T之家訊 根據(jù)國外安全機構證實,憑據(jù)盜竊木馬Dyreza(簡稱Dyre)在經(jīng)過最近的升級后,把目標瞄準了Win10的Edge瀏覽器。這款木馬又被稱為“網(wǎng)絡犯罪雇傭”服務,主要作案目標為銷售團隊用戶以及銀行客戶。最近的調查發(fā)現(xiàn),這款木馬被用來竊取幾個商業(yè)供應鏈的憑據(jù)。
Dyre將會抓取瀏覽器進程,并且通過提升權限來監(jiān)控特殊范圍內的連接,收集用戶輸入的憑據(jù)。這種攻擊方式被稱為“man in the browser”。一般來說,這種方式經(jīng)常被利用來竊取用戶與錢財有關的賬戶信息,比如網(wǎng)銀、支付寶等、亞馬遜等賬號和密碼等信息。
用戶該如何判斷是否已經(jīng)中招呢?根據(jù)微軟的介紹,如果防火墻提示會允許高權限進入explorer.exe和svchost.exe等程序,那么你的系統(tǒng)很可能已經(jīng)感染了木馬。或者如果你發(fā)現(xiàn)了如下文件,那么也就意味著電腦被木馬所感染。
? %APPDATA%\local\[random alpha numeric characters].exe
一直以來,這類木馬就影響著IE11、Chrome、Firefox等各種瀏覽器的安全,如今它已經(jīng)把Edge瀏覽器也拉下水,這就需要用戶自己加強戒備,及時升級瀏覽器和殺毒軟件,防患于未然。(via:WinBeta,by RON)
微信搜索“IT之家”關注搶6s大禮!下載IT之家客戶端(戳這里)也可參與評論抽樓層大獎!
大家平時打開任務管理器的時候,就能看到系統(tǒng)進程和系統(tǒng)服務。
有好多是新安裝的應用程序進程和服務,但是還有很多系統(tǒng)進程和服務,這些進程和服務有哪些?分別起什么作用?能不能關閉和刪除?今天我們就以本篇文章內容詳細闡述一下"Windows自帶的系統(tǒng)進程和服務"!
1、進程闡述
進程定義:一個具有一定獨立功能的程序關于某個數(shù)據(jù)集合的一次運行活動,是系統(tǒng)進行資源分配和調度運行的基本單位。
進程和線程區(qū)別: 線程是進程的一個實體,是調度和分派的基本單位,它是比進程更小的能獨立運行的基本單位.線程自己基本上不擁有系統(tǒng)資源,只擁有一點在運行中必不可少的資源(如程序計數(shù)器,一組寄存器和棧),但是它可與同屬一個進程的其他的線程共享進程所擁有的全部資源。 一個線程可以創(chuàng)建和撤銷另一個線程;同一個進程中的多個線程之間可以并發(fā)執(zhí)行。
例如,有一個Web服務器要進程的方式并發(fā)地處理來自不同用戶的網(wǎng)頁訪問請求的話,可以創(chuàng)建父進程和多個子進程的方式來進行處理,但是創(chuàng)建一個進程要花費較大的系統(tǒng)開銷和占用較多的資源。除外,這些不同的用戶子進程在執(zhí)行的時候涉及到進程,上下文切換是一個復雜的過程。所以,為了減少和創(chuàng)建的開銷,提高執(zhí)行效率和節(jié)省資源,人們在操作系統(tǒng)中引入了"線程(thread)"的概念。 進程的作用:進程是為了提高CPU的執(zhí)行效率,減少因為程序等待帶來的CPU空轉以及其他計算機軟硬件資源的浪費而提出來的。
進程與程序的區(qū)別:程序是一組指令的集合,它是靜態(tài)的實體,沒有執(zhí)行的含義。而進程是一個動態(tài)的實體,有自己的生命周期。一般說來,一個進程肯定與一個程序相對應,并且只有一個,但是一個程序可以有多個進程,或者一個進程都沒有。除此之外,進程還有并發(fā)性和交往性。簡單地說,進程是程序的一部分,程序運行的時候會產(chǎn)生進程。總結: 線程是進程的一部分,進程是程序的一部分。
2、系統(tǒng)服務闡述
系統(tǒng)服務基本定義:服務是一種應用程序類型,它在后臺運行。服務應用程序通常可以在本地和通過網(wǎng)絡為用戶提供一些功能,例如客戶端/應用程序、Web服務器、數(shù)據(jù)庫服務器以及其他基于服務器的應用程序。
系統(tǒng)服務的作用 : (1)啟動、停止、暫停、恢復或禁用遠程和本地計算機服務; (2)管理本地和遠程計算機上的服務; (3)設置服務失敗時的故障恢復操作; (4)為特定的硬件配置文件啟用或禁用服務; (5)查看每個服務的狀態(tài)和描述。
常見系統(tǒng)進程詳解以及開啟和終止進程的方法
首先根據(jù)進程的重要程度可以分為系統(tǒng)進程和附加進程,基本的系統(tǒng)進程是系統(tǒng)運行的必要條件,只有這些進程處于活動狀態(tài)的時候,系統(tǒng)才能正常運行,而附加進程不是必須的,可以按需來啟動結束。
1、系統(tǒng)必要進程
system process
