80IEliCE&rECHNOLOGY INFORMATION T技术 Windows XP常见进程简介及病毒查杀 刘桥 (中国地质大学湖北武汉430074) 摘要:介绍了Windows XP中的一些常见进程,重点介绍了共事进程svchost.exe,并初步讨论了如何根据任务管理器查杀病毒。 关键词:进程 共享进程Svchost.exe进程 任务管理嚣 中圈分类号:TP311.53 文献标识码:A 现在操作系统功能越来越复杂,调用的进程日益增多。与 mdm.exe;英文全称是Machine Debug Manager,用 lMicrosoft Office中的Microsoft Script Editor 此同时,越来越多的病毒入侵我们的电脑,而杀毒软件有时也 于调试应用程序¥I不能完全解决问题,这就要求我们用户能对系统的一些常见进 程有一个初步的认识,以便能尽快发现电脑中出现的可疑进 程,避免病毒和黑客给我们造成大的损失。 1.进程 为了提高计算机资源的利用率,提出了多道程序谩计;为丁 描述程序的执行或执行轨迹,提出了进程的概念。程序是静态的 概念,而进程则是动态的。一般我们说进程是执行中的程序,是 可分派给中央处理机执行的实体。进程是操作系统中资源分配 的基本单元,拥有进程映像(Process Image)、内存、I/O 通道、I/O设备及文件等资源。 2.Windows XP常见进程介绍 启动Windows XP后,按下组合键“Ctrl+Alt+Del”(或 者在任务栏上点右键,在快捷菜单中单击“任务管理器”), 就弹出WindOws任务管理器。单击“进程”选项卡,再单 击“映像名称”,进程就按进程名的字母顺序排列出来。以 Windows XP spl为例,假设机器只安装Windows XP spl 操作系统(含系统自带默认安装的应用程序)及MicrosoA Office 等常用软件。那么,一般可以看到以下一些进程(如图1所示). csrss.exe:csrss意为客户/服务器运行子系统,其英文全 名为Client Server Runtime Process。它是用户模式Win32 子系统的一部分,必须一直运行。该进程管理Windows图形 相关任务和维持Windows的控制,创建或者删除线程,以及 一些l6位的虚拟MS-DOS环境 cffmon.exe:是Microsoft Office产品套装的一部分。在 桌面右下角显示的“语言栏”是ctfmon.exe运行的标志,它可 以选择用户文字输入程序。它不是纯粹的系统程序,但是如果 终止它,可能会导致不可知的问题。 explorer.exe:它不是Internet Explorer,且explorer. exe总是在后台运行。explorer.exe是Windows资源管理器, 它用于管理Windows图形壳,包括开始菜单、任务栏、桌面 和文件管理。根据系统的字体、桌面背景图片、活动桌面等 情况的不同,通常会消耗5.8MB到36MB内存不等。删除该 程序会导致Windows图形界面无法使用。 lsass.exe:用于本地安全和登陆策略,管理IP安全策略 以及启动IP安全驱动程序等。这是一个本地的安全授权服务, 并且它会为使用wiraogon(后面将介绍)服务的授权用户生成一个 进程。这个进程是通过使用授权的包,例如默认的msgina.dll 来执行的。如果授权成功,l Sa ss就会产生用户的进入令牌。 而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜 索请求功能对用户提交请求时缺少正确缓冲区边界检查,构建 超过1000个“AND”的请求,并发送给服务器,导致触发堆 栈溢出,使lsass.exe服务崩溃,导致系统在3O秒内重新启动。 中过“震荡波”病毒的用户一定对lsass.exe不会感到陌生。 42科技资讯SCIENCE&TEOHNOLOOY INFORMAl ION 脚本编辑器。如果你在系统见到fff开头的0字节的word文件, 它们就是mdm.exe在排错过程中产生一些暂存文件。 msmsgs.exe:是MSN Messenger网络聊天工具的主程 序。默认随Windows安装。它会在系统托盘显示图标,用于 快速访问。它的功能包括网络聊天、文件共享以及音频/视频 会议。 services.exe:全名为Windows Service Controller,是 微软Windows操作系统的…部分,用于管理Windows各项服务 的启动和停用,也会处理在计算机启动和关机时运行的服务。 smss、exe:全名为Session Manager Subsystem,是一 个会话管理子系统,负责启动用户会话。