景觀暨遊憩管理

我們這一班，開始找個園地當作苗圃溫室，把同學的作品當作幼苗，將社會所見所聞，發表在這個班級部落格上。裡面還是以數位相機拍照為主，大家的觀點為輔，一一寫在上面。發表的同學就寫上座號，言論自己負責，避免有爭議的話題，不要批評，因為言責有時會不好處理。

訂閱部落格

關閉

屏科大學景憩所碩士班的圖文發表平台。

我要留言

全面挖掘潛藏惡意程式Windows工作管理員及Procexp工具之完全防毒攻略(轉貼)

分類：科技醫藥

2008/01/10 14:27

資料來源：科技網 -- IT採購

如果需要程式可以留言，我再傳檔案給大家>A<)/

by：latias(班上的植物狂=3=)

曹乙帆／DIGITIMES

前言：儘管企業各端點的桌上型或筆記型電腦，幾乎都有安裝防毒軟體，但卻不見得能夠杜絕所有惡意程式的攻擊與入侵，尤其筆記型電腦的使用環境更加複雜，使用者很可能在不同時段，分別由企業、家中，抑或公共開放式環境上網，因此，遭到惡意程式攻擊的風險也相對較高。企業管理人員除了提醒或協助端點使用者，定期透過系統中既有的防毒軟體、個人防火牆進行安全防護外，事實上，亦可透過「Windows工作管理員」中的「處理程序」來檢視、發掘系統中是否仍存在惡意程式，一旦確認仍有漏網之魚，即可加以刪除。

沒有任何工具是面面俱到的，即使在電腦上安裝了防毒軟體，也不一定能夠阻擋所有惡意程式，因此，使用者大可將「Windows工作管理員／處理程序」視為進一步提升系統安全性的輔助工具。

開啟「Windows工作管理員」

首先，必須開啟「Windows工作管理員」，開啟的方法十分簡單，只需如下簡單的2個步驟：

1.同時按下“Ctrl＋Alt＋Delete”鍵，畫面中隨即跳出「Windows工作管理員」視窗。

圖說：執行「Windows工作管理員」。

2.接著以滑鼠點取視窗上方的「處理程序」標籤，切換到「處理程序」標籤欄，在「影像名稱」欄位下，可以看見許多正處於運行狀態的處理程序，在「CPU」及「記憶體使用量」中，可檢視其所耗用的資源狀況。

圖說：切換到「處理程序」標籤欄。

3.使用者若確定某個「處理程序」很可疑，可直接結束該程序。例如使用者明明沒有執行IE瀏覽器，但是卻在處理程序欄框中看到“iexplore.exe”，即可確定此為惡意程式偽裝的程式，接著，只要在該程式名稱上按下滑鼠右鍵、選擇下拉視窗中的「結束處理程序」，即可停止該惡意程式的運作。

圖說：執行「結束處理程序」。

上述步驟可說是檢視系統中各處理程序運作狀況，以及結束可疑程序的最基本作法，然而事實上，這種方式卻存在許多問題，首先，使用者必須先對系統中各處理程序的正確名稱、所在路徑位置，以及所扮演的工作內容及角色等資訊，有基本的認知才行，否則，面對那麼多的處理程序，根本無從判別哪些是正常程序、哪些又是惡意程序。

不過，有許多處理程序及惡意程式，並無法從「Windows工作管理員」中逕行結束，就算直接關閉，惡意程序仍然存在系統之中，只不過其執行動作暫時停止罷了，等到下次開機，該惡意程式又會開始正常運作，這時，必須另覓工具才能解決問題。

徹底認識電腦系統中　各類處理程序的名稱、位置及對應之服務

管理人員若要透過「處理程序」來檢視系統中是否存在惡意程式，必須先對各種合法且正常的處理程序有所了解才行。原則上，Windows系統中的處理程序，大致可分為以下3大類：

1.系統服務程序

常見的系統服務程序大致有以下幾種：

•svchost.exe－其主要負責啟動微軟Windows系統中諸多共用服務，包括Logical Disk Manager、RPC（Remote Procedure Call）、Automatic Updates、DHCP Client等。一般而言，系統服務多半是由載入動態連結程式庫（DLL）而啟動，而大部分的系統服務會透過共用方式，藉由svchost.exe載入相對應的DLL檔來啟動服務。

正因為如此，在「Windows工作管理員／處理程序」視窗中，可以看到多個正在運行的svchost.exe程序，原則上，在Windows 2000系統中不會超過2個，在Windows XP環境則不會超過5個（大致有netsvcs、LocalService、NetworkService、HTTPFilter及imgsvc等5類），若超過的話，很有可能是惡意程式所偽裝之程序。無論如何，正常且合法的svchost.exe檔，其路徑位置是在“C:WINDOWSSystem32”下。

