【資訊安全】電腦一般常見程序使用說明(上)

[複製連結] 檢視: 2078|回覆: 4

汪汪小黃

名望的勇者

勇於面對真正的自己才是勇敢 ...

電梯直達

1^#

發表於 07-7-5 17:36:59 |只看該作者 |降序瀏覽大字中字小字正體化简体化

鐵傲日誌:http://blog.gamez.com.tw/54616

原文轉載YAHOO網路

（1）[system Idle Process] 執行緒檔案: [system process] or [system process] 執行緒名稱: Windows記憶體處理系統執行緒描述: Windows頁面記憶體管理執行緒，擁有0級優先。介紹：該執行緒作為單線程執行在每個處理器上，並在系統不處理其他線程的時候分派處理器的時間。它的cpu佔用率越大表示可供分配的CPU資源越多，數字越小則表示CPU資源緊張。　

（2）[alg.exe] 執行緒檔案: alg or alg.exe 執行緒名稱: 應用層閘道服務描述: 這是一個應用層閘道服務用於網路共用。介紹：一個閘道通信插件的管理器，為 “Internet連接共用服務”和 “Internet連接防火牆服務”提供第三方協定插件的支援。

（3）[csrss.exe] 執行緒檔案: csrss or csrss.exe 執行緒名稱: Client/Server Runtime Server Subsystem 描述: 用戶端服務子系統，用以控制Windows圖形相關子系統。介紹: 這個是用戶模式Win32子系統的一部分。csrss代表客戶/伺服器執行子系統而且是一個基本的子系統必須一直執行。csrss用於維持Windows的控制，創建或者刪除線程和一些16位的虛擬MS-DOS環境。

（4）[ddhelp.exe] 執行緒檔案: ddhelp or ddhelp.exe 執行緒名稱: DirectDraw Helper 描述: DirectDraw Helper是DirectX這個用於圖形服務的一個組成部分。簡介：Directx 幫助程式

（5）[dllhost.exe] 執行緒檔案: dllhost or dllhost.exe 執行緒名稱: DCOM DLL Host執行緒描述: DCOM DLL Host執行緒支援基於COM物件支援DLL以執行Windows程式。介紹：com代理，系統附加的dll元件越多，則dllhost佔用的cpu資源和記憶體資源就越多，而8月的“衝擊波殺手”大概讓大家對它比較熟悉吧。

[ 本文最後由汪汪小黃於 07-7-5 05:39 PM 編輯 ]

轉播0 分享0 收藏0

回覆使用道具檢舉

汪汪小黃

名望的勇者

勇於面對真正的自己才是勇敢 ...

2^#

發表於 07-7-5 17:43:07 |只看該作者大字中字小字正體化简体化載入全部圖片

鐵傲日誌:http://blog.gamez.com.tw/54616

原文轉載YAHOO網路
（6）[explorer.exe] 執行緒檔案: explorer or explorer.exe 執行緒名稱: 程式管理描述: Windows Program Manager或者Windows Explorer用於控制Windows圖形Shell，包括開始功能表、任務欄，桌面和檔案管理。介紹：這是一個用戶的shell，在我們看起來就像任務條，桌面等等。或者說它就是資源管理器，不相信你在執行裏執行它看看。它對windows系統的穩定性還是比較重要的，而紅碼也就是找它的麻煩，在c和d根下創建explorer.exe。

（7）[inetinfo.exe] 執行緒檔案: inetinfo or inetinfo.exe 執行緒名稱: IIS Admin Service Helper 描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用於Debug調試除錯。介紹：IIS服務執行緒，藍碼正是利用的inetinfo.exe的緩衝區溢出漏洞。

（8）[internat.exe] 執行緒檔案: internat or internat.exe 執行緒名稱: Input Locales 描述: 這個輸入控制圖示用於更改類似國家設定、鍵盤類型和日期格式。internat.exe在啟動的時候開始執行。它載入由用戶指定的不同的輸入點。輸入點是從註冊表的這個位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 載入內容的。internat.exe 載入“EN”圖示進入系統的圖示區，允許使用者可以很容易的轉換不同的輸入點。當執行緒停掉的時候，圖示就會消失，但是輸入點仍然可以通過控制面板來改變。介紹：它主要是用來控制輸入法的，當你的任務欄沒有“EN”圖示，而系統有internat.exe執行緒，不妨結束掉該執行緒，在執行裏執行internat命令即可。

（9）[kernel32.dll]
執行緒檔案: kernel32 or kernel32.dll 執行緒名稱: Windows殼執行緒描述: Windows殼執行緒用於管理多線程、記憶體和資源。介紹：更多內容流覽非法操作與Kernel32解讀

