WEB开发网
开发学院网络安全安全技术 从异常系统进程检查企业网络安全 阅读

从异常系统进程检查企业网络安全

 2008-09-01 13:18:58 来源:WEB开发网   
核心提示: 解决方式:若CSRSS是木马引起的,那么CSRSS是一个小的脚本程序,从异常系统进程检查企业网络安全(2),现在很多木马都会用到这个进程,如QQ木马、传奇盗号木马、MSN木马、邮件帐号木马等等,但是,有时候这个进程也会作怪,中了这些木马的时候,一般操作系统本身不会有很大的反映

解决方式:

若CSRSS是木马引起的,那么CSRSS是一个小的脚本程序。现在很多木马都会用到这个进程,如QQ木马、传奇盗号木马、MSN木马、邮件帐号木马等等。中了这些木马的时候,一般操作系统本身不会有很大的反映,系统的速度也是正常的,所以比较隐蔽。但是,其危害是很大的。其会把企业的一些帐号,如VPN用户名与密码、即时通信工具与密码等等都泄露出去,给企业的网络安全带来很大的隐患。

遇到这种这种情况的话,我们应该采取如下措施:

1、通过注册表删除这个进程。因为木马把这个进程伪装成系统进程,所以,试图通过任务管理器结束这个进程的时候,系统会提示错误信息,告知这个进程为系统进程不能停止。所以,只能够通过注册表管理器,把这个进程删除。注意,不要把系统原来的那个进程给删除了。所以,还是建议在修改注册表之前,先记得备份一下。

2、然后查看进程运行时的系统路径。把该进程在注册表中删除后,在任务管理器中的进程处就找不到这个进程了。此时,找到其原先运行的路径下面,我们就可以看到有一个CSRSS可执行文件。注意,只要不是SYSTEM32,其他的都可以删除。我们也可以通过系统自带的搜索功能,查询这个文件。把不是在SYSTEM32目录下的CSRSS文件都删除。

3、为了安全起见,升级我们的杀毒软件或者网上寻找专杀工具,对我们的系统进行全面的查杀。把病毒杀掉后,要及时把补丁打上,以防止下次不小心又中招了。

二、LSASS进程异常

LSASS进程也是微软操作系统的系统进程,其主要用来管理IP安全策略以及启动ISAKMP/IKE和IP安全驱动程序。这个进程会产生会话秘钥以及授予用户交互式客户/服务器验证的服务凭据。

一般情况下,若系统进程中出现了一个LSASS进程,并且其是以SYSTEM的用户运行且运行目录是在System32下面,那不用担心,是正常的。但是,有时候这个进程也会作怪,有些木马或者病毒也会假冒这个进程来欺骗用户。

上一页  1 2 3 4 5 6 7  下一页

Tags:异常 进程

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接