摘要:
一、个人上网必要准备和工作步履:1、开一款正版杀毒软件(已升级至最新版本的)这里给大家推荐几款:瑞星,金山,诺顿;这三款杀毒经过我长时间的使用觉得都挺不错的2、开一款正版防火墙软件(已升级至最新版本的)这里给大家推荐几款:瑞星的防火墙,截止目前(2004-10-28)......
摘要:
据瑞星全球反病毒监测网介绍,今日有两个病毒特别值得注意,它们是:“冰河22(trojan.binghe.22)”和“艺术品(i-worm.bracs)”病毒。“冰河22”是著名木马病毒“冰河”的新变种,破坏力极大,利用病毒提供的功能,黑客可以像操作本地电脑一样控制中毒......
详解SvcHost
大家都要知道svchost.exe,是系统必不可少的一个进程,很多服务都会多多少少用到它, 【程序编程相关:
如何突破各种防火墙的防护】 【推荐阅读:
网吧常见漏洞及利用】 但是我想大家也知道,由于它本身特殊性,高明的"黑客们"肯定是不会放过的,前段时间的svchost.exe木马风波,大家应该是记忆犹新吧,而且现在还是有很多机器里都藏有此木马,因为它伪装与系统进程svchost.exe一样,所以很多人分不清,那个是进程,那个是木马.... 【扩展信息:
聊天室的攻防技巧】 好的,还是让我们详尽了解一下svchost.exe进程吧 1.多个服务共享一个 svchost.exe进程利与弊 windows 系统服务分为独立进程与共享进程两种,在windows nt时只有服务器管理器scm(services.exe)有多个共享服务,随着系统内置服务的增加,在windows 2000中ms又把很多服务做成共享方式,由svchost.exe启动.windows 2000一般有2个svchost进程,一个是rpcss(remote procedure call)服务进程,另外一个则是由很多服务共享的一个svchost.exe.而在windows xp中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多,可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势.这样做在一定程度上减少了系统资源的消耗,不过也带来一定的不稳定因素,因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出.另外就是有一点安全隐患,首先要介绍一下svchost.exe的实现机制. 2. svchost原理 svchost本身只是作为服务宿主,并不实现任何服务功能,需要svchost启动的服务以动态链接库形式实现,在安装这些服务时,把服务的可执行程序指向svchost,启动这些服务时由svchost调用相应服务的动态链接库来启动服务. 那么svchost如何知道某一服务是由哪个动态链接库负责呢?这不是由服务的可执行程序路径中的参数部分提供的,而是服务在注册表中的参数设置的,注册表中服务下边有一个parameters子键其中的servicedll表明该服务由哪个动态链接库负责.并且所有这些服务动态链接库都必须要导出一个servicemain()函数,用来处理服务任务. 例如rpcss(remote procedure call)在注册表中的位置是 hkey_local_machinesystemcurrentcontrolsetservicesrpcss,它的参数子键parameters里有这样一项: "servicedll"=reg_expand_sz:"%systemroot%system32 pcss.dll" 当启动rpcss服务时,svchost就会调用rpcss.dll,并且执行其servicemain()函数执行具体服务. 既然这些服务是使用共享进程方式由svchost启动的,为什么系统中会有多个svchost进程呢?ms把这些服务分为几组,同组服务共享一个svchost进程,不同组服务使用多个svchost进程,组的区别是由服务的可执行程序后边的参数决定的. 例如rpcss在注册表中 hkey_local_machinesystemcurrentcontrolsetservicesrpcss 有这样一项: "imagepath"=reg_expand_sz:"%systemroot%system32svchost -k rpcss" 因此rpcss就属于rpcss组,这在服务管理控制台也可以看到. svchost的所有组与组内的所有服务都在注册表的如下位置: hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionsvchost,例如windows 2000共有4组rpcss.netsvcs.wugroup.bitsgroup,其中最多的就是netsvcs=reg_multi_sz:eventsystem.ias.iprip.irmon.netman.
nwsapagent.rasauto.rasman.remoteaccess.sens.sharedaccess.tapisrv.ntmssvc.wzcsvc.. 在启动一个svchost.exe负责的服务时,服务管理器如果遇到可执行程序内容imagepath已经存在于服务管理器的映象库中,就不在启动第2个进程svchost,而是直接启动服务.这样就实现了多个服务共享一个svchost进程. 3. svchost代码 现在我们基本清楚svchost的原理了,但是要自己写一个dll形式的服务,由svchost来启动,仅有上边的信息还有些问题不是很清楚.比如我们在导出的servicemain()函数中接收的参数是ansi还是unicode?我们是否需要调用registerservicectrlhandler与startservicectrldispatcher来注册服务控制及调度函数? 这些问题要通过查看svchost代码获得.下边的代码是windows 2000+ service pack 4 的svchost反汇编片段,可以看出svchost程序还是很简单的. ...
下一页 摘要:
系统漏洞已成为网管的头号难题对于企业用户来说,当内部有一台机器被感染时,疫情马上会扩散到所有存在相应系统漏洞的机器,造成网络变慢、邮件无法正常发送、工作站当机,企业因此无法正常工作,损失很大。防范利用漏洞攻击的病毒的最佳方式就是预先打好补丁,从冲击波、震荡波两个重大漏......
