系統(tǒng)啟動時的軟肋Winlogon

不可或缺的Winlogon

悟空問道：“教授，今天我們學(xué)習(xí)哪個進(jìn)程啊？”譚教授：“悟空，你每天啟動操作系統(tǒng)的時候，有沒有想過系統(tǒng)的啟動和哪些進(jìn)程有關(guān)呢？”看著悟空抓耳撓腮的樣子，譚教授明白他一定是沒有注意到，于是說：“今天我們就來講解一下這個和系統(tǒng)啟動相關(guān)的進(jìn)程——Winlogon.exe。”

小知識：Winlogon.exe是Windows NT登錄管理器。它用于處理用戶系統(tǒng)的登錄和登錄過程，并且管理用戶的登錄和退出。Winlogon在用戶按下Ctrl+Alt+Del時就激活了，顯示安全對話框。該進(jìn)程在用戶系統(tǒng)中的作用是非常重要的。

看完前面的介紹，經(jīng)常玩游戲的八戒說道：“通過這幾期的學(xué)習(xí)后我發(fā)現(xiàn)，這些高危的進(jìn)程常常被病毒、木馬、后門所利用。木馬文件名都模擬成正常的系統(tǒng)工具名稱，但是文件擴(kuò)展名變成了‘.com’，為什么會這樣呢？”

譚教授解釋道：“是因?yàn)閃indows操作系統(tǒng)執(zhí)行.com文件的優(yōu)先級比.exe文件高的特性。比如木馬命名為Regedit.com，當(dāng)用戶調(diào)用注冊表編輯器Regedit.exe的時候，一般習(xí)慣輸入Regedit，而這時執(zhí)行的并不是微軟的Regedit.exe程序，而是木馬文件Regedit.com，由此也可以看出木馬作者的‘用心良苦’。”

悟空馬上接茬：“怪不得注冊表被加密后，人們將Regedit.exe改為Regedit.com就可以解密了。”譚教授對悟空的表現(xiàn)感到非常的欣慰。

突然悟空又撓著頭說道：“通過前面幾期的講解，我已經(jīng)對這些病毒、木馬迷惑用戶的方法略知一二。那么除了通過相似的名稱，以及改變原有路徑來進(jìn)行以假亂真以外，我常常聽網(wǎng)友說通過進(jìn)程名稱的大小寫也可以進(jìn)行分辨？”

“這個我也經(jīng)常聽說，但是我覺得這樣分辨不科學(xué)，因?yàn)檫M(jìn)程名稱的大小寫是根據(jù)文件名稱的大小寫來決定的。”譚教授解釋道。 
Winlogon.exe也被黑客利用

“有沒有Winlogon.exe這個進(jìn)程直接被惡意程序利用的？”悟空接著問道。

譚教授說：“當(dāng)然有啦，由于winlogon.exe是系統(tǒng)的重要進(jìn)程，所以會被木馬程序所利用。你還記得前幾期我們講的線程插入技術(shù)嗎？國產(chǎn)木馬程序中有一個名為PcShare的木馬程序，它在線程插入的時候就是將自己的進(jìn)程插入到系統(tǒng)的winlogon.exe進(jìn)程中，從而成功的躲過了很多網(wǎng)絡(luò)防火墻的攔截”

沙僧也積極的提問：“那么如何分辨這個Winlogon.exe進(jìn)程是系統(tǒng)進(jìn)程，還是被木馬程序利用的呢？”

譚教授說：“這個很簡單，Winlogon.exe雖然是系統(tǒng)重要的進(jìn)程之一，但是它是一個本地進(jìn)程，所以不會自動要求連接網(wǎng)絡(luò)。如果哪天這個進(jìn)程要求連接網(wǎng)絡(luò)的話，那么這個Winlogon.exe很有可能就是被木馬程序劫持了，需要盡快進(jìn)行病毒的掃描工作。另外通過工具Auto runs來查看通過Winlogon.exe啟動的文件。”

唐僧也問道：“前面說到Winlogon.exe這個進(jìn)程用于處理登錄和注銷任務(wù)，對系統(tǒng)資源占用的情況又是怎樣？”

譚教授：“事實(shí)上這個進(jìn)程的確是必需的，你看在每個系統(tǒng)的進(jìn)程列表中都有它的身影，所以它的大小和用戶登錄的時間有關(guān)。我曾經(jīng)看過這個進(jìn)程占用空間的波動情況，一個是登錄一個小時左右，內(nèi)存占用在1.2MB到8.5MB之間波動。另一個是登錄了40多天的，內(nèi)存占用在1.7MB到17MB之間波動。當(dāng)用戶運(yùn)行一些老的應(yīng)用程序或是通過命令提示符窗口運(yùn)行DOS命令行程序，你就會在進(jìn)程里面發(fā)現(xiàn)它。”

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]