从异常系统进程检查企业网络安全

2023-05-05 05:13:08
来源：其他
在手机上看

扫一扫立即进入手机端

　　一般来说，任何的网络攻击行为，无论是病毒还是木马，其发生的时候，肯定会在系统中留下一些痕迹。下面，我谈谈我们如何从系统进程中查看我们的网络及操作系统是否正在遭受病毒或者木马的侵袭，及对应的解决方法。或许能够给正在遭受网络安全困扰的用户，一些帮助。

　　具体怎么看系统进程，我想这里就不用我多说了。很多工具都可以查看系统进程，最常用的方法就是利用操作系统自带的任务管理器进行查看。

　　一、CSRSS进程异常

　　根据官方的解释，CSRSS进程是Windows图形相关控制的客户端服务自系统。正常情况下，在操作系统的任务进程中，必须有这个进程，否则系统就的图形界面就无法使用了。但是，这个进程也很有可能被病毒所利用，成为病毒的保护伞。

　　若CSRSS进程出现了以下的异常情况，那么说明你的电脑很可能中毒了。应该即使采取措施，否则会影响操作系统以网络的安全。

　　1、当任务管理器中，出现多个CSRSS进程时。一般情况下，在操作系统中，只能出现一个CSRSS进程。虽然说CSRSS进程是必须的，但是，也不是多多益善。当任务管理器中的进程显示出有多个CSRSS进程的话，那么说明你的操作系统中招了。

　　2、当CSRSS进程运行的用户名不是SYSTEM，及其运行的模块路径不是System32 文件夹下的话，那么你也要当心了。很可能你电脑已经成为了黑客眼中的肉鸡，成为影响企业网络安全的一颗定时炸弹，随时都会爆炸。

　　3、当CSRSS病毒出现在微软早七的版本中，如98系统或者WINME操作系统的话，那么，也说明这个进程是有问题的进程。因为CSRSS进程，是微软操作系统2000以后的产物。在以前的操作系统中，没有这个进程。若不幸在以前的操作系统的版本中发现这个进程的话，那绝对是病毒无疑。

　　解决方式：

　　若CSRSS是木马引起的，那么CSRSS是一个小的脚本程序。现在很多木马都会用到这个进程，如QQ木马、传奇盗号木马、MSN木马、邮件帐号木马等等。中了这些木马的时候，一般操作系统本身不会有很大的反映，系统的速度也是正常的，所以比较隐蔽。但是，其危害是很大的。其会把企业的一些帐号，如VPN用户名与密码、即时通信工具与密码等等都泄露出去，给企业的网络安全带来很大的隐患。

　　遇到这种这种情况的话，我们应该采取如下措施：

　　1、通过注册表删除这个进程。因为木马把这个进程伪装成系统进程，所以，试图通过任务管理器结束这个进程的时候，系统会提示错误信息，告知这个进程为系统进程不能停止。所以，只能够通过注册表管理器，把这个进程删除。注意，不要把系统原来的那个进程给删除了。所以，还是建议在修改注册表之前，先记得备份一下。

　　2、然后查看进程运行时的系统路径。把该进程在注册表中删除后，在任务管理器中的进程处就找不到这个进程了。此时，找到其原先运行的路径下面，我们就可以看到有一个CSRSS可执行文件。注意，只要不是SYSTEM32，其他的都可以删除。我们也可以通过系统自带的搜索功能，查询这个文件。把不是在SYSTEM32目录下的CSRSS文件都删除。

　　3、为了安全起见，升级我们的杀毒软件或者网上寻找专杀工具，对我们的系统进行全面的查杀。把病毒杀掉后，要及时把补丁打上，以防止下次不小心又中招了。

　　二、LSASS进程异常

　　LSASS进程也是微软操作系统的系统进程，其主要用来管理IP安全策略以及启动ISAKMP/IKE和IP安全驱动程序。这个进程会产生会话秘钥以及授予用户交互式客户/服务器验证的服务凭据。

　　一般情况下，若系统进程中出现了一个LSASS进程，并且其是以SYSTEM的用户运行且运行目录是在System32下面，那不用担心，是正常的。但是，有时候这个进程也会作怪，有些木马或者病毒也会假冒这个进程来欺骗用户。

