windows系统安全基础知识――系统进程与病毒

如何强制结束一个运行中的进程

　　 Windows操作系统中只有 System、 SMSS.EXE和 CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是 Win32子系统， ntsd本身需要它。 ntsd从 2000开始就是系统自带的用户态调试工具。被调试器附着（ attach）的进程会随调试器一起退出，所以可以用来在命令行下终止进程。使用 ntsd自动就获得了 debug权限，从而能杀掉大部分的进程。 ntsd会新开一个调试窗口，本来在纯命令行下无法控制，但如果只是简单的命令，比如退出（ q），用 -c参数从命令行传递就行了。 Ntsd按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。有关详细信息，请参阅 NTSD 中所附的帮助文件。用法：开个 cmd.exe窗口，输入：

　　 ntsd -c q -p PID

　　把最后那个 PID，改成你要终止的进程的 ID.如果你不知道进程的 ID，任务管理器 ->进程选项卡 ->查看 ->选择列 ->勾上 "PID（进程标识符） "，然后就能看见了。

　　 XP下还有两个好用的工具 tasklist和 tskill.tasklist能列出所有的进程，和相应的信息。 tskill能查杀进程，语法很简单： tskill 程序名！

一些常见的进程

　　进程名　　　　　　描述

　　 smss.exe　　　　　 Session　 Manager

　　 csrss.exe 　　　　子系统 服务器进程

　　 winlogon.exe　　　管理用户登录

　　 services.exe　　　包含很多系统服务

　　 lsass.exe 　　　　管理 IP 安全策略以及启动 ISAKMP/Oakley （ IKE） 和 IP 安全驱动程序。

　　 svchost.exe　　　 Windows 2000/XP 的文件保护系统

　　 SPOOLSV.EXE 　　　将文件加载到内存中以便迟后打印。

　　 explorer.exe　　　资源管理器

　　 internat.exe　　　托盘区的拼音图标

　　 mstask.exe　　　　允许程序在指定时间运行。

　　 regsvc.exe　　　　允许远程注册表操作。（系统服务） →remoteregister

　　 tftpd.exe 　　　　实现 TFTP Internet 标准。该标准不要求用户名和密码。

　　 llssrv.exe　　　　证书记录服务

　　 ntfrs.exe 　　　　在多个 服务器间维护文件目录内容的文件同步。

　　 RsSub.exe 　　　　控制用来远程储存数据的媒体。

　　 locator.exe 　　　管理 RPC 名称服务数据库。

　　 clipsrv.exe 　　　支持 "剪贴簿查看器 "，以便可以从远程剪贴簿查阅剪贴页面。

　　 msdtc.exe 　　　　并列事务，是分布于两个以上的数据库，消息队列，文件系统或其他事务保护资源管理器。

　　 grovel.exe　　　　扫描零备份存储（ SIS）卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。

　　 snmp.exe　　　　　包含代理程序可以监视 网络设备的活动并且向网络控制台工作站汇报。

　　以上这些进程都是对计算机运行起至关重要的，千万不要随意 “杀掉 ”，否则可能直接影响系统的正常运行。

什么是Dll文件

　　 DLL是 Dynamic Link Library的缩写，意为动态链接库。在 Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即 DLL文件，放置于系统中。当我们执行某一个程序时，相应的 DLL文件就会被调用。一个应用程序可有多个 DLL文件，一个 DLL文件也可能被几个应用程序所共用，这样的 DLL文件被称为共享 DLL文件。 DLL文件一般被存放在 C： WindowsSystem目录下。

　　 1、如何了解某应用程序使用哪些 DLL文件

　　右键单击该应用程序并选择快捷菜单中的 “快速查看 ”命令，在随后出现的 “快速查看 ”窗口的 “引入表 ”一栏中你将看到其使用 DLL文件的情况。

　　 2、如何知道 DLL文件被几个程序使用

　　运行 Regedit，进入 HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-

　　 ersionSharedDlls子键查看，其右边窗口中就显示了所有 DLL文件及其相关数据，其中数据右边小括号内的数字就说明了被几个程序使用，（ 2）表示被两个程序使用，（ 0）则表示无程序使用，可以将其删除。

　　 3、如何解决 DLL文件丢失的情况

　　有时在卸载文件时会提醒你删除某个 DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时，就有可能误删共享的 DLL文件。一旦出现了丢失 DLL文件的情况，如果你能确定其名称，可以在 Sysbckup（系统备份文件夹）中找到该 DLL文件，将其复制到 System文件夹中。如果这样不行，在电脑启动时又总是出现 “***dll文件丢失 ……”的提示框，你可以在 “开始 /运行 ”中运行 Msconfig，进入系统配置实用程序对话框以后，单击选择 “System.ini”标签，找出提示丢失的 DLL文件，使其不被选中，这样开机时就不会出现错误提示了。

　　 rundll的功能是以命令列的方式呼叫 Windows的动态链结库。

　　 Rundll32.exe与 Rundll.exe的区别就在于前者是呼叫 32位的链结库，后者是用于 16位的链结库。 rundll32.exe是专门用来调用 dll文件的程序。

　　如果用的是 Win98， rundll32.exe一般存在于 Windows目录下；

　　如果用的 WinXP， rundll32.exe一般存在于 WindowsSystem32目录下。

　　若是在其它目录，就可能是一个木马程序，它会伪装成 rundll32.exe.

　 什么是木马

　　木马病毒源自古希腊特洛伊战争中著名的 “木马计 ”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。

　　传染方式：通过电子邮件附件发出，捆绑在其他的程序中。

　　病毒特性：会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

　　木马病毒的破坏性：木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

　　防范措施：用户提高警惕，不 下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。

什么是计算机病毒

　　计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

　　除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。

　　可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散，能 “传染 ” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时，它会自生复制并传播，使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念，计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络，危害正常工作的 “病原体 ”。它能够对计算机系统进行各种破坏，同时能够自我复制， 具有传染性。

　　所以， 计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里， 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。

　　 什么是蠕虫病毒

　　蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。

　　比如近几年危害很大的 “尼姆达 ”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

　　蠕虫病毒的一般防治方法是：使用具有实时监控功能的杀毒软件，并且注意不要轻易打开不熟悉的邮件附件。