圖說：處理程序標籤欄中，竟同時有6個svchost.exe，其中1個很可能是惡意程式。

•spoolsv.exe－本程序是系統服務中“Print Spooler”服務所對應的執行檔，其主要工作是將檔案載入記憶體中，以待稍後列印，也就是專門負責管理緩衝區中，佇列之本地及網路列印作業，使用者若任意加以停用，可能會造成原本的列印作業無法正常運作；該檔之路徑位置為“C:WINDOWSSystem32”。

圖說：以滑鼠雙擊系統服務元件中的“Print Spooler”，可看到其執行檔所在路徑的執行程序為spoolsv.exe。

•csrss.exe－屬於Win32子系統程序，主要作用在於創建或刪除執行緒及16位元之DOS虛擬環境；其存放的路徑位置一樣在“C:WINDOWSSystem32”之下。

•lsass.exe－IPSEC Service、Net Logon、NT LM Security Support Provider、Protected Storage與Security Accounts Manager等多種IP安全管理、帳號驗證與安全儲存等服務，都是透過lsass.exe執行檔來啟動；其存放位置一樣在“System32”目錄下。

圖說：檢視IPSEC Service系統服務的內容，即可發現其主要透過lsass.exe執行檔來啟動。

•smss.exe－其為連線對話管理子系統，專門負責啟動用戶之連線對話；存放位置一樣在“System32”目錄下。

•winlogon.exe－主要負責用戶登錄狀態之更換，例如系統歡迎畫面、登入、登出及工作站鎖定等狀態顯示的切換。它會將使用者的認證操作要求，傳送給負責身分認證之DLL檔，然後再接收DLL檔的指示，進行狀態切換；其所在位置與前述幾個程序一樣，皆放在“System32”目錄下。

•services.exe－專門啟動Event Log及Plug and Play這2個系統服務的執行檔；其存放位置一樣在“System32”目錄下。

2.一般程序

常見的一般程序大致有幾下幾種：

•explorer.exe－亦即資源管理器，它是使用者與系統核心之間的介面－shell，使用者必須透過它，才能以桌面及工作列上的圖示，存取並管理電腦中的各項資源；其存放位置在“C:WINDOWS”目錄下。

•rundll32.exe－負責執行DLL內建函式的執行檔；其存放路徑為“C:WINDOWSSystem32”。

•ctfmon.exe－啟動微軟入法之執行檔；存放目錄一樣在“System32”下。

3.應用軟體處理程序

事實上，應用軟體的執行檔，多屬於一般程序，但是仍有一些應用程式，例如防毒軟體，會同時啟動屬於系統服務程序及一般程序的執行檔。以下即為常見的應用軟體程序：

•iexplore.exe－亦即IE瀏覽器的執行程序，請注意其拼法，雖然IE全名是Internet Explorer，但其合法執行程序是少1個“r”，若在「處理程序」視窗中發現多1個“r”的“iexplorer.exe”，那麼，肯定是惡意程式無疑。

此外，該程序並不會隨著系統開啟而啟動，所以，開機之後若沒有執行IE，但是卻在「處理程序」視窗中發現該程序檔，也可能是惡意程式。至於該程序的合法位置，則是在“C:Program FilesInternet Explorer”下。

•其他－只要啟動Office Word、Excel、PowerPoint、Adobe Photoshop、Mozilla Firefox或Windows Media Player等任何應用軟體，使用者皆可在「處理程序」視窗中看到相對應的執行檔。

判斷合法及惡意程序的基本準則

無論如何，透過上述各種常見執行程序之介紹，使用者可對合法處理程序的作用、名稱及存放位置有所了解，接下來，管理人員即可透過以下幾點基本準則，來判斷系統內運行中的執行程序是否合法。

1.執行程序之正確拼法

惡意攻擊者多半會以檔案外觀幾可亂真的手法，達到魚目混珠的目的。例如svchost.exe仿成svch0st.exe、explorer.exe仿成explore.exe、rundll32.exe則改成rund1l32.exe等，就是故意將“o”改成“０”、“l”改成“1”，抑或多了個“r”。

2.執行程序的大小寫

一般而言，Windows系統服務執行檔的所有字母均為小寫，除了IE之外，微軟Office應用軟體所有字母皆是大寫，而其他第3方應用軟體，則多半首字大寫。如果使用者發現系統內原本的“svchost.exe”竟寫成“Svchost.exe”，抑或“winlogon.exe”寫成“WINLOGON.exe”，那麼絕對有問題。

3.執行程序之所在路徑位置

除了應用軟體使用者可自訂安裝目錄外，基本上，每個執行程序皆有固定的存放位置，因此，一旦在不該出現的目錄下，發現某執行程序時，就有可能是惡意程序。例如svchost.exe等系統程序，絕對會放在“C:WINDOWSSystem32”目錄下，如果使用者在“C:”或“C:WINDOWS”根目錄下發現該檔，那就是惡意程式。此外，如果在系統程序目錄常見的資料夾“System32”下看到一般程序，也必定是惡意程式。