進程文件: [system process] or [system process]進程名稱: Windows內存處理系統(tǒng)進程描述: Windows頁面內存管理進程,擁有0級優(yōu)先。
alg.exe
進程文件:alg or alg.exe 進程名稱:應用層網(wǎng)關服務 描述:這是一個應用層網(wǎng)關服務用于網(wǎng)絡共享 進程文件:csrss or 進程名稱: Runtime Server Subsystem 描述:客戶端服務子系統(tǒng),用以控制Windows圖形相關子系統(tǒng)。
ddhelp.exe
進程文件: ddhelp or ddhelp.exe進程名稱: DirectDraw Helper描述: DirectDraw Helper是DirectX這個用于圖形服務的一個組成部分。 進程文件:dllhost or 進程名稱:DCOM DLL Host進程 描述:DCOM DLL Host進程支持基于COM對象支持DLL以運行Windows程序 進程文件:explorer or 進程名稱:程序管理 描述:Windows Program Manager或者Windows Explorer用于控制Windows圖形Shell,包括開始菜單、任務欄,桌面和文件管理。這個進程主要負責顯示系統(tǒng)桌面上的圖標以及任務欄
inetinfo.exe
進程文件: inetinfo or inetinfo.exe進程名稱: IIS Admin Service Helper描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug調試除錯。internat.exe
進程文件: internat or internat.exe進程名稱: Input Locales描述: 這個輸入控制圖標用于更改類似國家設置、鍵盤類型和日期格式 進程文件: kernel32 or 進程名稱: Windows殼進程描述: Windows殼進程用于管理多線程、內存和資源 進程文件:lsass or 進程名稱:本地安全權限服務 描述:這個本地安全權限服務控制Windows安全機制。進程詳解:管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統(tǒng)服務) 產(chǎn)生會話密鑰以及授予用于交互式客戶/服務器驗證的服務憑據(jù)(ticket),也就是本地安全權限服務,屬于Windowsde的核心進程之一也被黑客千方百計的尋找漏洞,大名鼎鼎的震蕩波利用的就是其中一個漏洞
mdm.exe
進程文件: mdm or mdm.exe進程名稱: Machine Debug Manager描述: Debug除錯管理用于調試應用程序和Microsoft Office中的Microsoft Script Editor腳本編輯器
mmtask.tsk
進程文件: mmtask or mmtask.tsk進程名稱: 多媒體支持進程描述: 這個Windows多媒體后臺程序控制多媒體服務
mprexe.exe
進程文件: mprexe or mprexe.exe進程名稱: Windows路由進程描述: Windows路由進程包括向適當?shù)木W(wǎng)絡部分發(fā)出網(wǎng)絡請求
msgsrv32.exe
進程文件: msgsrv32 or msgsrv32.exe進程名稱: Windows信使服務描述: Windows信使服務調用Windows驅動和程序管理在啟動
mstask.exe
進程文件: mstask or mstask.exe進程名稱: Windows計劃任務描述: Windows計劃任務用于設定繼承在什么時間或者什么日期備份或者運行
regsvc.exe
進程文件: regsvc or regsvc.exe進程名稱: 遠程注冊表服務描述: 遠程注冊表服務用于訪問在遠程計算機的注冊表
rpcss.exe
進程文件: rpcss or rpcss.exe進程名稱: RPC Portmapper描述: Windows 的RPC端口映射進程處理RPC調用(遠程模塊調用)然后把它們映射給指定的服務提供者
services.exe
進程文件:services or services.exe 進程名稱:Windows Service Controller 描述:管理smss.exe
進程文件: smss or smss.exe進程名稱: Session Manager Subsystem描述: 該進程為會話管理子系統(tǒng)用以初始化系統(tǒng)變量,MS-DOS驅動名稱類似LPT1以及COM調用Win32殼子系統(tǒng)和運行在Windows登陸過程
snmp.exe
進程文件: snmp or snmp.exe進程名稱: Microsoft SNMP Agent描述: Windows簡單的網(wǎng)絡協(xié)議代理(SNMP)用于監(jiān)聽和發(fā)送請求到適當?shù)木W(wǎng)絡部分
