哪些 Windows 进程易被攻击
由于进程的重要性,进程也成为网络攻防者的主要攻击目标,下面从攻防的角度来介绍几个重要的Windows进程。一般来说这些都是攻击者经常利用的进程。
Smss.exe
Smss.exe(Session Manager Subsystem)是Windows会话管理器,属于Windows操作系统的一部分。该进程调用会话管理子系统并负责操作系统的会话,决定着系统能否正常地运行。正常的Smss.exe进程文件存放在WindowsSystem32下。如果系统中出现了多个Smss.exe进程,而且占用的CPU资源较大时,该Smss.exe可能是木马程序(如Win32.ladex.a木马),可通过手工方式清除。首先在“Windows资源管理器”中确定Smss.exe进程,然后通过“打开文件位置”找到所在的文件夹后将其删除,并消除它在注册表和WIN.ini文件中的相关项。
Csrss.exe
Csrss.exe所在的进程文件是csrss或csrss.exe,通常是Windows系统的正常进程。它管理Windows图形相关任务,是Windows的核心进程之一,对系统的正常运行起着关键作用。在正常情况下,Csrss.exe位于WindowsSystem32文件夹中,如果系统中出现了多个Csrss.exe文件(其中一个位于Windows文件夹下),则很有可能是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。非正常的Csrss.exe是一种蠕虫病毒,它会以Csrss.exe为文件名复制自己的副本文件到Windows目录下,并添加下面的注册表键值,以便每次Windows启动时蠕虫会自动运行:HKEL_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunSystemSARS32,with value"C:WINNTcsrss.EXE"。手工删除Csrss.exe蠕虫时,可先结束Windows根目录下的Csrss.exe进程,删除病毒生成的.com或.exe文件,并删除注册表中病毒的启动项。
Services.exe
Services.exe(Windows service controller)是Windows操作系统的一部分,用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。该程序对Windows系统的正常运行起着关键作用,结束该进程后系统会重新启动。正常的Services.exe应位于WindowsSystem32文件夹中,不过也可能是W32.Randex.R(储存在WindowsSystem32文件夹中)和Sober.P(储存在WindowsConnection WizardStatus文件夹下)木马。该木马允许攻击者访问用户的计算机,窃取密码和个人数据。需要说明的是,当使用计算机的时间较长时也可能导致Services.exe占用内存较大,主要原因是事件日志(Event Log)过多,而Services.exe启动时会加载事件日志,因而使得进程占用了大量内存。可在Windows的“事件查看器”中查看,并清除日志记录。
Svchost.exe
Svchost.exe是Windows系统中一类通用的进程名称,它是与运行动态链接库dlls的Windows系统服务相关的。在计算机启动时,Svchost.exe检查注册表中的服务并将其载入并运行。Svchost.exe程序对系统的正常运行是非常重要,而且不能被结束运行。在“Windows任务管理器”中经常会出现多个Svchost.exe同时运行的情况,正常情况下,每一个都表示该计算机上运行的一类基本服务。例如,在Windows XP操作系统中,一般有4个以上的Svchost.exe服务进程,而从Windows 7操作系统开始则更多。在正常情况下,不管系统中运行有多少个Svchost.exe进程,对应的程序都会位于WindowsSystem32文件夹中。如果在其他文件夹中发现了Svchost.exe文件,很可能是感染了病毒。