　　当发生以下异常情况时，那我们需要注意了，可能我们的操作系统以及网络已经受到病毒或者木马的威胁。

　　1、在系统中出现了多个LSASS进程。一般以大写命名的LSASS进程是正常的，是系统进程；但是，若同时还存在一个小写命名的lsass进程的话，那就说明你的系统可能已经出问题了，被病毒或者木马看中了。

　　2、若中了ISASS病毒的话，不仅会在系统进程中产生两个LSASS进程，而且，还会产生一个EXERT进程。这两个进程分工合作，共同来管理LSASS病毒。一般来说，LSASS进程控制LSASS病毒的执行，而EXERT病毒控制LSASS病毒的退出。所以，若这两个进程成对出现的话，那你的系统百分之百的已经中了LSASS病毒。

　　LSASS病毒也是一个盗号木马，其主要运行在微软的操作系统上。以前的版本危害比较小，主要用来盗取游戏密码。但是，改良后的LSASS病毒，不仅会盗取游戏密码，而且，还会盗取邮箱、QQ密码等等，对于企业网络的安全影响比较大。不法之徒可以利用这个工具，获取企业邮箱等密码，窃取企业的机密，如客户发给企业的定单等等。LSASS病毒会记录键盘信息，最后把用户名与密码信息记录下来并发送到指定的邮箱，从而窃取用户的帐号与密码等等。所以，危害级别比较大。

　　解决方案：

　　1、结束LSASS进程。因为该进程为系统进程（其实不是，只是伪装，但是操作系统本身不能识别），所以，无法在进程管理器中直接停止。我们只能够通过注册表，或者在DOS窗口中，利用NTSD命令强行停止。NTSD是从微软的2000以后的操作系统中自带的用户调试工具。被调试器附着的进程会随调试器的退出而一起退出。所以，可以同这个命令在命令行窗口下强行终止进程。但是，一般情况下，NTSD命令不能杀掉SYSTEM用户运行的进程。不过还好，LSASS病毒的LSASS进程是不是以SYSTEM用户运行的。从这里我们可以看出，在进程管理器中，其结束进程的话，有时候是按进程的名字来限制的；但是，利用NTSD命令的话，他考虑的是以什么身份进行运行的。故利用NTSD命令可以停止一些伪装系统进程运行的非法进程。利用这个命令，也可以禁止上面谈的CSRSS非法进程。当然，以SYSTEM运行的合法系统进程是结束不掉的。具体的命令为ntsd –c q –p 进程ID.通过进程管理器,可以查到非法进程的ID,就可以通过这个命令禁止掉了。

　　2、删除病毒文件。LSASS病毒会在其他盘下生成两个文件，分别为Autorun.inf与command.com文件。一般这两个文件的属性是隐藏的。所以，我们需要把文件的显示属性设置为“显示隐藏文件与系统文件“才会看到这个两个文件。找到他们，然后把他们删除。同时，在启动盘下，可能会有一些病毒文件，如EXERT.EXE等，我们也要把他们一一找出来，删除掉。不然的话，下次还是会中招。

　　3、修复注册表。这个病毒在注册表中会生成比较多的垃圾，所以，若是手工清除的话，一方面，不一定能够全部清除干净，另一方面，也可能一不小心，产生一些错误。此时，我们最好利用我们最近备份的注册表备份文件，直接进行恢复。

　　4、从网上下载专杀工具或者升级我们的杀毒软件，进行全面的查杀。

　　5、为了安全起见，需要提醒我们的员工，及时更改我们的帐户密码。因为用户的密码很可能已经泄露出去。如果不及时把密码改过来的话，不法分子可以利用他们已经得到的用户名与密码，进行一些非法的勾当。

　　以上这两种进程都是盗号木马的工具。对于这些盗号木马进程，一般情况下，不会对系统运行造成什么影响。所以，相对来说，比较隐蔽。但是，其危害性，确实比其他病毒大的多。有些病毒只是恶作剧的性质，最多只是让操作系统崩溃或者造成网络拥塞。而企业的文件、帐户信息等不会泄露出去。所以，这些恶作剧的病毒危害性反而小一点。