spool32.exe
進程文件: spool32 or spool32.exe進程名稱: Printer Spooler描述: Windows打印任務控制程序,用以打印機就緒
spoolsv.exe
進程文件:spoolsv or spoolsv.exe 進程名稱:Printer Spooler Service 描述:Windows打印任務控制程序,用以打印機就緒
stisvc.exe
進程文件: stisvc or stisvc.exe進程名稱: Still Image Service描述: Still Image Service用于控制掃描儀和數(shù)碼相機連接在Windows 進程文件:svchost or 進程名稱:Service Host Process 描述:Service Host Process是一個標準的動態(tài)連接庫主機處理服務。進程詳解:是一個系統(tǒng)的核心進程,并不是病毒進程。但由于Svchost.exe進程的特殊性,所以病毒也會千方百計的入侵Svchost.exe。通過察看Svchost.exe進程的執(zhí)行路徑可以確認是否中毒 ,Svchost.exe 是從動態(tài)鏈接庫 (DLL) 中運行的服務的通用主機進程名稱。其實Svchost.exe是Windows 的一個核心進程。Svchost.exe不單單只出現(xiàn)在Windows XP中,在使用NT內核的中都會有Svchost.exe的存在。一般在Windows 2000中Svchost.exe進程的數(shù)目為2個,而在Windows XP中Svchost.exe進程的數(shù)目就上升到了4個及4個以上。所以看到系統(tǒng)的進程列表中有幾個Svchost.exe不用那么擔心。如果你懷疑計算機有可能被病毒感染,Svchost.exe的服務出現(xiàn)異常的話通過搜索Svchost.exe文件就可以發(fā)現(xiàn)異常情況。一般只會找到一個在:"C:\Windows\System32"目錄下的Svchost.exe程序。如果你在其他目錄下發(fā)現(xiàn)Svchost.exe程序的話,那很可能就是中毒了。
system
進程文件: system or system進程名稱: Windows System Process描述: Microsoft Windows系統(tǒng)進程。
taskmgr.exe
進程文件:taskmgr or taskmgr.exe 進程名稱:The Windows Task Manager 描述:Windows任務管理器,是Windows任務管理執(zhí)行者
taskmon.exe
進程文件: taskmon or taskmon.exe進程名稱: Windows Task Optimizer描述: windows任務優(yōu)化器監(jiān)視你使用某個程序的頻率,并且通過加載那些經(jīng)常使用的程序來整理優(yōu)化硬盤tcpsvcs.exe
進程文件: tcpsvcs or tcpsvcs.exe進程名稱: TCP/IP Services描述: TCP/IP Services Application支持透過TCP/IP連接局域網(wǎng)和Internet
winlogon.exe
進程文件:winlogon or winlogon.exe 進程名稱:Windows Logon Process 描述:Windows NT用戶登陸程序。
winmgmt.exe
進程文件: winmgmt or winmgmt.exe進程名稱: Windows Management Service描述: Windows Management Service透過Windows Management Instrumentation data (WMI)技術處理來自應用客戶端的請求
wuauclt.exe
進程文件:wuauclt or wuauclt.exe 進程名稱:AutoUpdate for Windows 描述:Windows自動升級, 進程詳解:Wuauclt.exe是主管Windows自動升級的系統(tǒng)進程. 可以在線檢測最近Windows更新如果你沒有開啟自動升級的話就不會有這項進程了,而且就算你開啟了它,它也不是任何時候都開啟的
wuauc.exe
進程文件:wuauc or wuauc.exe 進程名稱:Automatic Updates 自動升級 進程描述:wuauc.exe為Windows管理自動更新。這個程序自動檢查最近Windows的更新.System Idle Process (這個在下面會單獨講到)
2、查看進程和終止進程的方法
利用任務管理器的方法就不說了,說點高級的!