该进程是通过系统进 程初始化的,并且对许多活动(包括已经正在运行的线程和设 定的系统变量)作出反映。如果发生了什么不可预料的事情, SmsS.exe就会让系统停止响应(挂起) spoolsv.exe:全名为Printer Spooler Service,用于管 理缓冲池中的打印和传真业务,将Windows打印机任务发送给 本地打印机。 svchost.exe:全名为Generic Host Process for Win32 Services,是一个标准的动态链接库主机处理服务。Windows 2000一般有2个svchost进程,而在windows XP中,则一般 有4个以上的svchost.exe服务进程,windows 2003中则更多。 该进程将在后面详细介绍。 system idle:作为单线程运行在每个处理器上,用于统 计剩余的CPU资源情况。它的CPU占用率越大表示可供分配 的CPU资源越多,数字越小贝IJ表示CPU资源紧张。 taskmgr.exe:Windows TaskManager,即Windows任 务管理器。它显示你系统中正在运行的进程。该程序使用 “Ctrl+Ait+Del”打开,它不是纯粹的系统程序,但是如果 终止它,可能会导致不可知的问题。 winLogon.exe:Windows NT用户登陆程序。这个进程 是管理用户登录和退出的。如果你的电脑里面有多个账户,那 么该进程根据会根据用户的输入来核对用户名和密码,加载对 应用户的设置。 wuauclt.exe:全名为 W i n d 0 w S U P d a t e AutoUpdate Client,是 windOWS自动升级管理程 序。该进程会不断在线检测 更新,删除该进程将使你无 法得到最新更新信息。 在Windows 2000/XP 中,要启动Windows,以下 进程是必须加载的: smss.exe、csrss.exe、 winlogon.exe、services. 维普资讯 http://www.cqvip.com
T技术 SCIENCE&TECHNOLOGY lNFORMAT!Q蛆 皿iION exe,l sa ss.exe vices\Dhcp\”项,单击 s v c h O S t.e x e、 右边工作区的 s P O O l S V.e x e、 “ImagePath”,其键值为 explorer.exe、system ‘% 捌l/0\ 碰m32\sd1。EL idle process。 exe—k netsvcs”,如图 3所示,这就是在服务窗口 3.svchost.8Xe介 中看到的服务启动命令 绍 另外在D h C P的子项“P a r a m e t e r s”中有个名为 由于进程中存在 “ServiceDll”的键,其值为“%Syste rnRoot%\System32\ 多个svchost.exe文 dhcpcsvc.dll”,如图4所示。其中“dhcpcsvc.dll”就 件,考虑到其特殊 是DHcP Client服务要使用的动态链接库文件。这样svchost. 性,下面重点介绍一 exe进程通过读取DHCP Client服务的注册表信息,就能启动 下该进程。 该服务了。 Windows系统进程分为独立进程和共享进程两种。简单来 由此可知svchost.exe是一个系统的核心进程,而且运行时 说,如果一个进程对应一个服务,那就是独立进程;如果一 以多个出现。机器中出现多个该进程,并不一定就是病毒进 个进程对应多个服务,那就是共享进程。Windows XP里面 程。 存在多个独立进程和多个共享进程。在这里,我们要注意,并 不是说在任务管理器的进程列表里仅出现一次某个进程的名称, 4.病毒查杀 该进程就是独立进程。比如lsass.exe,它在任务管理器里面仅出 有了前面介绍的知识,我们就能辨认一些常见的进程,不 现一次,但它对应Protected Storage、IPSEC Services、Net 会与病毒进程相混淆。在windows XP环境下打开任务管理 Logon等多项服务。 器,我们可以看到每一个进程的信息,包括归属于哪个用户 svchost.exe文件存在于%SystemRoot%\System32目录下, 下,如操作系统所必须的基础程序,会在后面的[用户名] 属:于=共享进程。随着Windows系统服务不断增多,为了节省 内显示为Csystem],由用户另外开启的程序则显示为当前登录 系统资源,微软把很多服务都做成共享方式,交由svchost.exe 的用户名。 进程来启动。由于SV Ch 0 St.ex e对应的服务太多,因此 首先,病毒是不可能获得“SYSTEM”权限的,所以只 Microsoft把它设置成多个映像。