一般来说任何的网络攻击行为无论是病毒还是木马其发生的时候肯定会在系统中留下一些痕迹下面我谈谈我们如何从系统进程中查看我们的网络及操作系统是否正在遭受病毒或者木马的侵袭及对应的解决方法或许能够给正在遭受网络安全困扰的用户一些帮助
具体怎么看系统进程我想这里就不用我多说了很多工具都可以查看系统进程最常用的方法就是利用操作系统自带的任务管理器进行查看
一 CSRSS进程异常
根据官方的解释CSRSS进程是Windows图形相关控制的客户端服务自系统正常情况下在操作系统的任务进程中必须有这个进程否则系统就的图形界面就无法使用了但是这个进程也很有可能被病毒所利用成为病毒的保护伞
若CSRSS进程出现了以下的异常情况那么说明你的电脑很可能中毒了应该即使采取措施否则会影响操作系统以网络的安全
当任务管理器中出现多个CSRSS进程时一般情况下在操作系统中只能出现一个CSRSS进程虽然说CSRSS进程是必须的但是也不是多多益善当任务管理器中的进程显示出有多个CSRSS进程的话那么说明你的操作系统中招了
当CSRSS进程运行的用户名不是SYSTEM及其运行的模块路径不是System 文件夹下的话那么你也要当心了很可能你电脑已经成为了黑客眼中的肉鸡成为影响企业网络安全的一颗定时炸弹随时都会爆炸
当CSRSS病毒出现在微软早七的版本中如系统或者WINME操作系统的话那么也说明这个进程是有问题的进程因为CSRSS进程是微软操作系统以后的产物在以前的操作系统中没有这个进程若不幸在以前的操作系统的版本中发现这个进程的话那绝对是病毒无疑
解决方式
若CSRSS是木马引起的那么CSRSS是一个小的脚本程序现在很多木马都会用到这个进程如QQ木马传奇盗号木马MSN木马邮件帐号木马等等中了这些木马的时候一般操作系统本身不会有很大的反映系统的速度也是正常的所以比较隐蔽但是其危害是很大的其会把企业的一些帐号如VPN用户名与密码即时通信工具与密码等等都洩露出去给企业的网络安全带来很大的隐患
遇到这种这种情况的话我们应该采取如下措施
通过注册表删除这个进程因为木马把这个进程伪装成系统进程所以试图通过任务管理器结束这个进程的时候系统会提示错误信息告知这个进程为系统进程不能停止所以只能够通过注册表管理器把这个进程删除注意不要把系统原来的那个进程给删除了所以还是建议在修改注册表之前先记得备份一下
然后查看进程运行时的系统路径把该进程在注册表中删除后在任务管理器中的进程处就找不到这个进程了此时找到其原先运行的路径下面我们就可以看到有一个CSRSS可执行文件注意只要不是SYSTEM其他的都可以删除我们也可以通过系统自带的搜索功能查询这个文件把不是在SYSTEM目录下的CSRSS文件都删除
为了安全起见升级我们的杀毒软件或者网上寻找专杀工具对我们的系统进行全面的查杀把病毒杀掉后要及时把补丁打上以防止下次不小心又中招了
二 LSASS进程异常
LSASS进程也是微软操作系统的系统进程其主要用来管理IP安全策略以及启动ISAKMP/IKE和IP安全驱动程序这个进程会产生会话秘钥以及授予用户交互式客户/服务器验证的服务凭据
一般情况下若系统进程中出现了一个LSASS进程并且其是以SYSTEM的用户运行且运行目录是在System下面那不用担心是正常的但是有时候这个进程也会作怪有些木马或者病毒也会假冒这个进程来欺骗用户
当发生以下异常情况时那我们需要注意了可能我们的操作系统以及网络已经受到病毒或者木马的威胁
在系统中出现了多个LSASS进程一般以大写命名的LSASS进程是正常的是系统进程但是若同时还存在一个小写命名的lsass进程的话那就说明你的系统可能已经出问题了被病毒或者木马看中了
若中了ISASS病毒的话不仅会在系统进程中产生两个LSASS进程而且还会产生一个EXERT进程这两个进程分工合作共同来管理LSASS病毒一般来说LSASS进程控制LSASS病毒的执行而EXERT病毒控制LSASS病毒的退出所以若这两个进程成对出现的话那你的系统百分之百的已经中了LSASS病毒
LSASS病毒也是一个盗号木马其主要运行在微软的操作系统上以前的版本危害比较小主要用来盗取游戏密码但是改良后的LSASS病毒不仅会盗取游戏密码而且还会盗取邮箱QQ密码等等对于企业网络的安全影响比较大不法之徒可以利用这个工具获取企业邮箱等密码窃取企业的机密如客户发给企业的定单等等LSASS病毒会记录键盘信息最后把用户名与密码信息记录下来并发送到指定的邮箱从而窃取用户的帐号与密码等等所以危害级别比较大
解决方案
结束LSASS进程因为该进程为系统进程(其实不是只是伪装但是操作系统本身不能识别)所以无法在进程管理器中直接停止我们只能够通过注册表或者在DOS窗口中利用NTSD命令强行停止NTSD是从微软的以后的操作系统中自带的用户调试工具被调试器附着的进程会随调试器的退出而一起退出所以可以同这个命令在命令行窗口下强行终止进程但是一般情况下NTSD命令不能杀掉SYSTEM用户运行的进程不过还好LSASS病毒的LSASS进程是不是以SYSTEM用户运行的从这里我们可以看出在进程管理器中其结束进程的话有时候是按进程的名字来限制的但是利用NTSD命令的话他考虑的是以什么身份进行运行的故利用NTSD命令可以停止一些伪装系统进程运行的非法进程利用这个命令也可以禁止上面谈的CSRSS非法进程当然以SYSTEM运行的合法系统进程是结束不掉的具体的命令为ntsd –c q –p 进程ID通过进程管理器可以查到非法进程的ID就可以通过这个命令禁止掉了
删除病毒文件LSASS病毒会在其他盘下生成两个文件分别为Autoruninf与文件一般这两个文件的属性是隐藏的所以我们需要把文件的显示属性设置为显示隐藏文件与系统文件才会看到这个两个文件找到他们然后把他们删除同时在启动盘下可能会有一些病毒文件如EXERTEXE等我们也要把他们一一找出来删除掉不然的话下次还是会中招
修复注册表这个病毒在注册表中会生成比较多的垃圾所以若是手工清除的话一方面不一定能够全部清除干净另一方面也可能一不小心产生一些错误此时我们最好利用我们最近备份的注册表备份文件直接进行恢复
从网上下载专杀工具或者升级我们的杀毒软件进行全面的查杀
为了安全起见需要提醒我们的员工及时更改我们的帐户密码因为用户 的密码很可能已经洩露出去如果不及时把密码改过来的话不法分子可以利用他们已经得到的用户名与密码进行一些非法的勾当
以上这两种进程都是盗号木马的工具对于这些盗号木马进程一般情况下不会对系统运行造成什么影响所以相对来说比较隐蔽但是其危害性确实比其他病毒大的多有些病毒只是恶作剧的性质最多只是让操作系统崩溃或者造成网络拥塞而企业的文件帐户信息等不会洩露出去所以这些恶作剧的病毒危害性反而小一点
所以为了保障企业网络的安全最好的办法还是部署企业级别的杀毒系统如此的话可以实现在用户不用干预的情况下对杀毒软件进行及时的升级防止病毒与木马入侵