（10）[lsass.exe] 執行緒檔案: lsass or lsass.exe 執行緒名稱: 本地安全許可權服務描述: 這個本地安全許可權服務控制Windows安全機制。管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程式等。介紹：這是一個本地的安全授權服務，並且它會為使用winlogon服務的授權用戶生成一個執行緒。這個執行緒是通過使用授權的包，例如預設的msgina.dll來執行的。如果授權是成功的，lsass就會產生用戶的進入權杖，權杖別使用啟動初始的shell。其他的由用戶初始化的執行緒會繼承這個權杖的。而windows活動目錄遠端堆疊溢位漏洞，正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩衝區邊界檢查，構建超過1000個"AND"的請求，併發送給伺服器，導致觸發堆疊溢位，使Lsass.exe服務崩潰，系統在30秒內重新啟動。

回覆使用道具檢舉

汪汪小黃

名望的勇者

勇於面對真正的自己才是勇敢 ...

3^#

發表於 07-7-5 17:47:47 |只看該作者大字中字小字正體化简体化載入全部圖片

鐵傲日誌:http://blog.gamez.com.tw/54616

原文轉載YAHOO網路

（11）[mdm.exe] 執行緒檔案: mdm or mdm.exe 執行緒名稱: Machine Debug Manager 描述: Debug除錯管理用於調試應用程式和Microsoft Office中的Microsoft Script Editor腳本編輯器。介紹：Mdm.exe的主要工作是針對應用軟體進行排錯(Debug)，說到這裏，扯點題外話，如果你在系統見到fff開頭的0位元組檔案，它們就是mdm.exe在排錯過程中產生一些暫存檔案，這些檔案在作業系統進行關機時沒有自動被清除，所以這些fff開頭的怪檔案裏是一些尾碼名為CHK的檔案都是沒有用的垃圾檔案，可勻我饃境換岫韻低巢渙加跋臁６?X系統，只要系統中有Mdm.exe存在，就有可能產生以fff開頭的怪檔案。可以按下面的方法讓系統停止執行Mdm.exe來徹底刪除以fff開頭的怪檔案：首先按“Ctrl+Alt+Del”組合鍵，在彈出的“關閉程式”視窗中選中“Mdm”，按“結束任務”按鈕來停止Mdm.exe在後臺的執行，接著把Mdm.exe(在C:WindowsSystem目錄下)改名為Mdm.bak。執行msconfig程式，在啟動頁中取消對“Machine Debug Manager”的選擇。這樣可以不讓Mdm.exe自啟動，然後點擊“確定”按鈕，結束msconfig程式，並重新啟動電腦。另外，如果你使用IE 5.X以上版本流覽器，建議禁用腳本調用(點擊“工具→Internet選項→進階→禁用腳本調用”)，這樣就可以避免以fff開頭的怪檔案再次產生。

（12）[mmtask.tsk] 執行緒檔案: mmtask or mmtask.tsk 執行緒名稱: 多媒體支援執行緒描述: 這個Windows多媒體後臺程式控制多媒體服務，例如MIDI。介紹：這是一個任務調度服務，負責用戶事先決定在某一時間執行的任務的執行。

（13）[mprexe.exe] 執行緒檔案: mprexe or mprexe.exe 執行緒名稱: Windows路由執行緒描述: Windows路由執行緒包括向適當的網路部分發出網路請求。介紹：這是Windows的32位元網路介面服務執行緒檔案，網路用戶端端部件啟動的核心。印象中“A-311木馬(Trojan.A-311.104)”也會在記憶體中建立mprexe.exe執行緒，可以通過資源管理結束執行緒。

（14）[msgsrv32.exe] 執行緒檔案: msgsrv32 or msgsrv32.exe 執行緒名稱: Windows信使服務描述: Windows信使服務調用Windows驅動和程式管理在啟動。介紹：msgsrv32.exe 一個管理資訊視窗的應用程式，win9x下如果音效卡或者顯卡驅動程式配置不正確，會導致死機或者提示msgsrv32.exe 出錯。

（15）[mstask.exe] 執行緒檔案: mstask or mstask.exe 執行緒名稱: Windows計畫任務描述: Windows計畫任務用於設定繼承在什麼時間或者什麼日期備份或者執行。介紹：計畫任務，它通過註冊表自啟動。因此，通過計畫任務程式實現自啟動的程式在系統資訊中看不到它的檔案名，一旦把它從註冊表中刪除或禁用，那麼通過計畫任務啟動的程式全部不能自動執行。win9X下系統啟動就會開啟計畫任務，可以通過雙擊計畫任務圖示－進階－終止計畫任務來停止它自啟動。另外，攻擊者在攻擊過程中，也經常用到計畫任務，包括上傳檔案、提升許可權、種植後門、清掃腳印等。

[ 本文最後由汪汪小黃於 07-7-5 05:54 PM 編輯 ]