查看進程的方法(兩種)
開始 --> 運行wmic,出現(xiàn)dos窗口后輸入 process 就可以看到進程路徑了,具體如下:
使用"tasklist"命令查看具體進程的pid,具體如下:
"Tasklist"命令是一個用來顯示運行在本地或遠程計算機上的所有進程的命令行工具,帶有多個執(zhí)行參數(shù)。
它的使用格式為:TASKLIST [/S system [/U username [/P [password]]]] [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]
參數(shù)列表:/S system 指定連接到的遠程系統(tǒng)(IP)。/U [domain\]user 指定使用哪個用戶執(zhí)行這個命令。/P [password] 為指定的用戶指定密碼。/M [module] 列出調用指定的 DLL 模塊的所有進程。 如果沒有指定模塊名,顯示每個進程加載的所有模塊。/SVC 顯示每個進程中的服務。/V 指定要顯示詳述信息。/FI filter 顯示一系列符合篩選器指定的進程。/FO format 指定輸出格式,有效值: "TABLE"、"LIST"、"CSV"。/NH 指定欄標頭不應該在輸出中顯示。 只對 "TABLE" 和 "CSV" 格式有效。
查看遠程系統(tǒng)的進程在命令提示符下輸入:"tasklist /s 218.22.123.26 /u jtdd /p 12345678"(不包括引號)其中/s參數(shù)后的"218.22.123.26"指要查看的遠程系統(tǒng)的IP地址; /u后的"jtdd"指tasklist命令使用的用戶帳號,它是遠程系統(tǒng)上的一個合法帳號; /p后的"12345678"指jtdd帳號的密碼,。這樣,通過上面的命令,我們就可以查看到遠程系統(tǒng)的進程了。
2、終止進程
終止進程可以采用" taskkill "命令,來殺死進程。如要殺死本機的 " notepad.exe "進程。首先,使用Tasklist查找它的PID,系統(tǒng)顯示本機" notepad.exe "進程的PID值為" 1132 ",然后運行" taskkill /pid 1132 "即可,或則運行" taskkill /IM notepad.exe "也可;其中" /pid "參數(shù)后面跟要終止進程的PID值," /IM "參數(shù)后面為進程的圖像名。
taskkill /f /t /im 進程名稱
/f 殺死所有進程及子進程
/t 強制殺死
/im 用鏡像名稱作為進程信息
/pid 用進程id作為進程信息。
例子:taskkill /im 360zip.exe /f
(一)打開系統(tǒng)服務的方法
方法一:通過運行命令打開
按win+R鍵,打開運行,輸入services.msc,回車,如下圖所示:
方法二:通過計算機管理打開
方法三:通過任務管理器打開服務
(二)、常見的系統(tǒng)服務詳解
1.顯示名稱:Alerter
進程名稱:svchost.exe -k LocalService◎微軟描述:通知所選用戶和計算機有關系統(tǒng)管理級警報。如果服務停止,使用管理警報的程序將不會受到它們。如果此服務被禁用,任何直接依賴它的服務都將不能啟動
補充描述:警報器。該服務進程名為Services.exe,一般家用計算機根本不需要傳送或接收計算機系統(tǒng)管理來的警示(AdministrativeAlerts),除非你的計算機用在局域網(wǎng)絡上。
默認:禁用
建議:禁用
2.顯示名稱:Application Layer Gateway Service
進程名稱:alg.exe
微軟描述:為 Internet 連接共享和 Windows 防火墻提供第三方協(xié)議插件的支持。◎補充描述:XP SP2自帶的防火墻,如果不用可以關掉。
默認:手動(已啟動)
建議:禁用
3顯示名稱:Application Management
進程名稱:svchost.exe -k netsvcs
