WEB开发网
开发学院网络安全安全技术 从异常系统进程检查企业网络安全 阅读

从异常系统进程检查企业网络安全

 2008-09-01 13:18:58 来源:WEB开发网   
核心提示: 当发生以下异常情况时,那我们需要注意了,从异常系统进程检查企业网络安全(3),可能我们的操作系统以及网络已经受到病毒或者木马的威胁,1、在系统中出现了多个LSASS进程,当然,以SYSTEM运行的合法系统进程是结束不掉的,一般以大写命名的LSASS进程是正常的,是系统进程;但是

当发生以下异常情况时,那我们需要注意了,可能我们的操作系统以及网络已经受到病毒或者木马的威胁。

1、在系统中出现了多个LSASS进程。一般以大写命名的LSASS进程是正常的,是系统进程;但是,若同时还存在一个小写命名的lsass进程的话,那就说明你的系统可能已经出问题了,被病毒或者木马看中了。

2、若中了ISASS病毒的话,不仅会在系统进程中产生两个LSASS进程,而且,还会产生一个EXERT进程。这两个进程分工合作,共同来管理LSASS病毒。一般来说,LSASS进程控制LSASS病毒的执行,而EXERT病毒控制LSASS病毒的退出。所以,若这两个进程成对出现的话,那你的系统百分之百的已经中了LSASS病毒。

LSASS病毒也是一个盗号木马,其主要运行在微软的操作系统上。以前的版本危害比较小,主要用来盗取游戏密码。但是,改良后的LSASS病毒,不仅会盗取游戏密码,而且,还会盗取邮箱、QQ密码等等,对于企业网络的安全影响比较大。不法之徒可以利用这个工具,获取企业邮箱等密码,窃取企业的机密,如客户发给企业的定单等等。LSASS病毒会记录键盘信息,最后把用户名与密码信息记录下来并发送到指定的邮箱,从而窃取用户的帐号与密码等等。所以,危害级别比较大。

解决方案:

1、结束LSASS进程。因为该进程为系统进程(其实不是,只是伪装,但是操作系统本身不能识别),所以,无法在进程管理器中直接停止。我们只能够通过注册表,或者在DOS窗口中,利用NTSD命令强行停止。NTSD是从微软的2000以后的操作系统中自带的用户调试工具。被调试器附着的进程会随调试器的退出而一起退出。所以,可以同这个命令在命令行窗口下强行终止进程。但是,一般情况下,NTSD命令不能杀掉SYSTEM用户运行的进程。不过还好,LSASS病毒的LSASS进程是不是以SYSTEM用户运行的。从这里我们可以看出,在进程管理器中,其结束进程的话,有时候是按进程的名字来限制的;但是,利用NTSD命令的话,他考虑的是以什么身份进行运行的。故利用NTSD命令可以停止一些伪装系统进程运行的非法进程。利用这个命令,也可以禁止上面谈的CSRSS非法进程。当然,以SYSTEM运行的合法系统进程是结束不掉的。具体的命令为ntsd –c q –p 进程ID.通过进程管理器,可以查到非法进程的ID,就可以通过这个命令禁止掉了。

上一页  1 2 3 4 5 6 7 8  下一页

Tags:异常 进程

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接