XP各類處理程序的名稱、位置及對應之服務

woff

常見的系統服務程序大致有以下幾種：
1. svchost.exe
其主要負責啟動微軟Windows系統中諸多共用服務，包括Logical Disk Manager(磁碟管理服務)、
RPC（Remote Procedure Call 系統核心服務）、Automatic Updates(windows自動更新)、DHCP Client等。
一般而言，系統服務多半是由載入動態連結程式庫（DLL）而啟動，而大部分的系統服務會透過共用方式，
藉由svchost.exe載入相對應的DLL檔來啟動服務。
正因為如此，在「Windows工作管理員／處理程序」視窗中，可以看到多個正在運行的 svchost.exe程序，
原則上，在Windows 2000系統中不會超過2個，在Windows XP環境則不會超過5個。
（大致有netsvcs、LocalService、NetworkService、HTTPFilter及imgsvc等5 類）
若超過的話，很有可能是惡意程式所偽裝之程序。
無論如何，正常且合法的svchost.exe檔，其路徑位置是在“C:\WINDOWS\System32”下。
筆者曾經見識過svchost.exe的行程,多達7支之多的電腦.


掃個毒吧! 果然中了一些毒.....


2. spoolsv.exe
本程序是系統服務中“Print Spooler”服務所對應的執行檔，其主要工作是將檔案載入記憶體中，
以待稍後列印，也就是專門負責管理緩衝區中，佇列之本地及網路列印作業，
使用者若任意加以停用，可能會造成原本的列印作業無法正常運作；該檔之路徑位置為“C:WINDOWSSystem32”。

3. csrss.exe
屬於Win32子系統程序，主要作用在於創建或刪除執行緒及16位元之DOS虛擬環境；
其存放的路徑位置一樣在“C:\WINDOWSSystem32”之下。

4. lsass.exe
IPSEC Service(網際網路通訊協定安全性的服務)、Net Logon(網域登入服務)、NT LM Security Support Provider(Telnet 服務用的東西 lsass.exe)、Protected Storage(受保護存放區服務)
與Security Accounts Manager等多種IP安全管理、帳號驗證與安全儲存等服務，
都是透過lsass.exe執行檔來啟動；其存放位置一樣在“System32”目錄下。
註:
IPSec 是一種傳輸層次安全性的型式。IPSec 是設計將資料在兩部電腦間傳送時進行加密， 來保護資料以免受到修改或解譯。
Netlogon Netlogon（網域登入服務）的行程名是lsass.exe，WinXP Home/Pro中預設安裝的啟動檔案類型分別是手動和自動，依賴Workstation服務。 這個服務是用來做網域審查的。當你的電腦處在一個域網內時，如果要使用網內的域伺服器登入到域網時，就要通過它來登入了。一般用戶用不著，禁用即可。
NT LM Security Support Provider NtLmSsp（NT LM安全性支持提供者服務）的行程名是lsass.exe，WinXP Home/PRO預設安裝的啟動檔案類型是手動，它不依賴於其他服務。 NT LM的意思即NT LanManger，是NT下提供的認證方法之一，使用了64位的加密手段。NtLmSsp這個服務主要針對RPC（遠端程序使用），通常RPC可以選項關於兩種通信方式，一種是傳輸傳輸協定，比如TCP/IP、UDP、IPX等，另一種為命名管道（Pipeline）。 通常情況下Windows預設選項都是傳輸傳輸協定，而由於RPC是採用非加密傳輸的，通信資料安全無法得到保證，而NtLmSsp就可向這一類RPC提供安全服務。 WinXP中已知的這類RP C套用就是Telnet服務（Telnet也依賴於NtLmSsp），因此無需Telnet服務的單機用戶可將NtLmSsp其關閉。
Protected Storage ProtectedStorage的行程名是lsass.exe，WinXP Home/PRO預設安裝的啟動檔案類型是自動，依賴於Remote Procedure Call。 這一服務提供對敏感性資料保護的功能，比如密碼、證書等，但通常它只針對Windows自身的敏感資料進行保護，可用來儲存你電腦上的密碼。通常上網的用戶都比較喜歡開這個服務，畢竟像自動填表這些功能給人帶來不少方便。 但如果你的電腦是多用 戶環境，或是使用筆記型電腦，經常移動辦公，那麼這個服務就要謹慎使用了。 有不少密碼破解軟體就是針對這個ProtectedStorage的，比較有名的有Protected Storage PassView，用它可以輕易得到被儲存在ProtectedStorage中你曾經上過的論壇的帳號密碼、撥號密碼等。因此，對於這個服務要視使用環境而定，在不安全的環境下還是關閉較好。