　　所以，为了保障企业网络的安全，最好的办法还是部署企业级别的杀毒系统。如此的话，可以实现在用户不用干预的情况下，对杀毒软件进行及时的升级，防止病毒与木马入侵。一般来说，任何的网络攻击行为，无论是病毒还是木马，其发生的时候，肯定会在系统中留下一些痕迹。我接着谈谈我们如何从系统进程中查看我们的网络及操作系统是否正在遭受病毒或者木马的侵袭，及对应的解决方法。或许能够给正在遭受网络安全困扰的用户，一些帮助。

　　三、SMSS进程异常

　　SMSS进程是会话管理子系统的进程，他主要用来初始化系统变量。正常情况下，他是以系统用户名（system）身份运行，并且运行目录是在SYSTEM32下面。这个进程是通过系统进程初始化的并且对许多活动的系统变量作出反映。其实这个进程我们平时也经常会感受到。当某个程序发生异常时，SMSS进程就会让系统停止响应。有时候我们在网上冲浪系统突然提示网页发生错误将关闭，就跟这个进程有关系。这个进程的正常运行，对于系统稳定性来说，是非常重要的。

　　但是，这个系统进程也被不法之人利用了。若你在任务管理器中发现以下异常现象，那么就要恭喜你了，你中木马了。

　　异常现象：

　　1、不是以系统用户名（system）身份运行的，并且，运行目录不是SYSTEM32下面的，那么就说明这个进程有异常。我们要注意，若是系统的正常的SMSS进程，一定是以系统用户名运行的，并且，一定是在SYSTEM32目录下运行。否则的话，就不是系统本身的SMSS进程，很可能是木马伪造的进程。

　　2、在系统中有同时出现两个或者两个以上SMSS进程，那么你就要注意了，你电脑很可能中了木马。

　　现在最常见的SMSS进程异常是由WIN32.LADEX.A木马所造成的。这个木马病毒危害很大，他不仅允许攻击者访问你的电脑，而且，还会窃取你的机密文件与个人密码。这个危害性是很大的。根据官方的建议，若发现这个进程异常的话，要马上删除这个进程，并进行杀毒工作。

　　这个木马若手工删除的话，非常的麻烦。以前我单位有一电脑中了这个木马，我整整花了一天的时间，删除关联文件，修改注册表，才清除干净。一般我不建议手工删除这个木马，太麻烦，而且比较专业，要求对