在Windows XP spl里面, 需注意[用户名]是当前登录用户的进程。 一 svchost.exe被归类为4个映像,在任务管理器里面可以看到, 对于名字不熟悉的可疑进程, J_以复制其全名,然后到 对应的用户名分别为i个LOCAL SERVICE,1个NETWORK www.google.COI1]或www.baidu.COrn搜一下,如果是病毒一 SERVICE和2个SYSTEM。 般会有相关的网页介绍。 svchost.exe进程只作为服务宿主,并不能实现任何服务功 如果任务管理器里面都是我们所熟知的进程,那就应该考 能,即它只能提供条件让其他服务在这里被启动,而自己却不 虑是病毒使用了同合法进程一样的名字,特别是svchost.exe这 能直接给用户提供任何服务。这些svchost.exe进程提供很多系 个系统的核心进程,由于它为系统提供多项重要服务,所以病 统服务,如RPCSS服务(Remote Procedure Cal1)liE务、DHCP 毒、木马程序也就想尽办法来利用它,伪装成svchost.exe进 服务(DHCP Client)等。 程,企图利用它的特性来迷惑用户,达到感染、入侵和破坏 那么这些服务是如何实现的呢?原来这些系统服务是以动态 的目的。这类问题的解决方案是看该进程的源路径,如果不在 链接库(DLL)形式实现的,它们把可执行程序指向Svchost.exe 合法的地方,那就可能是病毒。 进程,由Svchost.exe进程调用相应服务的动态链接库来启动服 确定进程的源路径一般有三种方法: 务。那svchost.exe进程叉怎么知道某个系统服务该调用哪个动 (1)利用Windows的查找功能,手动查找该进程所在的具 态链接库呢?这是通过系统服务在注册表中设置的参数来实现 体位置,以此判断是否合法。该方法由于预先无法确定病毒源 的。 文件在硬盘的位置,导致工作量可能会较大。 下面以DHCP Client服务(该服务是上网必须使用的服务, (2)在“开始菜单”打开“附件系统工具一系统信息 通过注册和更改IP地址以及DNS名称来管理网络配置)为 软件环境正在运行任务”,系统就会显示出进程名及其对应 例,来看看svchost.exe进程是如何调用DLL文件的。假设我 的源路径的列表。 们的操作系统是Windows XP,首先点击“开始菜单”中的 (3)如果还嫌麻烦,也可以使用windOWS优化大师、 “运行”,弹出对话框,输入“Se rviCes.msc”命令,在弹 hijackthis(--款主要用于维护IE安全的软件,可显示各个进程 出服务对话框后,在右边的服务列表中选定“DHCP Client” 的源路径)等软件导出进程的源路径。例如怀疑某个svchost.exe 并查看其属性,可以看到DHCP Client服务的可执行文件的路 是病毒的映像,使用优化大师后得出该进程的源路径是“C: 径为“C:\WINDOWS\System32\svchost.exe—k \WINDOWS\System32\svchost.exe”,则表明是合法的。 netsvcs”,如图2所示。这说明DH CP Client服务是依靠 如果出现在其它非法位置(如C盘根目录),则很可能是病 svchost.exe进程调用“k netsvcs”参数来实现的,而参数 毒。 的内容则是存放在系统注册表中的。 如果确定了某个进程是病毒,首先应该关闭该进程,打开 我们在“运行”对话框 任务管理器,在该进程上单击右键,在弹出菜单上选择[结 中输入“regedit.exe”后回 束进程] 结束进程后,再找到该进程的源路径,删除源文件 车,打开注册表编辑器,找 即可。如果在Windows环境下无法删除,可以尝试在DOS环 到“HEKY—LOCAL—MA— 境下查找到源文件,用DEL命令删除即可。如果系统提示是 CHINE\ SY STEM\ 隐藏文件,那就用Attrib.exe命令把该文件的隐藏属性改为普 CurrentControlSet\Ser 通属性,再删除。 科技资讯SCIENCE&TECHNOLOOY INFORMATION 43 维普资讯 http://www.cqvip.com
