WEB开发网
开发学院网络安全安全技术 从异常系统进程检查企业网络安全 阅读

从异常系统进程检查企业网络安全

 2008-09-01 13:18:58 来源:WEB开发网   
核心提示: 1、在任务管理器下,马上关闭这个进程,从异常系统进程检查企业网络安全(6),有时候,可能利用系统的进程管理器还不能关闭这个进程,只是一个是大写名字,一个是小写名字,需要在安全模式下,才能关闭

1、在任务管理器下,马上关闭这个进程。有时候,可能利用系统的进程管理器还不能关闭这个进程,需要在安全模式下,才能关闭。所以,我们的第一要务,就是想尽一切可以想的办法,把这个进程先结束掉,如此,我们才可以做其他的工作。

2、在杀毒软件网站上,找这个木马的专杀工具。这个病毒其关联的范围太广,若手工删除的话,太浪费时间,一不小心的话,那边还会剩下漏网之雨。即使熟悉这个木马的人,要把木马清除干净的话,若没有半天的时间估计也搞不定。而且,因为要修改注册表等信息,所以手工修改也会发生错误。我的建议是,从网上寻找一个转杀工具,用来查杀一下就可以了。

3、利用专杀工具杀掉病毒后,要提醒中木马电脑的用户,要及时修改密码。如用户邮箱、QQ等即时通信工具的密码;若在这台电脑上使用过网上银行的话,还要修改这个网上银行的密码。因为这些信息很可能在用户不知情的情况下,就已经被攻击者所获取。所以,不怕一万,就怕万一,要即使修改这些信息,防止被攻击者非法利用。

四、Winlogon进程异常

这个进程是微软操作系统的用户登陆程序,管理用户的登陆与退出。该进程正常运行路径已经为SYSTEM32路径下并且是以SYSTEM系统身份用户运行。

但是,不幸的是,这个进程已经被落雪木马看中。

进程异常现象:

当你打开系统进程查看器查看你的系统进程时,若你发现你的系统中有个大写的WINLOGON进程并且该进程不是以SYSTEM系统用户名身份运行,而是当前帐户身份运行的话,那你就中了这个所谓的落雪病毒。

这个病毒很顽固,而且,也很狡猾,

这个木马是由VB程序语言编写,通过北斗壳技术进行加壳处理。病毒文件名被模拟成正常的系统工具名称,但是,文件扩展名变成了COM,而正常的系统进程是以EXE结尾的。这是落雪木马利用了微软操作系统的一个特性。当有两个文件,如A.EXE与A.COM两个文件。这个两个文件都是可执行文件,而且,文件名相同,只是扩展名不同。此时,我们若在命令行中,输入A运行A程序时,系统会优先执行A.COM程序。这是为什么呢?原来微软操作系统执行COM文件的优先级别要比执行EXE的文件级别高。如此,当用户在命令行中输入A,此时,系统运行的不是系统征程的进程或者程序,而是木马病毒。该病毒在运行时,还会创建一个WINLOGON.EXE进程,所以,我们查看进程管理器的时候,会发现有两个WINLOGON进程。只是一个是大写名字,一个是小写名字。另外运行的用户与路径也有差异。

上一页  1 2 3 4 5 6 7 8  下一页

Tags:异常 进程

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接