系统启动时的软肋Winlogon

2008-02-23 08:21:11来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

一个名为“落雪”的病毒,这个病毒很厉害,能破坏木马克星,使其不能正常运行。他由VB 程式语言编写,通过北斗壳加壳处理,该木马文档图标一般是红色的图案,伪装成网络游戏的登录器。病毒运行后,在C盘program file连同windows目录下生成winlogon.exe、regedit.com等14个病毒文档,病毒文档之多比较少见。事实上这14个不同文档名的病毒文档系同一种文档,“落雪”之名亦可能由此而来。该木马另一狡诈之处就是创建一名为winlogon.exe的进程,并把其路径指向c:\windows\winlogon.exe(正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe),以此达到迷惑用户的目的。

不可或缺的Winlogon

悟空问道:“教授,今天我们学习哪个进程啊?”谭教授:“悟空,您每天启动操作系统的时候,有没有想过系统的启动和哪些进程有关呢?”看着悟空抓耳挠腮的样子,谭教授明白他一定是没有注意到,于是说:“今天我们就来讲解一下这个和系统启动相关的进程——Winlogon.exe。”

小知识:Winlogon.exe是Windows NT登录管理器。他用于处理用户系统的登录和登录过程,并且管理用户的登录和退出。Winlogon在用户按下Ctrl Alt Del时就激活了,显示安全对话框。该进程在用户系统中的作用是很重要的。

看完前面的介绍,经常玩游戏的八戒说道:“通过这几期的学习后我发现,这些高危的进程常常被病毒、木马、后门所利用。木马文档名都模拟成正常的系统工具名称,但是文档扩展名变成了‘.com’,为什么会这样呢?”

谭教授解释道:“是因为Windows操作系统执行.com文档的优先级比.exe文档高的特性。比如木马命名为Regedit.com,当用户调用注册表编辑器Regedit.exe的时候,一般习惯输入Regedit,而这时执行的并不是微软的Regedit.exe程式,而是木马文档Regedit.com,由此也能够看出木马作者的‘用心良苦’。”

悟空马上接茬:“怪不得注册表被加密后,人们将Regedit.exe改为Regedit.com就能够解密了。”谭教授对悟空的表现感到很的欣慰。

突然悟空又挠着头说道:“通过前面几期的讲解,我已对这些病毒、木马迷惑用户的方法略知一二。那么除了通过相似的名称,连同改变原有路径来进行以假乱真以外,我常常听网友说通过进程名称的大小写也能够进行分辨?”

“这个我也经常听说,但是我觉得这样分辨不科学,因为进程名称的大小写是根据文档名称的大小写来决定的。”谭教授解释道。
Winlogon.exe也被黑客利用

“有没有Winlogon.exe这个进程直接被恶意程式利用的?”悟空接着问道。

谭教授说:“当然有啦,由于winlogon.exe是系统的重要进程,所以会被木马程式所利用。您还记得前几期我们讲的线程插入技术吗?国产木马程式中有一个名为PcShare的木马程式,他在线程插入的时候就是将自己的进程插入到系统的winlogon.exe进程中,从而成功的躲过了很多网络防火墙的拦截”

沙僧也积极的提问:“那么如何分辨这个Winlogon.exe进程是系统进程,还是被木马程式利用的呢?”

谭教授说:“这个很简单,Winlogon.exe虽然是系统重要的进程之一,但是他是个本地进程,所以不会自动需要连接网络。假如哪天这个进程需要连接网络的话,那么这个Winlogon.exe很有可能就是被木马程式劫持了,需要尽快进行病毒的扫描工作。另外通过工具Auto runs来查看通过Winlogon.exe启动的文档。”

唐僧也问道:“前面说到Winlogon.exe这个进程用于处理登录和注销任务,对系统资源占用的情况又是怎样?”

谭教授:“事实上这个进程的确是必需的,您看在每个系统的进程列表中都有他的身影,所以他的大小和用户登录的时间有关。我曾看过这个进程占用空间的波动情况,一个是登录一个小时左右,内存占用在1.2MB到8.5MB之间波动。另一个是登录了40多天的,内存占用在1.7MB到17MB之间波动。当用户运行一些老的应用程式或是通过命令提示符窗口运行DOS命令行程式,您就会在进程里面发现他。”


标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇: htaccess介绍和使用方法

下一篇: 堵塞Web漏洞(上)