ScIENCE&TECHNOLOGY INFORMA’rlON i T技术 当然,有些顽固的病毒无法直接手动删除,那就要用到其 南金融电脑,2004,(3). 它一些专门的工具软件,这里不再赘述。 2、EFAsHIONBOY+ 不得不说的Svchost.exe文件【N】. 电脑报,2Oo4. 5.结语 3、辛志东,李祥和。张清风.木马进程“隐身术 揭秘【J】. 由于病毒种类繁多且不断翻新。加之部分病毒及其隐蔽, 计算机安全,2004,(3). 任何一款杀毒软件也不敢保证能够查杀所有病毒。通过对系统一 4、胡小龙,江海花.Windows操作系统进程通信机 ̄li[J1. 些常见进程的了解,再配合使用Windows任务管理器,对于查杀 计算机应用研究,2002,(12). 那些“漏网之鱼”,有一定的实用价值。 参考文献 1、刘群力,魏为国.WINDOWS 2000进程浅析【J1.华 嵌入式系统USB主机端协议栈的实现 孔英刘伟 (山东科技大学信息与电气工程学院 山东青岛 26651 0) 摘要:USB已经成为一种计算机通用的外围串行接口,但是目前嵌入式系统还不支持这种接口。本文就此提出了在嵌入式系统中 集成USB主机功能模块的方案,介绍了使用SL811HS作为接口芯片的USB主机的设计方法。本文详细介绍了可复用的USB主 机端协议栈的设计与实现方法,开发该协议栈使用的是标准C语言,使得该协议栈具有非常好的移植性。最后用实例验证了方案的 可行性。 关键词:USB主机系统USB协议栈SL81 IHS 中田分类号:TP3Il 文献标识码:A 1. 害 如图1所示,本设计选用AT89C52作为中央控制芯片,由 通用审行总线USB(Universal Serial Bus)是为解决 于U SB主机协议比较复杂,执行的功能比较多,占用相当一 传统总线不足而推广的一种新型的通信标准。该总线接口具有 部分程序存储空间和RAM,因此外扩了ROM和RAM。 安装方便、高带宽、易于扩展、支持即插即用等优点,已逐 SL81 lHS作为USB主控芯片,它是一款支持USB1.1协议 渐成为现代数据传输的发展趋势。它已成为当前计算机必备的 的嵌入式的HOST/SLAVE芯片,能和低速设备通信也可以和 接口之一,同时也被广泛地应用于嵌入式系统设计中。 全速设备进行通信,可以通过硬件或软件控制将它设置为主模 在USB传输协议中,将使用USB进行数据传输的双方划 式或从模式。它提供USB主机的硬件接口及总线管理的物理机 分为两种角色:主机和设备,并且采用主从工作方式,而目 制,带有在片的SIE和USB发送器以及在片的根集线器Hub, 前大部分USB主机功能是集中在各种类型的PC机上,就导致 因此,满足了嵌入式USB主机系统所需要的功能。即由主机 作为USB设备的一些数字设备无法应用于嵌入式系统中,所以 接口芯片来完成总线是底层物理数据包的发送、接收,并能检 在嵌入式系统中集成USB主机功能模块成为急需解决的问题。 测总线状态,发出中断请求。 本文就这个问题提出了一个可行性方案,并详细讨论了USB主 机的软硬件设计过程。 4.主机端软件设计 在该主机软件的设计中,是将主控芯片作为数据传输的中 2.方案构架 转站,比如,在发送数据时,系统软件总是先把数据发送到 USB协议对主机和设备都制定了严格的约定,USB系统的 SL8llHS的内部RAM中,然后读取、设置SL8llHS的控制 通信是由USB主机来控制的,主机和设备是主从的关系,设 寄存器,计算本时间片剩下的总线时间,设置这次数据包的 备听从主机的命令行事。所以在嵌入式系统中要想使用USB设 I D,设置本次数据的触发位以期与设备同步等等,然后启动 备就要使系统具有USB主机功能。USB主机不单纯指的是硬 SL8 ll HS的数据发送单元传输数据。 件,而是嵌入式或P C系统的软件和硬件的集合。 如图2所示。主机端软件采用模块化设计。包括协议栈层 USB主机的设计包括硬件和软件设计两个部分。选择合适 和硬件接口层。为了使设计的嵌入式USB主机具有通用性,整 的硬件平台可以简化软件工作量,这里选择SL8llHS芯片,它 个系统的软件设计不需要依赖任何操作系统,通过中断来调度 是针对嵌入式系统而设计的USB接口器件,它同时支持USB 各个函数的运行,这种协议栈的平台无关性的设计使它有了可 主机和USB设备。主机软件的核心是USB协议栈,这里提出 复用的特点,在应用层实现的系统测试部分一般也完全可以跨平 了可复用USB协议栈方法,可控制不同的USB主机控制器, 台的重用 另外,系统软件采用C语言编程,除了最底层的 可以移植到不同的操作系统中,并且用实验项目所使用的通用 硬件接口层与实际的主控芯片有关,其余部分均与硬件无关。 型主手控制器进行了试验。实践证明这种方法减少了USB系统 这使得驱动程序可以移到不同的主控芯片上,只需按照统一接 的开发成本。提高了开发速度和系统性能。 口规范改写硬件接口层实现对该主机控制器的支持而不需改动其 他部分的程序,使得工作量大大降低。 3.USB主机硬件设计 4.1协议栈层 44 科技资讯SCIENCE&TECHNOLOOY INFORMATION
因篇幅问题不能全部显示,请点此查看更多更全内容