计算机技术、通讯技术的迅猛发展,正在改变着整个世界。随着计算机网络尤其是Internet在全球的普及和深入,我们对网络有了越来越多的认识与接触,并通过网络实现资源共享、信息传递及分布式处理任务等方面的操作,诚然它给现代人的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺,但由于计算机网络自身具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受病毒、木马及恶意软件的攻击,所以如何保证网络安全是一个至关重要的问题。
目前,淄博师范高等专科学校的在职员工基本人手一台计算机,虽然为老师们的工作提供了诸多方便,但使用过程中常常会遇到诸如无法开机、系统反复重起或自动关机、运行速度变慢等问题。即使使用防火墙隔离及杀毒软件查杀,也不能彻底解决问题。一方面,由于滞后性,一款好的防火墙并不能察觉所有攻击性程序;而一个好的杀毒软件也并不能清除掉所有带毒程序!另一方面,造成计算机出现各种问题的罪魁祸首并不一定都是木马、病毒程序或流氓软件,有时所谓的正常程序可能由于运行不当造成系统紊乱从而引起系统异常甚至崩溃。遇到这些情况我们该做何处理呢?很简单――进程管理。对系统中各种进程的有效管理,是实现计算机正常运转的基本保证,而要实现进程管理,首先要认识进程并掌握系统常用进程与易被病毒、木马程序利用的进程,从而对计算机各种问题防患于未然。
一、 进程相关概念
1.进程
我们通常所说的程序实质上是一组相关指令的集合,依存于某种存储介质上,是静态的。为了提高资源利用率与系统吞吐量,引入了多道程序设计技术。在多道程序环境下,为使本不能并发的程序能够并发,又引入了“进程”概念。进程就是程序在计算机系统上的一次执行过程,是能够独立分配计算机资源、独立调度运行的一个基本单位。换句话说,当我们要运行某个程序时,实质上是打开了该程序对应的进程。根据进程作用的对象不同,可以把进程划分为系统进程与用户进程。凡是用于完成操作系统各种功能的进程就是系统进程,它们是处于运行状态下的操作系统本身;用户进程则是所有由用户创建或启动的进程。
2.windowsXP系统常用进程介绍
以下介绍的进程是最基本的系统进程,是系统运行的先决条件。有了这些进程,系统才能正常运行。
csrss.exe,Chent/Server Runtime Server Subsystem,是客户端服务子系统,用以控制Windows图形相关子系统。
Explorer.exe,Windows Program Manager或Win?doevs Explorer,资源管理器,用于控制Windows图形Shel,包括开始菜单、任务栏,桌面和文件管理。
Isass.exe,本地安全权限服务,用于控制Windows安全机制。
services.exe,用于管理Windows服务系统进程。
spoolsv.exe/spool32.exe,Printer Spooler Service,Windows打印任务控制程序,用于打印机就绪。
svchost.exe, Service Host Porcess,一个标准的动态连接库主机处理服务。
System,MicorsoftWindows系统进程。
SysIdlePorcess,标识系统空闲的进程。
winlogon.exe,Windows Logon Process,Windows NT用户登陆程序。
3.易被病毒木马利用的“香饽饽”进程
以假乱真、偷梁换柱及借尸还魂是病毒、木马程序得以生存、暴发的常用伎俩。但不管是采用哪种方式,都能够从进程中找到其踪迹。因此,认识一些经常被病毒、木马伪装的进程对于我们保证计算机正常运行是不无裨益的。
(1) iexplore.exe
常被病毒伪装的进程名有:iexplorer.exe、iex?ploer.exe、iexplorer.exe稍不注意便容易搞混,其实只要知道作用后辨认起来就容易的多,iexplorer.exe进程名的开头为“ie”,即IE浏览器的意思。iexplore.exe进程对应的可执行程序位于C:Program Files/Internet Explorer目录中,存在于其他目录则可视为病毒。
(2) explorer.exe
常被病毒伪装的进程名有:iexplorer.exe、expi?orer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。细心的读者会发现如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:/Windows”目录,除此之外则为病毒。
(3) svchost.exe
常被病毒伪装的进程名有: svchost.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务,因此系统中可能出现多个svchost.exe,其实只是系统的服务而已。在WindowsXP中,一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的。
(4) spoolsv.exe
常被病毒伪装的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此
服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。
二、 进程管理
因特网上各种应用软件、汉化包、插件及广告层出不穷,ie浏览器自身的漏洞,一些病毒程序、木马程序很可能隐藏其中,有的以“进程”形式出现在系统内部,有的诸如“宏病毒”之类在进程列表中就看不到,使计算机处于不安全的隐患当中。由于基本的系统进程是系统运行的必备条件,只有这些进程处于活动状态,系统才能正常运行;而用户启动的进程则不是必需的,故可以根据实际情况予以结束。所以应注意随时调用Windows任务管理器,查看正在运行的应用程序和进程情况,及时、准确地杀掉非法进程及其源程序文件。
1.通过进程发现、处理病毒
有时用杀毒软件杀毒之后,又出现相同的病毒。其原因大致有二个方面。首先,病毒防火墙是通过对程序进行反汇编,然后与自己的病毒库进行对比来查找病毒。但如果杀毒软件未能及时升级便不能识别新的病毒。其次,如果病毒程序是独立可执行的,杀毒软件会选择直接删除的处理方式,而病毒如果被当作进程执行了,杀毒软件就无能为力了,因为它没有权限停止系统进程。作为进程被执行的程序是不能删除的。通过进程发现和杀掉病毒,对于在WindowsXP/2003系统中,进程之后会有“用户名”的显示,一般情况下病毒是不可能获得SYSTEM′,权限的, 所以应注意“用户名”下是当前登录用户的进程。一旦发现是病毒或可疑进程,就立即结束该进程,利用360安全卫士的“系统全面诊断”功能,查找该进程所在的具体路径,通过路径可以判断该进程是否合法,如由路径“C:/ProgramFiles/Rising/Rav/Rav.exe”可知道该程序是瑞星杀毒的进程,是合法的。对于一些不确定的进程,可以利用“百度”与“谷歌”之类的全球搜查引擎搜索该进程,如果是病毒会有相关的网页介绍。若确定了该进程是病毒,首先应该结束该进程。对于Windows2000/XP/2003系统,应在进程上单击右键,在弹出菜单上选择“结束任务”。结束进程后找到该进程的路径,把病毒文件删除即可。
2.对木马程序的处理
在杀毒软件对木马程序无能为力情况下,可用360安全卫士所附带的最新反间谍软件或木马克星之类的专用软件对计算机内存或整个系统进行扫描。经常用360或手工对计算机的上网记录、临时文件等进行清理也是很有效的办法。
3.当进程无法结束时
有时当你确定了病毒或木马进程后要结束该进程,却发现无法成功,怎么办?这里笔者为大家提供几个好用的命令。
Ntsd:用法是,打开CMD窗口,输入:?ntsdc qp PID 把最后的PID(进程标识符)改为要终止的进程的PID。如果不清楚进程的PID,打开任务管理器―进程选项卡―查看―选项列―勾选PID,就可看到。
我们平时在检查进程的时候如果发现有可疑,就要做出相应的判断:首先要仔细检查进程的文件名;然后再检查它的路径。通过这两点,一般的病毒或木马进程就会被扯下身上的“遮羞布”,使我们掌握计算机运行的主动权,从而防患于未然。