5. smss.exe
其為連線對話管理子系統，專門負責啟動用戶之連線對話；存放位置一樣在“System32”目錄下。

6. winlogon.exe
主要負責用戶登錄狀態之更換，例如系統歡迎畫面、登入、登出及工作站鎖定等狀態顯示的切換。
它會將使用者的認證操作要求，傳送給負責身分認證之DLL 檔，然後再接收DLL檔的指示，進行狀態切換；
其所在位置與前述幾個程序一樣，皆放在“System32”目錄下。
7. services.exe
專門啟動Event Log及Plug and Play這2個系統服務的執行檔；其存放位置一樣在“System32”目錄下。

一般程序 常見的一般程序大致有幾下幾種：
•explorer.exe－亦即資源管理器，它是使用者與系統核心之間的介面－shell，
使用者必須透過它，才能以桌面及工作列上的圖示，存取並管理電腦中的各項資源；
其存放位置在“C:\WINDOWS”目錄下。
•rundll32.exe－負責執行DLL內建函式的執行檔；其存放路徑為“C:\WINDOWSSystem32”。
•ctfmon.exe－啟動微軟入法之執行檔；存放目錄一樣在“System32”下。

應用軟體處理程序 事實上，應用軟體的執行檔，多屬於一般程序，但是仍有一些應用程式，
例如防毒軟體，會同時啟動屬於系統服務程序及一般程序的執行檔。以下即為常見的應用軟體程序：

•iexplore.exe－亦即IE瀏覽器的執行程序，請注意其拼法，雖然IE全名是Internet Explorer，
但其合法執行程序是少1個“r”，
若在「處理程序」視窗中發現多1個“r”的“iexplorer.exe”，那麼，肯定是惡意程式無疑。

此外，該程序並不會隨著系統開啟而啟動，所以，開機之後若沒有執行IE，
但是卻在「處理程序」視窗中發現該程序檔，也可能是惡意程式。
至於該程序的合法位置，則是在“C:\Program FilesInternet Explorer”下。

•其他－只要啟動Office Word、Excel、PowerPoint、Adobe Photoshop、Mozilla Firefox或Windows Media Player等任何應用軟體，
使用者皆可在「處理程序」視窗中看到相對應的執行檔。

判斷合法及惡意程序的基本準則 無論如何，透過上述各種常見執行程序之介紹，使用者可對合法處理程序的作用、名稱及存放位置有所了解，
接下來，管理人員即可透過以下幾點基本準則，來判斷系統內運行中的執行程序是否合法。
1.執行程序之正確拼法
惡意攻擊者多半會以檔案外觀幾可亂真的手法，達到魚目混珠的目的。
例如svchost.exe仿成svch0st.exe、explorer.exe仿成 explore.exe、rundll32.exe則改成rund1l32.exe等，
就是故意將“o”改成“０”、“l”改成“1”，抑或多了個 “r”。
2.執行程序的大小寫
一般而言，Windows系統服務執行檔的所有字母均為小寫，除了IE之外，微軟Office應用軟體所有字母皆是大寫，
而其他第3方應用軟體，則多半首字大寫。
如果使用者發現系統內原本的 “svchost.exe”竟寫成“Svchost.exe”，抑或“winlogon.exe”
寫成“WINLOGON.exe”，那麼絕對有問題。
3.執行程序之所在路徑位置
除了應用軟體使用者可自訂安裝目錄外，基本上，每個執行程序皆有固定的存放位置，
因此，一旦在不該出現的目錄下，發現某執行程序時，就有可能是惡意程序。
例如svchost.exe等系統程序，絕對會放在“C:\WINDOWSSystem32”目錄下，
如果使用者在“C:\”或“C:\WINDOWS”根目錄下發現該檔，那就是惡意程式。
此外，如果在系統程序目錄常見的資料夾“System32”下看到一般程序，也必定是惡意程式.

4.例行安檢時　應儘可能關閉所有應用程式
原則上，仍有一些處理程序不會隨著系統開機而啟動，例如IE瀏覽器即為顯例。
使用者可關閉所有應用程式，若仍發現iexplore.exe等一些冒名合法應用程式的執行檔，
即可合理懷疑其為惡意程式。

參考:

• http://tw.myblog.yahoo.com/skyline-gtr34/article?mid=1818&prev=1819&next=1815

engen

回個帖子支持一下！

lhnjk1226

知道了 不錯~~~