游戏推荐

企业网络安全检查进从异常系统进程检查企业网络安全暗黑破坏神:不朽交易系统(暗黑破坏神不朽能自由交易吗) 《破晓传说》战斗系统详细分析(破晓传说战斗系统详解) 2077表皮义体在哪(2077表皮系统有哪些) 《中华三国志》兵种系统详解图(《中华三国志》兵种系统详解图片) 《暗黑地牢》技能系统解析大全(暗黑地牢职业技能搭配) 《古剑奇谭3》实用战斗技巧分享在哪(古剑奇谭3战斗系统) 2077操作系统大全(2077操作系统插件哪里买) jump大乱斗进化(jump大乱斗系统) 《漫威复仇者联盟》人物等级系统解析图(漫威复仇者联盟人物实力排名) 2077系统重置插件位置(赛博朋克2077系统重制) 《新樱花大战》游戏玩法系统介绍(新樱花大战好玩吗?) 2077巫毒帮和网络监察都杀(赛博朋克2077网络监察和巫毒帮) 《太空避难所》设计和建造系统介绍怎么写(太空避难所招人) f1加速系统(f12020加速器) 《和平精英》黄金岛怎么撤离队友(和平精英黄金岛如何安全撤离) 《魔渊之刃》天赋系统怎么样啊(《魔渊之刃》天赋系统怎么样啊知乎) 《轩辕剑7》游戏天书系统介绍(轩辕剑7天书之力有什么用) 《机甲战魔》导弹迎击系统介绍大全(机甲战魔武器图鉴) retrogame最新系统(retrogame最新系统2021) 《天神镇物语》神力系统解析图(《天神镇物语》神力系统解析图) 《天涯明月刀》手游身份系统玩法介绍图(天涯明月刀手游身份) 2077免疫义体在哪(2077义体免疫系统) 《无人深空》同伴系统介绍大全(无人深空同伴基因) lol手游账号注册加载异常(lol手游账号注册加载异常怎么解决) 《天神镇物语》神力系统解析大全(天神镇物语手游) apex英雄怎么看网络延迟(apex怎么看延迟) 《骑马与砍杀2》游戏武器系统详解(骑马与砍杀2武器类型) 《枪火重生》秘卷系统介绍大全(《枪火重生》秘卷系统介绍大全免费阅读) csgo安全锁区(csgo锁区排位) 《异化之地》这款游戏怎么样,好玩吗安全吗(《异化之地》这款游戏怎么样,好玩吗安全吗知乎) 2077最好用的操作系统(2077最好的操作系统在哪) 《杀戮尖塔》卡牌系统相关游戏(杀戮尖塔卡组构建教学) 《轩辕剑7》游戏天书系统解析攻略(轩辕剑7天书说的什么话) 《火炬之光3》新圣物系统介绍(火炬之光3圣物能量上限) 《中华三国志》野战系统详解图(《中华三国志》野战系统详解图片大全) 《北加尔》异常情况应对方法分享ppt(北加尔手机版) 暗黑不朽装备交易(暗黑破坏神:不朽交易系统) xbox360自制系统图文教程(xbox360自制系统教程17551) 《中华三国志》进贡系统和官爵系统详解一样吗(中华三国志进贡不封官) 《异常》游戏玩法介绍大全(游戏《异常》攻略) 《枪火重生》武器系统详细介绍大全(枪火重生武器推荐) f1加速性能(f1赛车加速系统) 《漫威复仇者联盟》匹配系统解析错误(steam漫威复仇者联盟无法连接服务器) 《梦想新大陆》充值会删除吗安全吗(梦想新大陆氪金吗?) 《如龙7》羁绊系统介绍(《如龙7》羁绊系统介绍) 《太吾绘卷》传承系统介绍怎么写(太吾绘卷传承点数怎么刷) 66游戏交易平台官网(66游戏网安全吗) win10系统性感海滩3无法进入游戏(win10性感沙滩3无法运行) 《贪婪之秋》队友系统介绍大全(贪婪之秋队友攻略) 《王国之心3》游戏系统详细介绍大全(王国之心3视频攻略解说) 《重生边缘》战术装备系统简介(重生边缘是端游吗) arm架构装什么系统(arm架构装什么系统好) 《漫威复仇者联盟》匹配系统解析错误(漫威复仇者联盟目前无法连接) ios软件wifi许可开不了(ios无线网络app允许) 《漫威复仇者联盟》挑战评级系统介绍图(漫威复仇者联盟pvp) 《旅者之憩》酒馆系统解析pdf(旅者之憩有手机版吗) 《如龙7》羁绊系统介绍(如龙7羁绊对话触发) 暗黑地牢战斗系统(暗黑地牢战斗系统怎么玩) csgo安全处所房顶怎么上(csgo安全处所收藏品怎么得) 八方旅人状态异常图(八方旅人感叹号) 《荣耀战魂》烈火行军dlc装备系统详解攻略(荣耀战魂火刀) 《漫威复仇者联盟》装备等级系统解析图(漫威复仇者联盟装备) 《剑侠情缘网络版3》(《剑侠情缘·网络版叁》) 《英雄联盟手游》绑定端游账号安全吗(英雄联盟手游绑定端游账号有什么好处) 《部落与弯刀》巫术系统玩法怎么玩的(《部落与弯刀》巫术系统玩法怎么玩的) 《贪婪之秋》武器系统介绍图(贪婪之秋最强套装) arm架构装什么系统(arm能装什么系统) 《东方华彩乱战2》人物养成系统介绍图(东方华彩乱战二如何点天赋) 