疱丁解马－木马查杀深度剖析之进程篇（一）

於陵闲云

本文转自狙剑安全论坛 作者MuseHero

三、木马的查杀之进程篇
       １、进程的查看
       进程，我们上面说过了，狭义上讲就是正在执行中的程序。那如何来查看系统中都有哪些程序正在执行呢？（先看下图03-1：）

    系统自带了一个“任务管理器”可以使我们看到系统中当前的进程，在桌面下方的任务栏按右键，选择“任务管理器”或同时按下“Ctrl　Alt　Del”三个键、或同时按下“Ctrl Shift　ESC”三个键，都可以打开任务管理器程序，看到上面的窗口。
       看到上面的图时，会不会有点发昏？２０个进程，哪个是好的哪个是坏的呢？上面的信息又都是些什么意思呢？
       不要着急，让我来教教你怎么来看这些信息。

    首先，显示哪些信息，是可以自由选择的，看到最上面的菜单没？就是“文件、选项、查看、关机、帮助”。依次选择“查看”---à“选择列”并勾选里面的相应项就可以显示相应的信息。
    我们关心的是前五个，即：映像名称、PID、CPU、CPU时间、内存使用，下面依次进行介绍。
l
映像名称：即进程所对应的同名程序名字。其中有两个是例外，“System”代表的是系统，并没有对应的同名程序；“System　Idle　Process”代表的是空闲进程，同样没有对应的同名程序，它占据了CPU的空闲时间。
我们可以依据此栏，来找到进程对应的程序文件。
l
PID：英文件缩写，即进程的ID，是一个唯一的数字，唯一的代表一个进程。
我们可以依据此栏来区分进程，尤其是同名的进程，比如：SVCHOST.EXE进程。
l
CPU：即该进程当前消耗CPU的百分比，如果某个进程正在工作，那么CPU一列的数值就会是非零，工作量越大，其数值越高。例外的是“System　Idle　Process”进程，它的数值越高，说明当前的系统越是空闲，所有进程的CPU一栏的数值相加等于１００％CPU占用。
    我们可以依据此栏来查看，哪些进程正在工作，哪些进程是空闲的。上面我们说过，同一CPU在同一时间只能处理一个工作，所以如果某一进程长时间大量占用CPU，那么将会导致其它进程得不到或得到很少的CPU时间来处理，使系统反应速度严重迟缓。这种情况的出现，通常是程序出现了问题，我们就要考虑结束掉霸占CPU不放的进程，并尽量查明原因。
l
CPU时间：自运行以来，该进程占用的全部CPU时间，此数值越大，代表该进程工作时间越长，注意，不是运行时间而是工作时间，如果运行后，进程只是等待，并没有工作，那么此时间也会很小。例外的仍然是“System　Idle　Process”进程，它占据了CPU全部的空闲时间。
    我们可以据此来判断，哪些进程在一直的工作，而这一直工作的进程是不是应该工作的正常进程。比如我们一直在画图，那画图程序mspaint.exe的进程CPU时间很长，那就是很正常的；而如果我们在听音乐，从来没画过图，但这里却显示画图程序用了大量的CPU时间，那很可能就是某个黑客或木马或其它进程正在偷偷的使用画图程序呢。
l
内存使用：标明了该进程使用的内存数量，要知道，系统中的内存数量是有限的，当某一个进程大量占用内存时，就会导至系统或其它进程可用内存量减少，而至使系统运行速度减慢。
    在某些情况下，可以依此来找出系统变慢的原因，并尽量使用占用内存小的程序来提高系统的性能。虽然现在机器的配置都高了，内存也都大了，但在同等条件下，优先考虑使用占用资源少的程序也是有必要的。
    要在这些进程中区分哪些是系统进程，哪些不是，用任务管理器显然很难做到，最好的办法是借助专业工具。（看下图：03-2）

