第一回:不被关注的services.exe
网络安全
危险等级:★★★★
曾经案例:在2004年危害全球的“网络天空”病毒,运行后首先在本地创建一个名为“[SkyNet.cz]SystemsMutex.”的互斥量,保证只运行病毒的一个副本,接着复制自己为windows目录下的services.exe文件,然后修改注册表实现自启动。在基于Windows 2000的计算机上,Services.exe中的CPU使用率可能间歇性地达到100%,并且计算机可能出现假死。
谭教授在简单地了解了唐僧师徒每个人的计算机水平后发现,虽然每个人都能够进行简单的计算机操作。但是当系统遇到各种问题,尤其是遇到病毒、黑客攻击时,每个人都显得束手无策。于是针对他们的特点,编排了全新的授课内容,这其中首先就将为他们讲解系统中的高危系统进程。
一般情况下,我们将计算机中的进程分为系统进程和用户进程两种。系统进程用来支持系统基本的运行环境;用户进程是可以随时创建关闭的,它们的创建和关闭并不会影响到系统的正常运行,比如应用程序Winamp的进程。
小知识:services.exe是微软Windows操作系统的一部分,是最常见的系统进程之一。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的,系统禁止结束该进程。大多数的系统核心模式进程是作为系统进程在运行的。打开管理工具中的服务后,都是在调用%systemroot%\system32\service.exe。
系统进程会被病毒利用
“教授,这个进程如果被病毒利用,那么我们如何分别查看这些进程呢?”悟空急忙问道。教授停顿了一下讲道:“通常情况下,要查看自己系统中的当前进程,有两种方法。一是在状态栏上选择‘任务管理器’命令,接着在‘进程’标签中就可以查看到当前的进程情况。如果想让显示的进程情况更加详细,可以点击‘查看’菜单中的‘选择列’命令,在弹出的窗口中设置在进程列表中显示的列(图1);二是我们也可以在命令提示符窗口执行命令‘Tasklist’(图2)。”
小贴士:除此以外,由于系统中的进程除了正常的进程之外,还有一些可能是病毒、木马、流氓软件这些恶意程序的进程。他们的运行不但占用了大量的系统资源,还可能影响系统的安全运行,所以大家一定要及时检查自己的系统进程,将不需要的进程结束。
系统进程必不可少
唐僧听完教授的讲解,不紧不慢接着问道:“除了会被病毒利用之外,services.exe这个进程还有什么危害吗?”“当然有,由于现在的恶意程序很多都是利用系统服务来进行随机启动,利用services.exe这个进程就可以启动恶意程序的服务项,你说有没有危险呢?”教授微笑着回答唐僧的问题。
“从上面的介绍来看,services.exe这个进程好像被利用的时间多,真正被系统使用的时候却寥寥无几啊。”沙和尚不由得发出感叹。
“其实不然,services.exe毕竟是一个系统的关键进程,这个进程虽然表面上看上去直接使用的几率不大,但是有很多系统服务的正常使用都是和它紧密相联的。换句话说,如果services.exe进程出现了问题,那么这些系统服务都不能正常地运行了,比如系统服务Alerter、Event Log、Messenger、Plug and Play等。在‘我的电脑’图标上点击鼠标右键选择‘管理’命令,接着在弹出的‘计算机管理’窗口中选择‘服务’选项,然后找到并双击‘Plug and Play’服务(图3)。在弹出的服务属性对话框中可以看到该服务的‘可执行文件的路径’为‘C:\WINDOWS\system32\services.exe’,所以说services.exe并不是邪恶的化身。”
八戒这时突然大声问了一句:“教授,发现不需要的进程如何清除啊?”教授回答道:“查看进程和结束进程是相辅相成的,所以要结束进程也有两种常用的方法。在任务管理器的‘进程’标签中找到需要的进程,选择右键菜单中的‘结束进程’按钮即可;或者在命令提示符窗口执行‘Taskkill’命令。不过推荐大家使用‘Taskkill’命令来结束进程,因为有的进程在任务管理器中不能清除。”。
回答完唐僧师徒的问题,教授一看差不多了,怕第一节课讲太多唐僧师徒接受不了,说:“今天简单地讲解了一下进程的基础知识,同时也简单地讲解了services.exe这个进程,回去好好复习啊!”