必須透過它,才能以桌面及工作列上的圖示,存取並管理電腦中的各項資源;

其存放位置在“C:\WINDOWS”目錄下。

•rundll32.exe-負責執行DLL內建函式的執行檔;其存放路徑為“C:\WINDOWSSystem32”。

•ctfmon.exe-啟動微軟入法之執行檔;存放目錄一樣在“System32”下。


應用軟體處理程序

事實上,應用軟體的執行檔,多屬於一般程序,但是仍有一些應用程式,

例如防毒軟體,會同時啟動屬於系統服務程序及一般程序的執行檔。以下即為常見的應用軟體程序:


•iexplore.exe-亦即IE瀏覽器的執行程序,請注意其拼法,雖然IE全名是Internet Explorer,

但其合法執行程序是少1個“r”,

若在「處理程序」視窗中發現多1個“r”的“iexplorer.exe”,那麼,肯定是惡意程式無疑。


此外,該程序並不會隨著系統開啟而啟動,所以,開機之後若沒有執行IE,

但是卻在「處理程序」視窗中發現該程序檔,也可能是惡意程式。

至於該程序的合法位置,則是在“C:\Program FilesInternet Explorer”下。


•其他-只要啟動Office Word、Excel、PowerPoint、Adobe Photoshop、Mozilla Firefox或Windows Media Player等任何應用軟體,

使用者皆可在「處理程序」視窗中看到相對應的執行檔。


判斷合法及惡意程序的基本準則

無論如何,透過上述各種常見執行程序之介紹,使用者可對合法處理程序的作用、名稱及存放位置有所了解,

接下來,管理人員即可透過以下幾點基本準則,來判斷系統內運行中的執行程序是否合法。

1.執行程序之正確拼法

惡意攻擊者多半會以檔案外觀幾可亂真的手法,達到魚目混珠的目的。

例如svchost.exe仿成svch0st.exe、explorer.exe仿成 explore.exe、rundll32.exe則改成rund1l32.exe等,

就是故意將“o”改成“0”、“l”改成“1”,抑或多了個 “r”。

2.執行程序的大小寫

一般而言,Windows系統服務執行檔的所有字母均為小寫,除了IE之外,微軟Office應用軟體所有字母皆是大寫,

而其他第3方應用軟體,則多半首字大寫。

如果使用者發現系統內原本的 “svchost.exe”竟寫成“Svchost.exe”,抑或“winlogon.exe”

寫成“WINLOGON.exe”,那麼絕對有問題。

3.執行程序之所在路徑位置

除了應用軟體使用者可自訂安裝目錄外,基本上,每個執行程序皆有固定的存放位置,

因此,一旦在不該出現的目錄下,發現某執行程序時,就有可能是惡意程序。

例如svchost.exe等系統程序,絕對會放在“C:\WINDOWSSystem32”目錄下,

如果使用者在“C:\”或“C:\WINDOWS”根目錄下發現該檔,那就是惡意程式。

此外,如果在系統程序目錄常見的資料夾“System32”下看到一般程序,也必定是惡意程式.

圖像:taskmg53.jpg

4.例行安檢時 應儘可能關閉所有應用程式

原則上,仍有一些處理程序不會隨著系統開機而啟動,例如IE瀏覽器即為顯例。

使用者可關閉所有應用程式,若仍發現iexplore.exe等一些冒名合法應用程式的執行檔,

即可合理懷疑其為惡意程式。


參考:

  1. http://tw.myblog.yahoo.com/skyline-gtr34/article?mid=1818&prev=1819&next=1815