    上图是用反黑工具狙剑查看进程时的样子，狙剑程序的下载地址：http://www.zhulinfeng.com/Download/SnipeSword.rar 下载后解压缩，运行里面的SnipeSword.exe
    启动狙剑，并选择“进程管理” 就可以打开进程管理页面，与任务管理器相比，首先映像文件带了路径，使您可以直接定位到程序文件。
    其次，多了父ID一栏，这个标明了该进程是由谁启动的，比如：smss.exe的进程ID是540，父ID是４　那么，我们就可以知道，smss.exe是由进程ID为４的system进程启动的，而smss.exe又启动了csrss.exe 与　winlogon.exe ，接着由winlogon.exe启动了lsass.exe 与　services.exe 。注意，有的进程并没有看到父进程，比如：Explorer.exe　它的父ID是：1216　但进程中并没有进程ID为1216的进程，这是因为系统在初始化时还有一个程序会自动运行，那就是Userinit.exe这个程序负责用户初始化工作，并负责启动Explorer.exe，而工作完成后，它就退出运行了，所以进程中并没有它。最近有个木马是通过感染Userinit.exe来启动的，由于Userinit.exe启动后就退出了，所以通过查看进程很难发现问题，这问题我们将在“自启动项”一篇中详细讲解。
    以上就是系统启动的顺序，从System开始，依次启动了几个进程，正常情况下，上面这几个进程都是系统关键进程，结束它们的运行将导至系统出现问题。
    有很多朋友对开机以后系统都做了些什么比较感兴趣，而这对系统不能启动时的故障查明也有帮助，可以通过判断系统停在了哪个环节来断定是哪个部分出了问题，在这里，我就对系统的启动过程进行一下简单的说明：
系统的启动过程：
1、 当你按下开机键时，最早是由主板BIOS蕊片中的BIOS程序来执行硬件检测任务的，如果检查过程中发现关键硬件的故障，就会发出特定的响声通知用户，并停止启动。而BIOS程序是哪里来的呢？这是在主板出厂时固化在芯片中的一段程序。
2、 当硬件没有问题时，BIOS程序就会读入硬盘的主引导记录，将下面的任务交给主引导记录代码去完成。而主引导记录又是哪里来的呢？这是在安装操作系统时对磁盘进行分区格式化操作时，写到硬盘中的。如果找不到主引导记录，会出错停止，告诉你这是非法的系统启动盘。
3、  主引导记录代码的工作是读入磁盘主分区的根目录，在里面读出Ntldr文件，并装入内存，然后将控制权交给它。注意看一下，你的硬盘根目录下是不是有个Ntldr文件？这个文件的属性是隐藏、系统，所以查看时要选择查看所有，且不隐藏被保护的系统文件才可看到。这个文件是哪里来的？呵，当然是安装操作系统时拷贝到硬盘上的，下面提到的文件都是在安装操作系统时拷上去的。如果没能找到Ntldr文件，则会停止启动，显示Ntldr 没找到的错误信息。
4、   Ntldr又做了些什么呢？它会将系统由原来的16位实模式切换到32位保护模式或64位长模式。它的工作是读取根目录下的Boot.ini文件，显然引导菜单，在多操作系统的计算机中，可以看到这个菜单。接着它会清屏，并在Win2000下显示一个黑白的进度条，在XP下显示XP的标志图同时显示下面不断滚动的蓝色进度条，提示你它正在加载一些重要的文件。它在加载什么呢？它首先会加载Ntoskrnl.exe、Hal.dll，如果这两个文件找不到会出错停机，并显示找不到相应文件的信息。接着它读入注册表的SYSTEM键文件，从中找出自动启动的各类驱动程序，这是很关键的，因为有些内核级的木马就是在这时启动的。每加载一个屏幕上的进度条就滚动一下子。中间如果某个驱动出问题，也可能会导至系统蓝屏崩溃。
5、  接下来的工作由Ntoskrnl.exe（或Ntkrnlpa.exe）来进行，这是内核程序，它做的工作实在是太多了，这里就不再细说了。它的最后一步工作就是创建会话管理子系统，也就是我们上面说过的，由System进程创建的Smss.exe进程。
6、  Smss.exe进程负责创建用户模式环境，由用户模式环境向Windows提供可视的窗口界面。
