从异常系统进程检查企业网络安全

核心提示： 当发生以下异常情况时，那我们需要注意了，从异常系统进程检查企业网络安全(3)，可能我们的操作系统以及网络已经受到病毒或者木马的威胁，1、在系统中出现了多个LSASS进程，当然，以SYSTEM运行的合法系统进程是结束不掉的，一般以大写命名的LSASS进程是正常的，是系统进程；但是

当发生以下异常情况时，那我们需要注意了，可能我们的操作系统以及网络已经受到病毒或者木马的威胁。

1、在系统中出现了多个LSASS进程。一般以大写命名的LSASS进程是正常的，是系统进程；但是，若同时还存在一个小写命名的lsass进程的话，那就说明你的系统可能已经出问题了，被病毒或者木马看中了。

2、若中了ISASS病毒的话，不仅会在系统进程中产生两个LSASS进程，而且，还会产生一个EXERT进程。这两个进程分工合作，共同来管理LSASS病毒。一般来说，LSASS进程控制LSASS病毒的执行，而EXERT病毒控制LSASS病毒的退出。所以，若这两个进程成对出现的话，那你的系统百分之百的已经中了LSASS病毒。

LSASS病毒也是一个盗号木马，其主要运行在微软的操作系统上。以前的版本危害比较小，主要用来盗取游戏密码。但是，改良后的LSASS病毒，不仅会盗取游戏密码，而且，还会盗取邮箱、QQ密码等等，对于企业网络的安全影响比较大。不法之徒可以利用这个工具，获取企业邮箱等密码，窃取企业的机密，如客户发给企业的定单等等。LSASS病毒会记录键盘信息，最后把用户名与密码信息记录下来并发送到指定的邮箱，从而窃取用户的帐号与密码等等。所以，危害级别比较大。

解决方案：

1、结束LSASS进程。因为该进程为系统进程（其实不是，只是伪装，但是操作系统本身不能识别），所以，无法在进程管理器中直接停止。我们只能够通过注册表，或者在DOS窗口中，利用NTSD命令强行停止。NTSD是从微软的2000以后的操作系统中自带的用户调试工具。被调试器附着的进程会随调试器的退出而一起退出。所以，可以同这个命令在命令行窗口下强行终止进程。但是，一般情况下，NTSD命令不能杀掉SYSTEM用户运行的进程。不过还好，LSASS病毒的LSASS进程是不是以SYSTEM用户运行的。从这里我们可以看出，在进程管理器中，其结束进程的话，有时候是按进程的名字来限制的；但是，利用NTSD命令的话，他考虑的是以什么身份进行运行的。故利用NTSD命令可以停止一些伪装系统进程运行的非法进程。利用这个命令，也可以禁止上面谈的CSRSS非法进程。当然，以SYSTEM运行的合法系统进程是结束不掉的。具体的命令为ntsd –c q –p 进程ID.通过进程管理器,可以查到非法进程的ID,就可以通过这个命令禁止掉了。