微軟描述:提供軟件安裝服務,諸如分派,發(fā)行以及刪除。
補充描述:應用程序管理。從Windows2000開始引入的一種基于msi文件格式的全新有效軟件管理方案:程序管理組件服務。該服務不僅可以管理軟件的安裝、刪除,還可以使用此服務修改、修復現(xiàn)有應用程序,監(jiān)視文件復原并通過復原排除基本故障等,軟件安裝變更的服務。
默認:手動
建議:手動
4.顯示名稱:Automatic Updates
進程名稱:svchost.exe -k netsvcs
微軟描述:允許下載并安裝 Windows 更新。如果此服務被禁用,計算機將不能使用 Windows Update 網(wǎng)站的自動更新功能。
補充描述:自動更新,手動就行,需要的時候打開,沒必要隨時開著。
默認:自動
建議:手動
5.顯示名稱:Background Intelligent Transfer Service
進程名稱:svchost.exe -k netsvcs
微軟描述:在后臺傳輸客戶端和服務器之間的數(shù)據(jù)。如果禁用了 BITS,一些功能,如 Windows Update,就無法正常運行。
補充描述:經(jīng)由HTTP1.1在背景傳輸資料的東西,例如 Windows Update 就是以此為工作之一。這個服務原是用來實現(xiàn)http1.1服務器之間的信息傳輸,微軟稱支持windows更新時斷點續(xù)傳。
默認:手動
建議:手動
6.顯示名稱:ClipBook進
程名稱:clipsrv.exe
微軟描述:啟用"剪貼簿查看器"儲存信息并與遠程計算機共享。如果此服務終止,"剪貼簿查看器" 將無法與遠程計算機共享信息。如果此服務被禁用,任何依賴它的服務將無法啟動。◎補充描述:剪貼簿。把剪貼簿內的信息和其它臺計算機分享,一般家用計算機根本用不到。◎默認:禁用
建議:禁用
7.顯示名稱:COM+ Event System
進程名稱:svchost.exe -k netsvcs◎微軟描述:支持系統(tǒng)事件通知服務(SENS),此服務為訂閱組件對象模型(COM) 組件事件提供自動分布功能。如果停止此服務,SENS 將關閉,而且不能提供登錄和注銷通知。如果禁用此服務,顯式依賴此服務的其他服務將無法啟動。
補充描述:COM+ 事件系統(tǒng)。有些程序可能用到 COM+ 組件,如自己的系統(tǒng)優(yōu)化工具BootVis。檢查系統(tǒng)盤的目錄"C:\Program Files\ComPlus Applications",沒東西可以把這個服務關閉。
默認:手動(已啟動)
建議:手動
8.顯示名稱:COM+ System Application
進程名稱:dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
微軟描述:管理 基于COM+ 組件的配置和跟蹤。如果服務停止,大多數(shù)基于COM+ 組件將不能正常工作。如果本服務被禁用,任何明確依賴它的服務都將不能啟動。
補充描述:如果 COM+ Event System 是一臺車,那么 COM+ SystemApplication 就是司機,如事件檢視器內顯示的 DCOM 沒有啟用,則會導致一些 COM+軟件無法正常運行。檢查系統(tǒng)盤的目錄"C:\Program Files\ComPlus Applications",沒東西可以把這個服務關閉。◎默認:手動
建議:手動
9.顯示名稱:Computer Browser
進程名稱:svchost.exe -k netsvcs
微軟描述:維護網(wǎng)絡上計算機的更新列表,并將列表提供給計算機指定瀏覽。如果服務停止,列表不會被更新或維護。如果服務被禁用,任何直接依賴于此服務的服務將無法啟動。
補充描述:計算機瀏覽器。一般家庭用計算機不需要,除非你的計算機應用在局域網(wǎng)之上。◎默認:自動
建議:手動
10.顯示名稱:Cryptographic Services
進程名稱:svchost.exe -k netsvcs