《中华三国志》进贡系统和官爵系统详解一样吗(中华三国志官爵阶级) ns联机看速度还是上传(ns联机网络质量) 《破坏领主》异常血斧bd分享(破坏领主异常血刃) pc原神检查更新中(端版原神启动检查更新失败) ps4暗黑破坏神2连不上网(ps4暗黑破坏神2连不上网络怎么办) 《异常》游戏背景故事介绍(《异常》游戏背景故事介绍视频) 《勇者海王星》战斗系统介绍大全(《勇者海王星》战斗系统介绍大全) 《暗黑地牢》怪癖系统全方位解析图(《暗黑地牢》怪癖系统全方位解析图) 《王国之心3》游戏系统详细介绍大全(王国之心3gamespot) 《天神镇物语》神力系统解析图(《天神镇物语》神力系统解析图文) 《天涯明月刀》手游身份系统玩法介绍图(《天涯明月刀》手游身份系统玩法介绍图) 《和平精英》安全警告是什么软件(和平精英无缘无故出现安全警告) 《疯狂游戏大亨2》网络游戏和免费游戏的区别(疯狂游戏大亨2网络游戏) csgo安全处所收藏品有什么(csgo安全交易平台) fifa20怎么降低延迟(fifa21网络延迟设置) 《冷鲜肉》烹饪系统介绍怎么写(冷鲜肉的加工原理) 《异化之地》主要特色系统详解pdf(异化之地全结局图文) 《漫威复仇者联盟》人物挑战系统解析图(漫威复仇者联盟游戏角色) 《新樱花大战》游戏玩法系统介绍大全(新樱花大战选项有影响吗) cod战区怎么关闭体积雾(cod战区怎么关闭安全模式) 2077扫描公寓的安保系统relic(2077扫描公寓的安保系统在哪) uplay不能联网(uplay网络连接不可用) 《全境封锁2》战队系统详解图(全境封锁2队伍分级) xbox360自制系统教程升级(xbox360如何自制系统) 《天涯明月刀手游》染色系统怎么玩不了(《天涯明月刀手游》染色系统怎么玩不了) arm架构装什么系统(arm架构的windows10) 矮人要塞怎么设置紧急安全区域(矮人要塞怎么设置紧急安全区域) csgo安全处所房顶怎么上(csgo安全模式) nba2k21网络延迟(nba2k21网络很慢) 矮人要塞有感情系统吗怎么玩(矮人要塞是什么类型的游戏) 暗区突围安全绳(暗区突围安全绳在哪刷) 《漫威复仇者联盟》匹配系统介绍(漫威复仇者联盟游戏测评) 《暗黑破坏神:不朽》技能系统一览图(暗黑不朽技能) 《轩辕剑7》游戏天书系统介绍(轩辕剑7天书升级材料) 奥拉星手游伏羲什么系(奥拉星手游伏羲系统特性推荐) 2077边防(2077边防检查站在哪) 《鬼谷八荒》奇遇系统解析攻略(鬼谷八荒奇遇事件) 《荒野大镖客2》荣誉系统介绍大全(荒野大镖客2荣誉等级有什么用) 安全运输规定(安全运输规定有哪些) 阿达拉是什么意思(阿达拉是什么意思网络用语) apex运行反作弊失败(apex反作弊系统未运行win10) 《攻城英雄》装备系统机制介绍(《攻城英雄》装备系统机制介绍图) 《旅者之憩》经营系统解析pdf(旅者之憩怎么卖东西) 飞鹤企业微信下载应该如何处理TMP格式文件保证系统安全 GNULinux系统安 Linux中应用讲解GNULinux系统安装数据中心虚拟化安全确保数据中心虚拟化安全10个步骤修改注册表加快Windows7系统启动速度平安企业宝客户端下载平安企业宝 Windows系统的防黑经验总结 Windows进程 Windows进程详解贝贝消防安全知识大全app下载贝贝消防安全知识大全火绒安全软件火绒安全软件怎么拦截广告-火绒设置广告拦截的方法 Linux系统中防火墙的框架及简单分析不使用第三方软件轻松解决Windows7系统分区发现病毒感染后怎样清理系统用netstat命令化身Windows7安全高手安全保证Linux系统安全应用的六大因素掌赋系统官方版下载网络安全知识:独门秘籍阻止网络病毒的自动执行系统用Win2008Server防火墙确保系统安全新手看招：在Linux操作系统下创建锁文件 linux系统管理 linux系统管理使用磁盘配额企业办公app 无线网络安全如何保护无线网络安全连接找回Windows7操作系统的无线密码进程实战!手把手教你清除多进程关联型木马 windows服务器详细安全设置 Linux系统各个目录的作用(中英文对照) 如何配置一台Linux系统时间服务器 ECTRI健身系统下载四种方案全面保护你的视频安全网络七招破解WinXP访问网络慢的故障 Cisco路由器安全配置必用的10条命令 Windows系统 Windows系统如何防范非法入侵 Linux系统下USB摄像头驱动开发安全上网之“防毒八法” 保障隐私请不要把秘密留在网络上轻轻松松用Linux为企业搭建最为实用的防火墙教给你Windows安全模式的五项重要用途建设通app(建筑企业查询)下载