它会运行BootExecute中定义的程序，正常情况下是Autochk，一个检查磁盘的程序。但有些杀毒软件会把自己的程序加到这里，来实现引导时杀毒，如果您的系统安装了江民类的杀毒软件，那么此时就会执行它的引导期杀毒程序，就是进入系统前出现的蓝底蓝字的病毒扫描窗口。
       Smss.exe还会执行SessionManager中的文件删除、移动操作，也就是调用API：MoveFileEx并选择重启后移除文件的，就是在这个环节执行了。当前有很多号称可以删除一切文件的安全工具都使用了MoveFileEx来实现文件的删除，但是现在我们可以知道了，它的文件删除是在这个阶段执行的，而这时驱动程序已经加载了，所以用它们来清除驱动级的木马显然是不胜任的。
    创建附加的页面文件。
加载Win32k.sys，这个东西又是做什么的呢？这是一个内核模式的系统驱动程序，它负责了窗口的显示、屏幕的输入、鼠标键盘和其它设备的输入及消息的传递等。所以也是由Win32k.sys将显示器的分辩率设置为默认值的，也就是这个时候，咱们的计算机屏幕才真正的细致起来，在此以前都是VGA模式，当然了视频驱动是上面装载驱动程序时就已经加载了的，现在只是起到作用而已。
    再然后呢，就是启动我们上面说过的那两个进程了。就是Csrss.exe与Winlogon.exe进程。
    启动完这两个进程后，Smss.exe就进入了无限的等待，它在等什么呢？它在等它创建的Csrss.exe与Winlogon.exe ，等着看这两个进程什么时候死掉，一旦他们中有死掉的，Smss.exe马上罢工，让系统彻底崩溃。（在XP以后Csrss的死亡是由内核使系统崩溃的，而不是Smss.exe），所以千万不要结束系统进程。
       Csrss.exe是做什么的呢？它负责的工作是创建或删除进程、线程，控制台与虚拟DOS机的支持等。它到此就开始工作了，不再参于后面的启动过程。但是Winlogon.exe还有很多工作要做呢，我们接下来看看后面的启动过程。
7、  Winlogon.exe是做什么的呢？看它的名字应该看出个大概了吧。是的，它是与登录相关的，但现在还不到显示登录窗口的时候，它还要先启动Services.exe及Lsass.exe进程，然后读取注册表GinaDLL中标明的DLL，由这个DLL来显示一个登录对话话，也就是我们在进入系统时输入用户名与口令的窗口。
    为什么要先启动Lsass.exe呢？因为，这是本地安全认证子系统，负责的就是本机系统的安全，用户名与口令的验证工作是由它来进行的。
    还有一个我们上面提到过的进程也是这个时候由Winlogon.exe来启动的，是哪一个呢？就是那个Userinit.exe，这是在用户登录进系统后，Winlogon.exe启动此进程来进行用户初始化。你也可以自己加一个程序与Userinit.exe放在一起，那么，在这个时候Winlogon.exe会将那一位置的所有程序都启动起来。
当然了，相信你也想到了，这个还有那个GinaDLL也就成了木马启动的一个可选位置。
8、 最后，由Winlogon.exe启动的Services.exe开始加载标明为自启动的各个服务，及标明为手动的却是有必要加载的服务（它所做的工作我们在后面细讲）。
9、 而Userinit.exe呢，它在完成用户初始化后，就启动了Explorer.exe，并功成身退。
10、最后，Explorer.exe就成了我们的服务员，等待在那里静候我们的指令，听从我们的吩咐，进行相关程序的启动与功能的处理。


疱丁解马-木马查杀深度剖析之进程篇(二)
http://bbs.kafan.cn/viewthread.php?tid=172647&extra=page%3D2





[ 本帖最后由 於陵闲云 于 2007-12-18 17:25 编辑 ]

xrw

谢谢，学习中

huxiqiuzhen

感谢分享,很是精彩!

伊の星

楼主原创的？？

huxiqiuzhen

从狙剑安全论坛转来的,
狙剑的作者写的,并且所写帖子一律不保守,广为流传,口碑很好.