从异常系统进程查企业网安全情况

• 一般来说，任何的网络攻击行为，无论是病毒还是木马，其发生的时候，肯定会在系统中留下一些痕迹。下面，我谈谈我们如何从系统进程中查看我们的网络及操作系统是否正在遭受病毒或者木马的侵袭，及对应的解决技巧。或许能够给正在遭受网络安全困扰的用户，一些帮助。具体怎么看系统进程，我想这里就不用我多说了。很多工具都可以查看系统进程，最常用的技巧就是利用操作系统自带的任务管理器进行查看。
  
  　　一、CSRSS进程异常
  
  　　根据官方的解释，CSRSS进程是Windows图形相关控制的客户端服务自系统。正常情况下，在操作系统的任务进程中，必须有这个进程，否则系统就的图形界面就无法使用了。但是，这个进程也很有可能被病毒所利用，成为病毒的保护伞。
  
  　　若CSRSS进程出现了以下的异常情况，那么说明你的计算机很可能中毒了。应该即使采取措施，否则会影响操作系统以网络的安全。
  
  　　1、当任务管理器中，出现多个CSRSS进程时。一般情况下，在操作系统中，只能出现一个CSRSS进程。虽然说CSRSS进程是必须的，但是，也不是多多益善。当任务管理器中的进程显示出有多个CSRSS进程的话，那么说明你的操作系统中招了。
  
  　　2、当CSRSS进程运行的用户名不是SYSTEM，及其运行的模块路径不是System32 文件夹下的话，那么你也要当心了。很可能你计算机已经成为了黑客眼中的肉鸡，成为影响企业网络安全的一颗定时炸弹，随时都会爆炸。
  
  　　3、当CSRSS病毒出现在微软早七的版本中，如98系统或者WINME操作系统的话，那么，也说明这个进程是有问题的进程。因为CSRSS进程，是微软操作系统2000以后的产物。在以前的操作系统中，没有这个进程。若不幸在以前的操作系统的版本中发现这个进程的话，那绝对是病毒无疑。
  
  　　解决方式：
  
  　　若CSRSS是木马引起的，那么CSRSS是一个小的脚本程序。现在很多木马都会用到这个进程，如QQ木马、传奇盗号木马、MSN木马、邮件帐号木马等等。中了这些木马的时候，一般操作系统本身不会有很大的反映，系统的速度也是正常的，所以比较隐蔽。但是，其危害是很大的。其会把企业的一些帐号，如VPN用户名与密码、即时通信工具与密码等等都泄露出去，给企业的网络安全带来很大的隐患。
  
  　　遇到这种这种情况的话，我们应该采取如下措施：
  
  　　1、通过注册表删除这个进程。因为木马把这个进程伪装成系统进程，所以，试图通过任务管理器结束这个进程的时候，系统会提示错误信息，告知这个进程为系统进程不能停止。所以，只能够通过注册表管理器，把这个进程删除。注意，不要把系统原来的那个进程给删除了。所以，还是建议在修改注册表之前，先记得备份一下。
  
  　　2、然后查看进程运行时的系统路径。把该进程在注册表中删除后，在任务管理器中的进程处就找不到这个进程了。此时，找到其原先运行的路径下面，我们就可以看到有一个CSRSS可执行文件。注意，只要不是SYSTEM32，其他的都可以删除。我们也可以通过系统自带的搜索功能，查询这个文件。把不是在SYSTEM32目录下的CSRSS文件都删除。
  
  　　3、为了安全起见，升级我们的杀毒软件或者网上寻找专杀工具，对我们的系统进行全面的查杀。把病毒杀掉后，要及时把补丁打上，以防止下次不小心又中招了。
  
  　　二、LSASS进程异常
  
  　　LSASS进程也是微软操作系统的系统进程，其主要用来管理IP安全策略以及启动ISAKMP/IKE和IP安全驱动程序。这个进程会产生会话秘钥以及授予用户交互式客户/服务器验证的服务凭据。
  
  　　一般情况下，若系统进程中出现了一个LSASS进程，并且其是以SYSTEM的用户运行且运行目录是在System32下面，那不用担心，是正常的。但是，有时候这个进程也会作怪，有些木马或者病毒也会假冒这个进程来欺骗用户。
  
  　　当发生以下异常情况时，那我们需要注意了，可能我们的操作系统以及网络已经受到病毒或者木马的威胁。
  
  　　1、在系统中出现了多个LSASS进程。一般以大写命名的LSASS进程是正常的，是系统进程；但是，若同时还存在一个小写命名的lsass进程的话，那就说明你的系统可能已经出问题了，被病毒或者木马看中了。
  
• [1] [2] [3] [4] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 从异常系统进程查企业网安全情况 相关文章：
• ·路由器安全设置详解
• ·在Windows安全模式下处理病毒的几个技巧
• ·大型企业局域网安全解决方案(1)
• ·如何关闭安全警告
• ·IDC 网络与系统安全部分设计方案
• ·ASP漏洞及安全建议
• ·思科路由设备安全配置建议(手册）
• ·在正常模式下电脑启动时出现蓝屏，并显示0E或0D错误。在安全模式下可以启动，但运行任何程序都蓝屏
• ·安全-IPSEC配置
• ·超级巡警与360安全卫士的三项比较
• 从异常系统进程查企业网安全情况 相关软件
• ·360安全卫士 V4.1.5.1001 红心中国版
• ·360安全中心隐身僵尸木马专杀工具 V1.0
• ·KILL安全胄甲 V7.1
• ·Kaspersky(卡巴斯基) KIS 安全套装 V6.0.2.621 MP2 简体中文正式免激活版
• ·360安全卫士V4.0.3.1008 豪华版
• ·工程施工安全技术交底资料库 V05.15.08
• ·瑞星系统安全漏洞扫描器 2007 V19.0.0.12
• ·360安全卫士 4.2 beta
• ·“网络显微镜” 综合内网安全监控管理分析系统桌面版 V5.3
• ·McAfee 安全组合套装 2006简体中文版

上一篇:从异常系统进程查企业网安全情况

下一篇:asp获取文件md5值的方案

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