圖說：svchost.exe程序檔絕對不可能出現在“C:WINDOWS”系統根目錄下，所以此程式必定為惡意程式。

4.例行安檢時　應儘可能關閉所有應用程式

原則上，仍有一些處理程序不會隨著系統開機而啟動，例如IE瀏覽器即為顯例。使用者可關閉所有應用程式，若仍發現iexplore.exe等一些冒名合法應用程式的執行檔，即可合理懷疑其為惡意程式。

剖析處理程序的最佳利器－Procexp工具程式

雖然管理人員可以透過Windows內的「處理程序」視窗，搭配「服務」元件來檢視系統內正在運行的各個執行程序之狀況，但是一來操作上比較麻煩，二來，一些處理程序、尤其是頑強的惡意程式，並無法透過「處理程序」視窗加以停用或刪除。

當然，使用者可以透過Windows的「搜尋」功能，找到可疑的處理程序，然後直接加以刪除，不過操作上仍嫌麻煩，因此，接下來將介紹另一個可方便瀏覽處理程序，並逕行刪除的便利工具－Procexp。以下為Procexp工具的下載、執行及操作等相關步驟：

步驟1：下載及執行工具程式

1.目前網路上有許多站點，皆提供Process Explorer（執行檔為Procexp.exe）工具程式的下載服務，使用者亦可至微軟TechNet網站（http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.msp）下載之。當前最新版為Process Explorer for Windows v10.21。

圖說：下載Procexp程式。

2.原則上，該工具不需要安裝，不過第一次執行時，會出現軟體授權同意之詢問畫面，使用者只要點取“Agree”，便可立即啟動Procexp工具程式。

圖說：點取“Agree”。

3.如果使用者嫌每次都要點取Procexp.exe才可啟動該工具的方式太過麻煩，可以直接進入Procexp工具的功能列，點取“Option\Replace Task Manager”，如此一來，即可完全取代「Windows工作管理員」；換句話說，使用者只要同時按下“Ctrl＋Alt＋Delete”鍵，就能啟動Procexp工具程式。

圖說：點取“Option\Replace Task Manager”。

步驟2：查看運行中的處理程序

1.從Procexp工具程式的主畫面來看，比起「Windows工作管理員」實在方便且親和許多，使用者不但可從中了解每個程序相關的程序識別元號（PID）、CPU使用率，以及該程序服務內容的描述及所屬公司等資訊，最方便的，莫過於該程式將系統服務程序和一般程序，分別以粉紅及天藍色加以區隔。

圖說：以顏色區隔不同程序。

2.使用者只要將滑鼠游標移至想確認的執行程序上，就會立即顯示該程序相對應的路徑位置及相關服務，使用者可依照這些資訊，判斷該程序是否合法。

圖說：處理程序相關資訊快捷視窗。

3.如果使用者想要獲得某特定程序的更詳細資訊，也可以滑鼠左鍵雙擊某特定程序，即會跳出更詳細資訊之視窗。首先進入的是“Image”標籤欄，該欄位會顯示該程序的所在路徑及執行檔名等訊息，使用者若想了解該程序對應了哪些服務，可直接點取“Services”標籤欄。

圖說：點取“Services”標籤欄。

4.一些惡意程式多半會默默將資料往外傳送，為了確保可疑程序是否有此行徑，使用者可以滑鼠雙擊可疑程序後，再切換至“TCP/IP”標籤欄，查看該程序網路傳送的狀況。

圖說：切換至“TCP/IP”標籤欄。

5.若想進一步查詢特定程序呼叫了哪些DLL檔，可在選定某程序後，再點取Procexp程式上方圖示列中的“View DLLs”，接著，該程式下方會自動分割顯示各種DLL檔的子視窗。

圖說：點取“View DLLs”。

步驟3：刪除惡意程序

1.使用者可綜合前文介紹之「判斷合法及惡意程序的基本準則」內容，作為判斷並刪除惡意程序的參考。如果使用者懷疑某特定程序，但又無法完全確定是否為惡意程式，可以直接在特定程序上點取滑鼠右鍵，然後在下拉視窗中點選“Search Online”，接著，會自動啟動瀏覽器並羅列該程序之搜尋結果。過去預設的搜尋引擎為Goolge，如今Procexp 10.21版則已改為MSN Live Search。

圖說：上網搜尋程序相關資訊。

2.使用者一旦確定某個程序的確為惡意程式，即可直接在該程序上點擊滑鼠右鍵，在出現的下拉視窗中選取“Kill Process”，即可刪除該檔。

圖說：選取“Kill Process”刪除程序。