|
個(gè)名為“落雪”的病毒����,這個(gè)病毒非常厲害,能破壞木馬克星����,使其不能正常運(yùn)行��。它由VB 程序語(yǔ)言編寫�,通過(guò)北斗殼加殼處理��,該木馬文件圖標(biāo)一般是紅色的圖案����,偽裝成網(wǎng)絡(luò)游戲的登錄器。病毒運(yùn)行后�����,在C盤program file以及windows目錄下生成winlogon.exe����、regedit.com等14個(gè)病毒文件,病毒文件之多比較少見����。事實(shí)上這14個(gè)不同文件名的病毒文件系同一種文件,“落雪”之名亦可能由此而來(lái)���。該木馬另一狡詐之處就是創(chuàng)建一名為winlogon.exe的進(jìn)程����,并把其路徑指向c:\windows\winlogon.exe(正常的系統(tǒng)進(jìn)程路徑是C:\WINDOWS\system32\ winlogon.exe)�,以此達(dá)到迷惑用戶的目的。
不可或缺的Winlogon
悟空問(wèn)道:“教授����,今天我們學(xué)習(xí)哪個(gè)進(jìn)程啊�����?”譚教授:“悟空����,你每天啟動(dòng)操作系統(tǒng)的時(shí)候,有沒有想過(guò)系統(tǒng)的啟動(dòng)和哪些進(jìn)程有關(guān)呢��?”看著悟空抓耳撓腮的樣子�,譚教授明白他一定是沒有注意到,于是說(shuō):“今天我們就來(lái)講解一下這個(gè)和系統(tǒng)啟動(dòng)相關(guān)的進(jìn)程——Winlogon.exe���。”
小知識(shí):Winlogon.exe是Windows NT登錄管理器���。它用于處理用戶系統(tǒng)的登錄和登錄過(guò)程�,并且管理用戶的登錄和退出�����。Winlogon在用戶按下Ctrl+Alt+Del時(shí)就激活了�����,顯示安全對(duì)話框���。該進(jìn)程在用戶系統(tǒng)中的作用是非常重要的�。
看完前面的介紹��,經(jīng)常玩游戲的八戒說(shuō)道:“通過(guò)這幾期的學(xué)習(xí)后我發(fā)現(xiàn)���,這些高危的進(jìn)程常常被病毒��、木馬����、后門所利用���。木馬文件名都模擬成正常的系統(tǒng)工具名稱�,但是文件擴(kuò)展名變成了‘.com’,為什么會(huì)這樣呢�?”
譚教授解釋道:“是因?yàn)閃indows操作系統(tǒng)執(zhí)行.com文件的優(yōu)先級(jí)比.exe文件高的特性。比如木馬命名為Regedit.com����,當(dāng)用戶調(diào)用注冊(cè)表編輯器Regedit.exe的時(shí)候�,一般習(xí)慣輸入Regedit,而這時(shí)執(zhí)行的并不是微軟的Regedit.exe程序�����,而是木馬文件Regedit.com��,由此也可以看出木馬作者的‘用心良苦’�����。”
悟空馬上接茬:“怪不得注冊(cè)表被加密后�����,人們將Regedit.exe改為Regedit.com就可以解密了�����。”譚教授對(duì)悟空的表現(xiàn)感到非常的欣慰。
突然悟空又撓著頭說(shuō)道:“通過(guò)前面幾期的講解����,我已經(jīng)對(duì)這些病毒、木馬迷惑用戶的方法略知一二��。那么除了通過(guò)相似的名稱��,以及改變?cè)新窂絹?lái)進(jìn)行以假亂真以外�,我常常聽網(wǎng)友說(shuō)通過(guò)進(jìn)程名稱的大小寫也可以進(jìn)行分辨?”
“這個(gè)我也經(jīng)常聽說(shuō)�,但是我覺得這樣分辨不科學(xué),因?yàn)檫M(jìn)程名稱的大小寫是根據(jù)文件名稱的大小寫來(lái)決定的�。”譚教授解釋道。
Winlogon.exe也被黑客利用
“有沒有Winlogon.exe這個(gè)進(jìn)程直接被惡意程序利用的���?”悟空接著問(wèn)道����。
譚教授說(shuō):“當(dāng)然有啦���,由于winlogon.exe是系統(tǒng)的重要進(jìn)程�����,所以會(huì)被木馬程序所利用�。你還記得前幾期我們講的線程插入技術(shù)嗎?國(guó)產(chǎn)木馬程序中有一個(gè)名為PcShare的木馬程序����,它在線程插入的時(shí)候就是將自己的進(jìn)程插入到系統(tǒng)的winlogon.exe進(jìn)程中,從而成功的躲過(guò)了很多網(wǎng)絡(luò)防火墻的攔截”
沙僧也積極的提問(wèn):“那么如何分辨這個(gè)Winlogon.exe進(jìn)程是系統(tǒng)進(jìn)程�,還是被木馬程序利用的呢����?”
譚教授說(shuō):“這個(gè)很簡(jiǎn)單,Winlogon.exe雖然是系統(tǒng)重要的進(jìn)程之一�,但是它是一個(gè)本地進(jìn)程,所以不會(huì)自動(dòng)要求連接網(wǎng)絡(luò)����。如果哪天這個(gè)進(jìn)程要求連接網(wǎng)絡(luò)的話,那么這個(gè)Winlogon.exe很有可能就是被木馬程序劫持了�����,需要盡快進(jìn)行病毒的掃描工作����。另外通過(guò)工具Auto runs來(lái)查看通過(guò)Winlogon.exe啟動(dòng)的文件���。”
唐僧也問(wèn)道:“前面說(shuō)到Winlogon.exe這個(gè)進(jìn)程用于處理登錄和注銷任務(wù),對(duì)系統(tǒng)資源占用的情況又是怎樣��?”
譚教授:“事實(shí)上這個(gè)進(jìn)程的確是必需的����,你看在每個(gè)系統(tǒng)的進(jìn)程列表中都有它的身影,所以它的大小和用戶登錄的時(shí)間有關(guān)��。我曾經(jīng)看過(guò)這個(gè)進(jìn)程占用空間的波動(dòng)情況��,一個(gè)是登錄一個(gè)小時(shí)左右��,內(nèi)存占用在1.2MB到8.5MB之間波動(dòng)�。另一個(gè)是登錄了40多天的,內(nèi)存占用在1.7MB到17MB之間波動(dòng)��。當(dāng)用戶運(yùn)行一些老的應(yīng)用程序或是通過(guò)命令提示符窗口運(yùn)行DOS命令行程序�,你就會(huì)在進(jìn)程里面發(fā)現(xiàn)它。”
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)���!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
