專家心得:從系統(tǒng)進(jìn)程看企業(yè)網(wǎng)絡(luò)安全

字號(hào):

一般來說,任何的網(wǎng)絡(luò)攻擊行為,無論是病毒還是木馬,其發(fā)生的時(shí)候,肯定會(huì)在系統(tǒng)中留下一些痕跡。下面,我談?wù)勎覀內(nèi)绾螐南到y(tǒng)進(jìn)程中查看我們的網(wǎng)絡(luò)及操作系統(tǒng)是否正在遭受病毒或者木馬的侵襲,及對(duì)應(yīng)的解決方法?;蛟S能夠給正在遭受網(wǎng)絡(luò)安全困擾的用戶,一些幫助。
    具體怎么看系統(tǒng)進(jìn)程,我想這里就不用我多說了。很多工具都可以查看系統(tǒng)進(jìn)程,最常用的方法就是利用操作系統(tǒng)自帶的任務(wù)管理器進(jìn)行查看。
    一、 CSRSS進(jìn)程異常
    根據(jù)官方的解釋,CSRSS進(jìn)程是Windows圖形相關(guān)控制的客戶端服務(wù)自系統(tǒng)。正常情況下,在操作系統(tǒng)的任務(wù)進(jìn)程中,必須有這個(gè)進(jìn)程,否則系統(tǒng)就的圖形界面就無法使用了。但是,這個(gè)進(jìn)程也很有可能被病毒所利用,成為病毒的保護(hù)傘。
    若CSRSS進(jìn)程出現(xiàn)了以下的異常情況,那么說明你的電腦很可能中毒了。應(yīng)該即使采取措施,否則會(huì)影響操作系統(tǒng)以網(wǎng)絡(luò)的安全。
    1、當(dāng)任務(wù)管理器中,出現(xiàn)多個(gè)CSRSS進(jìn)程時(shí)。一般情況下,在操作系統(tǒng)中,只能出現(xiàn)一個(gè)CSRSS進(jìn)程。雖然說CSRSS進(jìn)程是必須的,但是,也不是多多益善。當(dāng)任務(wù)管理器中的進(jìn)程顯示出有多個(gè)CSRSS進(jìn)程的話,那么說明你的操作系統(tǒng)中招了。
    2、當(dāng)CSRSS進(jìn)程運(yùn)行的用戶名不是SYSTEM,及其運(yùn)行的模塊路徑不是System32 文件夾下的話,那么你也要當(dāng)心了。很可能你電腦已經(jīng)成為了黑客眼中的肉雞,成為影響企業(yè)網(wǎng)絡(luò)安全的一顆定時(shí)炸彈,隨時(shí)都會(huì)爆炸。
    3、當(dāng)CSRSS病毒出現(xiàn)在微軟早七的版本中,如98系統(tǒng)或者WINME操作系統(tǒng)的話,那么,也說明這個(gè)進(jìn)程是有問題的進(jìn)程。因?yàn)镃SRSS進(jìn)程,是微軟操作系統(tǒng)2000以后的產(chǎn)物。在以前的操作系統(tǒng)中,沒有這個(gè)進(jìn)程。若不幸在以前的操作系統(tǒng)的版本中發(fā)現(xiàn)這個(gè)進(jìn)程的話,那絕對(duì)是病毒無疑。
    解決方式
    若CSRSS是木馬引起的,那么CSRSS是一個(gè)小的腳本程序?,F(xiàn)在很多木馬都會(huì)用到這個(gè)進(jìn)程,如QQ木馬、傳奇盜號(hào)木馬、MSN木馬、郵件帳號(hào)木馬等等。中了這些木馬的時(shí)候,一般操作系統(tǒng)本身不會(huì)有很大的反映,系統(tǒng)的速度也是正常的,所以比較隱蔽。但是,其危害是很大的。其會(huì)把企業(yè)的一些帳號(hào),如VPN用戶名與密碼、即時(shí)通信工具與密碼等等都泄露出去,給企業(yè)的網(wǎng)絡(luò)安全帶來很大的隱患。
    遇到這種這種情況的話,我們應(yīng)該采取如下措施:
    1、通過注冊(cè)表刪除這個(gè)進(jìn)程。因?yàn)槟抉R把這個(gè)進(jìn)程偽裝成系統(tǒng)進(jìn)程,所以,試圖通過任務(wù)管理器結(jié)束這個(gè)進(jìn)程的時(shí)候,系統(tǒng)會(huì)提示錯(cuò)誤信息,告知這個(gè)進(jìn)程為系統(tǒng)進(jìn)程不能停止。所以,只能夠通過注冊(cè)表管理器,把這個(gè)進(jìn)程刪除。注意,不要把系統(tǒng)原來的那個(gè)進(jìn)程給刪除了。所以,還是建議在修改注冊(cè)表之前,先記得備份一下。
    2、然后查看進(jìn)程運(yùn)行時(shí)的系統(tǒng)路徑。把該進(jìn)程在注冊(cè)表中刪除后,在任務(wù)管理器中的進(jìn)程處就找不到這個(gè)進(jìn)程了。此時(shí),找到其原先運(yùn)行的路徑下面,我們就可以看到有一個(gè)CSRSS可執(zhí)行文件。注意,只要不是SYSTEM32,其他的都可以刪除。我們也可以通過系統(tǒng)自帶的搜索功能,查詢這個(gè)文件。把不是在SYSTEM32目錄下的CSRSS文件都刪除。
    3、為了安全起見,升級(jí)我們的殺毒軟件或者網(wǎng)上尋找專殺工具,對(duì)我們的系統(tǒng)進(jìn)行全面的查殺。把病毒殺掉后,要及時(shí)把補(bǔ)丁打上,以防止下次不小心又中招了。