專家心得:從系統(tǒng)進程看企業(yè)網(wǎng)絡(luò)安全

一般來說，任何的網(wǎng)絡(luò)攻擊行為，無論是病毒還是木馬，其發(fā)生的時候，肯定會在系統(tǒng)中留下一些痕跡。下面，我談?wù)勎覀內(nèi)绾螐南到y(tǒng)進程中查看我們的網(wǎng)絡(luò)及操作系統(tǒng)是否正在遭受病毒或者木馬的侵襲，及對應(yīng)的解決方法?；蛟S能夠給正在遭受網(wǎng)絡(luò)安全困擾的用戶，一些幫助。
    具體怎么看系統(tǒng)進程，我想這里就不用我多說了。很多工具都可以查看系統(tǒng)進程，最常用的方法就是利用操作系統(tǒng)自帶的任務(wù)管理器進行查看。
    一、 CSRSS進程異常
    根據(jù)官方的解釋，CSRSS進程是Windows圖形相關(guān)控制的客戶端服務(wù)自系統(tǒng)。正常情況下，在操作系統(tǒng)的任務(wù)進程中，必須有這個進程，否則系統(tǒng)就的圖形界面就無法使用了。但是，這個進程也很有可能被病毒所利用，成為病毒的保護傘。
    若CSRSS進程出現(xiàn)了以下的異常情況，那么說明你的電腦很可能中毒了。應(yīng)該即使采取措施，否則會影響操作系統(tǒng)以網(wǎng)絡(luò)的安全。
    1、當(dāng)任務(wù)管理器中，出現(xiàn)多個CSRSS進程時。一般情況下，在操作系統(tǒng)中，只能出現(xiàn)一個CSRSS進程。雖然說CSRSS進程是必須的，但是，也不是多多益善。當(dāng)任務(wù)管理器中的進程顯示出有多個CSRSS進程的話，那么說明你的操作系統(tǒng)中招了。
    2、當(dāng)CSRSS進程運行的用戶名不是SYSTEM，及其運行的模塊路徑不是System32 文件夾下的話，那么你也要當(dāng)心了。很可能你電腦已經(jīng)成為了黑客眼中的肉雞，成為影響企業(yè)網(wǎng)絡(luò)安全的一顆定時炸彈，隨時都會爆炸。
    3、當(dāng)CSRSS病毒出現(xiàn)在微軟早七的版本中，如98系統(tǒng)或者WINME操作系統(tǒng)的話，那么，也說明這個進程是有問題的進程。因為CSRSS進程，是微軟操作系統(tǒng)2000以后的產(chǎn)物。在以前的操作系統(tǒng)中，沒有這個進程。若不幸在以前的操作系統(tǒng)的版本中發(fā)現(xiàn)這個進程的話，那絕對是病毒無疑。
    解決方式
    若CSRSS是木馬引起的，那么CSRSS是一個小的腳本程序?，F(xiàn)在很多木馬都會用到這個進程，如QQ木馬、傳奇盜號木馬、MSN木馬、郵件帳號木馬等等。中了這些木馬的時候，一般操作系統(tǒng)本身不會有很大的反映，系統(tǒng)的速度也是正常的，所以比較隱蔽。但是，其危害是很大的。其會把企業(yè)的一些帳號，如VPN用戶名與密碼、即時通信工具與密碼等等都泄露出去，給企業(yè)的網(wǎng)絡(luò)安全帶來很大的隱患。
    遇到這種這種情況的話，我們應(yīng)該采取如下措施：
    1、通過注冊表刪除這個進程。因為木馬把這個進程偽裝成系統(tǒng)進程，所以，試圖通過任務(wù)管理器結(jié)束這個進程的時候，系統(tǒng)會提示錯誤信息，告知這個進程為系統(tǒng)進程不能停止。所以，只能夠通過注冊表管理器，把這個進程刪除。注意，不要把系統(tǒng)原來的那個進程給刪除了。所以，還是建議在修改注冊表之前，先記得備份一下。
    2、然后查看進程運行時的系統(tǒng)路徑。把該進程在注冊表中刪除后，在任務(wù)管理器中的進程處就找不到這個進程了。此時，找到其原先運行的路徑下面，我們就可以看到有一個CSRSS可執(zhí)行文件。注意，只要不是SYSTEM32，其他的都可以刪除。我們也可以通過系統(tǒng)自帶的搜索功能，查詢這個文件。把不是在SYSTEM32目錄下的CSRSS文件都刪除。
    3、為了安全起見，升級我們的殺毒軟件或者網(wǎng)上尋找專殺工具，對我們的系統(tǒng)進行全面的查殺。把病毒殺掉后，要及時把補丁打上，以防止下次不小心又中招了。