慧聪网首页 > 安防行业 > 行业资讯 > 信息安全 > 信息安全资讯
  
从系统异常进程检查计算机网络安全状态
2008/9/1/09:45  来源:eNet硅谷动力

    一般来说,任何的网络攻击行为,无论是病毒还是木马,其发生的时候,肯定会在系统中留下一些痕迹。下面,我谈谈我们如何从系统进程中查看我们的网络及操作系统是否正在遭受病毒或者木马的侵袭,及对应的解决方法。或许能够给正在遭受网络安全困扰的用户,一些帮助。

  具体怎么看系统进程,我想这里就不用我多说了。很多工具都可以查看系统进程,最常用的方法就是利用操作系统自带的任务管理器进行查看。

  一、CSRSS进程异常

  根据官方的解释,CSRSS进程是Windows图形相关控制的客户端服务自系统。正常情况下,在操作系统的任务进程中,必须有这个进程,否则系统就的图形界面就无法使用了。但是,这个进程也很有可能被病毒所利用,成为病毒的保护伞。

  若CSRSS进程出现了以下的异常情况,那么说明你的电脑很可能中毒了。应该即使采取措施,否则会影响操作系统以网络的安全。

  1、当任务管理器中,出现多个CSRSS进程时。一般情况下,在操作系统中,只能出现一个CSRSS进程。虽然说CSRSS进程是必须的,但是,也不是多多益善。当任务管理器中的进程显示出有多个CSRSS进程的话,那么说明你的操作系统中招了。

  2、当CSRSS进程运行的用户名不是SYSTEM,及其运行的模块路径不是System32 文件夹下的话,那么你也要当心了。很可能你电脑已经成为了黑客眼中的肉鸡,成为影响企业网络安全的一颗定时炸弹,随时都会爆炸。

  3、当CSRSS病毒出现在微软早七的版本中,如98系统或者WINME操作系统的话,那么,也说明这个进程是有问题的进程。因为CSRSS进程,是微软操作系统2000以后的产物。在以前的操作系统中,没有这个进程。若不幸在以前的操作系统的版本中发现这个进程的话,那绝对是病毒无疑。

  解决方式:

  若CSRSS是木马引起的,那么CSRSS是一个小的脚本程序。现在很多木马都会用到这个进程,如QQ木马、传奇盗号木马、MSN木马、邮件帐号木马等等。中了这些木马的时候,一般操作系统本身不会有很大的反映,系统的速度也是正常的,所以比较隐蔽。但是,其危害是很大的。其会把企业的一些帐号,如VPN用户名与密码、即时通信工具与密码等等都泄露出去,给企业的网络安全带来很大的隐患。

  遇到这种这种情况的话,我们应该采取如下措施:

  1、通过注册表删除这个进程。因为木马把这个进程伪装成系统进程,所以,试图通过任务管理器结束这个进程的时候,系统会提示错误信息,告知这个进程为系统进程不能停止。所以,只能够通过注册表管理器,把这个进程删除。注意,不要把系统原来的那个进程给删除了。所以,还是建议在修改注册表之前,先记得备份一下。

  2、然后查看进程运行时的系统路径。把该进程在注册表中删除后,在任务管理器中的进程处就找不到这个进程了。此时,找到其原先运行的路径下面,我们就可以看到有一个CSRSS可执行文件。注意,只要不是SYSTEM32,其他的都可以删除。我们也可以通过系统自带的搜索功能,查询这个文件。把不是在SYSTEM32目录下的CSRSS文件都删除。

  3、为了安全起见,升级我们的杀毒软件或者网上寻找专杀工具,对我们的系统进行全面的查杀。把病毒杀掉后,要及时把补丁打上,以防止下次不小心又中招了。

  二、LSASS进程异常

  LSASS进程也是微软操作系统的系统进程,其主要用来管理IP安全策略以及启动ISAKMP/IKE和IP安全驱动程序。这个进程会产生会话秘钥以及授予用户交互式客户/服务器验证的服务凭据。

  一般情况下,若系统进程中出现了一个LSASS进程,并且其是以SYSTEM的用户运行且运行目录是在System32下面,那不用担心,是正常的。但是,有时候这个进程也会作怪,有些木马或者病毒也会假冒这个进程来欺骗用户。

  当发生以下异常情况时,那我们需要注意了,可能我们的操作系统以及网络已经受到病毒或者木马的威胁。

  1、在系统中出现了多个LSASS进程。一般以大写命名的LSASS进程是正常的,是系统进程;但是,若同时还存在一个小写命名的lsass进程的话,那就说明你的系统可能已经出问题了,被病毒或者木马看中了。

  2、若中了ISASS病毒的话,不仅会在系统进程中产生两个LSASS进程,而且,还会产生一个EXERT进程。这两个进程分工合作,共同来管理LSASS病毒。一般来说,LSASS进程控制LSASS病毒的执行,而EXERT病毒控制LSASS病毒的退出。所以,若这两个进程成对出现的话,那你的系统百分之百的已经中了LSASS病毒。

  LSASS病毒也是一个盗号木马,其主要运行在微软的操作系统上。以前的版本危害比较小,主要用来盗取游戏密码。但是,改良后的LSASS病毒,不仅会盗取游戏密码,而且,还会盗取邮箱、QQ密码等等,对于企业网络的安全影响比较大。不法之徒可以利用这个工具,获取企业邮箱等密码,窃取企业的机密,如客户发给企业的定单等等。LSASS病毒会记录键盘信息,最后把用户名与密码信息记录下来并发送到指定的邮箱,从而窃取用户的帐号与密码等等。所以,危害级别比较大。

[1] [2] [3] 下一页 

想让您的事业成功吗?
网上赚钱成功三步曲
1 不是会员
2 已是会员 免费宣传产品
3 推广公司 让生意火起来!
  
我要评论     【打印
 关于“系统安全企业网络”的资讯
·路由器配置技巧之如何防止网络黑客入侵  (8.27 17:55)
·奥运期间轻松优化企业网络管理经验分享  (8.26 10:13)
·企业邮箱变身企业信息安全的“守护神”  (8.25 15:55)
·保障企业信息安全 VLAN交换机选购分析  (8.25 15:51)
·企业网络安全管理多管齐下不能迷失方向  (8.22 9:24)
·利用数据存储技术实现数据安全合理备份  (8.13 17:55)
·起源于企业内部的五个网络安全安全威胁  (8.2 9:36)
·三大巧招补上企业网络安全管理系统漏洞  (7.25 9:55)
·面对企业网络安全的压力 CIO们自有诀窍  (7.23 17:25)
·安全策略:如何能深度保护企业敏感数据  (7.17 8:43)
慧聪网行业专属服务彰显个性化 奥运安保
[2007年安防“十大评选”] [迪视通-红外摄像机]
·山西污染源纳入自动监控系统
·温州“远程监控”隐私受争议
·非接触式IC卡门禁系统安全性
·交管局公布残奥交通便民措施
·四川消防队赴攀枝花全力抢险
·七月份买家采购金额达4100万
 ·AVCON 华平监控调度解决方案
·残奥会场馆险情可用声光报警
·上海中远两湾城门禁欲阻群租
·彩色沥青自行车道亮相南昌市
·河南警察十一将配催泪喷射器
·新疆开始清理网络上问题地图
返回慧聪安防网首页