微軟描述:提供三種管理服務: 編錄數(shù)據(jù)庫服務,它確定 Windows 文件的簽字; 受保護的根服務,它從此計算機添加和刪除受信根證書機構的證書;和密鑰(Key)服務,它幫助注冊此計算機獲取證書。如果此服務被終止,這些管理服務將無法正常運行。如果此服務被禁用,任何依賴它的服務將無法啟動。
補充描述:簡單的說就是 Windows Hardware Quality Lab (WHQL)微軟的一種認證服務,例如你使用 Automatic Updates,升級驅動程序,你就會需要這個。
默認:自動
建議:自動
11.顯示名稱:DCOM Server Process Launcher
進程名稱:svchost -k DcomLaunch
微軟描述:為 DCOM 服務提供加載功能。
補充描述:SP2新增的服務,DCOM(分布式組件對象模式),關閉這個服務會造成很多手動服務無法在需要的時候自動啟動,很麻煩。關閉這個服務還有以下現(xiàn)象:比如一些軟件無法正常安裝,flashmx ,還有些打印機的驅動無法安裝,都提示錯誤"RPC服務器不可用"。
默認:自動
建議:自動
12.顯示名稱:DHCP Client
進程名稱:svchost.exe -k netsvcs
微軟描述:通過注冊和更改 IP 地址以及 DNS 名稱來管理網(wǎng)絡配置。
補充描述:DHCP 客戶端。沒有固定IP的的用戶還是開著吧,否則上不了網(wǎng),特別是小區(qū)光纖用戶。
默認:自動
建議:自動
(三)、查看、啟用、關閉服務命令的方法
1、net用于打開和關閉沒有被禁用的服務,
NET命令是功能強大的以命令行方式執(zhí)行的工具。
它包含了管理網(wǎng)絡環(huán)境、服務、用戶、登陸大部分重要的管理功能,關于這些完全可以寫一篇20頁以上的文檔了,略去不表。
啟動和關閉服務的時候,其語法是:
net start 服務名
net stop 服務名
比如我啟動我的svn server 服務,命令行中輸入net start svn 即可,可以更進一步將你經(jīng)常需要啟動的服務整理成命令,用記事本保存成cmd后綴格式的文件,這樣你雙擊就可以完成里邊相應的命令,這個還是很方便的,只 需要設置好,后續(xù)使用的時候就很簡單,提高工作效率還是不錯的。
C:\Windows\system32>net/? 此命令的語法是: NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP | HELPMSG | LOCALGROUP | PAUSE | SESSION | SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW ]
注意:服務名是服務名稱
2、用sc可打開被禁用的服務,也可以查看服務狀態(tài),可以創(chuàng)建服務、刪除服務、打開與關閉服務
sc是用于與服務控制管理器和服務進行通信的命令行程序,其語法是:
sc config 服務名 start= demand //手動
sc config 服務名 start= auto //自動
sc config 服務名 start= disabled //禁用
sc start 服務名 開啟服務
sc stop 服務名 停止服務
sc query 服務名 查看服務狀態(tài)
sc delete 服務名 刪除服務
sc qc 服務名 查看服務的配置信息
sc create scname binPath=xxx.exe 創(chuàng)建服務
例如
C:\Windows\system32>sc create redis binPath=E:/Redis/redis-server.exe [SC] CreateService 成功
當你安裝了一個應用程序的時候,將其添加到windows服務中時,便可以這樣去設置服務的啟動規(guī)則,不過這個命令最好在命令行中使用。
以上就是為了開啟和關閉服務自己找到的簡單方法
如果整理得好的話,完全可以充當自己的電腦開機啟動定制版腳本,包括打開哪些程序、文件、代碼等等。
總結:
sc用法: