3-4服務器-端口進程-注冊表

1、Windows 服務、端口、進程和注冊表 Win2000/xp/2003里有許多服務，這些服務都是干什么的，我們需要哪些，不需要哪些呢？1Win32服務程序由3部分組成：服務應用程序：是服務程序的主體程序，是一個或者多個服務的可執(zhí)行代碼。服務控制程序：控制服務應用程序的模塊，是控制服務應用程序同服務管理器之間的橋梁。服務控制管理器：維護著注冊表中的服務數(shù)據(jù)。2注意：這些服務程序很多是互相依存的，所以不能隨便停止某項服務，否則很可能造成系統(tǒng)的非正常情況出現(xiàn)。但是有的服務對我們來說的確沒有什么作用，而且還占據(jù)著系統(tǒng)資源。這些我們用不到的程序，完全可以關閉以節(jié)省資源。另外還可以改變服務的啟動順序，進

2、一步優(yōu)化系統(tǒng)，提高系統(tǒng)運行效率和安全性能。31 優(yōu)化、配置Windows服務 一、 改變Windows服務啟動順序Windows服務的啟動順序可以通過注冊表來實現(xiàn)，Windows服務的注冊信息可以在注冊表的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 鍵下找到。下面就介紹幾個與服務啟動順序相關的服務的鍵值：4Group值：一個REG_SZ類型的值。它用來描述服務屬于哪一個服務組。如果服務沒有這一項，那么它就不屬于任何一個服務組，系統(tǒng)默認其在所有的服務啟動后加載。Tag值：一個REG_DWORD類型的值。它用來描述服務的標識。在服務組中的每

3、一個服務都會被分配一個唯一的標識。注冊表通過服務標識排列來安排同一服務組中各服務的加載先后順序。如何改變服務的啟動順序，現(xiàn)在就被分為了兩個步驟，一是：改變服務組的啟動順序。二是：改變服務組中各服務的啟動順序。5（1）改變服務組的啟動順序注冊表的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlServiceGroupOrder鍵的List值中保存了表示服務組啟動順序的信息。每一個服務組都是一個字符串，字符串在所有值中排列位置表示服務組被加載的先后順序。要想改變服務組的加載順序，只要改變它們的位置就可以了。6（2）改變服務組中各服務的啟動順序HKE

4、Y_LOCAL_MACHINESYSTEMCurrentControlSetControlGroupOrderList鍵下有各服務組中各服務啟動順序的信息。每個服務組信息都被保存為了一個REG_BINARY類型的值，信息解讀的順序是從左到右。要改變服務在組中的加載順序，只要編輯這個二進制串就可以了。7二、禁用不必要的服務 每次啟動Windows 時，總會有一大堆程序或服務被調入到系統(tǒng)的內存中。如果Windows在每次啟動時自動加載和運行這些無用的程序或者服務，將延遲系統(tǒng)的啟動速度，并會占用了許多寶貴的內存資源。為了可以避免這一問題，Windows自身內置了服務管理工具，用戶可以通過它設定Win

5、dows是否、如何調用這些服務。8 在開始設定服務時，需要明確2個注意事項：第一、在改變服務設定前，需要對服務設置信息的注冊表文件進行備份；第二、由于一些服務直接影響到系統(tǒng)中很多硬件和軟件的運行，因此取消它們的自動引導屬性一定要倍加小心。如果對某項服務的功用不是十分了解，或者拿不定主意是否取消它，最好還是先選擇保留該項服務。9 哪些服務應該去掉呢？這依賴于所使用的硬件，以及這些硬件是如何被使用的。下面是幾個建議： （1）檢查不用的硬件。 （2）告別Windows“主題”。（3）關閉警報服務。 （4）加速“專用”PC的運行速度。 （5）“推倒”防火墻。（注意！）（6）取消共享服務。（7）禁止遠程

6、注冊。 （8）禁用Windows幫助。102 Windows服務端口 計算機“端口”是英文port的義譯，可以認為是計算機與外界通訊交流的出口。1、兩種類型的連接服務面向連接服務：需要經過三個階段：數(shù)據(jù)傳數(shù)前，先建立連接，連接建立后再傳輸數(shù)據(jù)，數(shù)據(jù)傳送完后，釋放連接。面向連接服務，可確保數(shù)據(jù)傳送的次序和傳輸?shù)目煽啃浴Ｈ鏣CP，需要服務端口。無連接服務：只有傳輸數(shù)據(jù)階段。只要發(fā)送實體是活躍的，無須接收實體也是活躍的。它的優(yōu)點是靈活方便、迅速，特別適合于傳送少量零星的報文，但無連接服務不能防止報文的丟失、重復或失序。如UDP，需要服務端口。112、端口號有兩種基本分配方式第一種叫全局分配這是一種集

7、中分配方式，由一個公認權威的中央機構根據(jù)用戶需要進行統(tǒng)一分配，并將結果公布于眾。第二種是本地分配，又稱動態(tài)連接，即進程需要訪問傳輸層服務時，向本地操作系統(tǒng)提出申請，操作系統(tǒng)返回本地唯一的端口號，進程再通過合適的系統(tǒng)調用，將自己和該端口連接起來（binding，綁定）。123、端口號分類（1）公認端口（Well Known Ports）：從0到1023，它們緊密綁定（binding）于一些服務。通常這些端口的通訊明確表明了某種服務的協(xié)議。例如：80端口實際上總是HTTP通訊。（2）注冊端口（Registered Ports）：從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁

8、定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動態(tài)端口從1024左右開始。13（3）動態(tài)和/或私有端口（Dynamic and/or Private Ports）：從49152到65535。理論上，不應為服務分配這些端口。實際上，機器通常從1024起分配動態(tài)端口。但也有例外：SUN的RPC端口從32768開始。 系統(tǒng)管理員可以“重定向”端口：一種常見的技術是把一個端口重定向到另一個地址。例如默認的HTTP端口是80，不少人將它重定向到另一個端口，如8080。4、Windows常用默認端口 參見書上表3-1。143 Windows進程 面對Windows系統(tǒng)中那些繁多的進程時，它

9、們都有些什么作用？如果電腦中了木馬，那么哪些是木馬程序？哪些又是系統(tǒng)進程呢？哪些進程可以結束？哪些進程不能結束？這些對于一個網絡安全管理員來說是非常重要的，我們要掌握識別和處理可疑進程的基本技能，這對使用系統(tǒng)和維護系統(tǒng)安全有著非常重要的作用。15一、進程的概念1、進程 進程是程序在計算機上的一次執(zhí)行活動。運行一個程序時，就啟動了一個進程。相對而言，程序是一組代碼，是靜態(tài)的，進程是代碼的執(zhí)行行為，是活的 。16要點：（1）每個進程均運行在其專用且受保護的地址空間內。因此，如果同時運行記事本（notepad.exe）的兩個拷貝，該程序正在使用的數(shù)據(jù)在各自實例中是彼此獨立的。（2）兩個進程共享數(shù)據(jù)的

10、方法：進程通信IPC；內存共享。172、線程 進程又被細化為線程，也就是一個進程下有多個能獨立運行的更小的單位。1）產生多響應效果。2）可以充分使用多處理器。18*623二、進程分析工具簡介1、任務管理器 任務管理器是Windows本身攜帶的一個最快捷的工具?？梢园唇M合鍵Ctrl+Shift+Esc來啟動任務管理器。2、進程觀察器PViewer Pviewer是通過注冊表來檢索進程列表的，但注冊表并非一種控制機制，所以，我們不能通過注冊表殺死一個進程。193、進程樹觀察器Tlist/ Tasklist 可使用tasklist /?來查看使用方法。例如： tasklist /M列出所有其中符合指

11、定模式名的DLL模塊的所有任務。 Tasklist /SVC顯示每個進程中的服務。204、進程瀏覽器Process Explorer 進程活動中另一個重要的信息就是哪個文件被哪個進程打開？進程瀏覽器Process Explorer可解決這個問題。它含蓋了以上我們介紹的3種工具的所有功能。215、依賴關系瀏覽器dependency walker 使用依賴關系瀏覽器（dependency walker）的工具可以確定一個程序運行時裝入了哪些動態(tài)鏈接庫(DLL)。這個工具包含于Windows2000資源工具包中。224 Windows基本進程 Windows必須的進程，這些進程是系統(tǒng)運行的基本條件，

12、有了這些進程，系統(tǒng)就能正常運行，對Windows 2000/XP系統(tǒng)主要有：winlogon.exe、svchost.exe（可以同時存在多個）、explorer.exe、csrss.exe、System Idle Process、smss.exe、services.exe、lsass.exe、spoolsv.exe，而有些進程，比如：systray.exe（顯示系統(tǒng)托盤小喇叭圖標）、ctfmon.exe（微軟Office輸入法）、mstask.exe（計劃任務）、winampa.exe等，卻是可有可無的進程，我們完全可以禁止它們，而不會影響到系統(tǒng)的正常運行。235 svchost.exe進程

13、剖析 Svchost.exe 是從動態(tài)鏈接庫 (DLL) 中運行的服務的通用主機進程名稱。svchost.exe是Windows NT核心系統(tǒng)的最重要的進程之一，但它本身只作為服務宿主，提供條件讓其他服務在這里被啟動，而它自己卻不能提供任何服務。Svhost.exe文件在系統(tǒng)的%systemroot%system32文件夾下。24Windows 2000一般有2個svchost進程，一個是RPCSS（Remote Procedure Call）服務進程，另外一個則是由很多服務共享的一個svchost.exe。Windows XP中，則一般有4個以上的svchost.exe服務進程，Window

14、s 2003 server中則更多，可以看出把更多的系統(tǒng)內置服務以共享進程方式由svchost啟動是微軟的一個趨勢。25一、服務查看 要了解每個svchost進程到底提供了多少系統(tǒng)服務，在WindowsXP則使用“tasklist /svc”命令。26二、原理（1）基本原理: Svchost本身只是作為服務宿主，并不實現(xiàn)任何服務功能，需要Svchost啟動的服務以動態(tài)鏈接庫DLL形式實現(xiàn)，在安裝這些服務時，把服務的可執(zhí)行程序指向svchost，啟動這些服務時由svchost調用相應服務的動態(tài)鏈接庫DLL來啟動服務。27 那么svchost如何知道某一服務是由哪個動態(tài)鏈接庫負責呢？這不是由服務的

15、可執(zhí)行程序路徑中的參數(shù)部分提供的，而是服務在注冊表中的參數(shù)設置的，注冊表中服務下邊有一個Parameters子鍵其中的ServiceDll表明該服務由哪個動態(tài)鏈接庫DLL負責。28(2) Svchost的服務組svchost的所有組和組內的所有服務都在注冊表的如下位置： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost29以rpcss服務為例：找到hkey_local_machine systemcurrentcontrolsetservicesrpcss項；找到類型為“reg_expand_sz”的鍵“Ima

16、gepath”，其鍵值為“%systemroot%system32svchost -k rpcss”；“parameters”子項中有個名為“servicedll”的鍵，其值為“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服務要使用的動態(tài)鏈接庫文件。 這樣 svchost進程通過讀取“rpcss”服務注冊表信息，就能啟動該服務了。30三、優(yōu)缺點優(yōu)點：減少了系統(tǒng)資源的消耗。缺點：不穩(wěn)定因素，因為任何一個共享進程的服務因為錯誤退出進程就會導致整個進程中的所有服務都退出。svchost.exe型木馬病毒隱患。31四、 安裝服務與設置 要通過

17、svchost調用來啟動的服務，就一定要在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下有該服務名，這可以通過如下方式來實現(xiàn)：（1） 添加一個新的服務組，在組里添加服務名；（2） 在現(xiàn)有組里添加服務名；（3） 直接使用現(xiàn)有服務組里的一個服務名，但本機沒有安裝的該服務；（4） 修改現(xiàn)有服務組里的現(xiàn)有服務，把它的ServiceDll指向自己。326 基于進程的木馬病毒查殺 因為svchost進程能夠啟動各種服務，所以病毒、木馬也想盡辦法利用它，企圖利用它的特性來迷惑用戶，達到感染、入侵、破壞的目的。下面介紹幾個

18、典型的基于進程加載的木馬病毒的查殺方法。33一、查殺“Falling Star”雙進程木馬 許多木馬和一些防護工具采用了雙進程保護手段，例如“Falling Star”木馬就采用雙進程模式，下面來看看如何發(fā)現(xiàn)它們。第一步：打開“任務管理器”。發(fā)現(xiàn)兩個“陌生進程”（和系統(tǒng)基本進程名稱相似?。骸癷nternet.exe”和“systemtray.exe”。 第三步：在嘗試結束進程時，第一次選擇“systemtray.exe”來結束進程樹，結果進程馬上就再生了，任務管理器中又顯示出這兩個進程。于是再次選擇“internet.exe”，然后結束進程樹。進程沒有再生，從而將木馬進程從系統(tǒng)中清除。34二

19、、查殺偽裝系統(tǒng)進程木馬 許多病毒和木馬為避免從進程名稱中發(fā)現(xiàn)它們的蹤影，往往會采用“障眼法”，使用和系統(tǒng)文件或系統(tǒng)進程名稱類似的進程名稱。1、文件名偽裝（1）修改常見程序或進程個別字符（2）修改擴展名2、 路徑偽裝35三、進程優(yōu)化，肅清惡意進程 除系統(tǒng)運行必須的基本進程外，每個程序運行后都會在系統(tǒng)中生成進程，每個進程都會占用一定的CPU資源和內存資源。過多的進程和一些設計不良的進程就會導致系統(tǒng)變慢、性能下降，從而應該對它們進行優(yōu)化，更重要的是經常性的優(yōu)化可以及時發(fā)現(xiàn)病毒，從精簡的進程列表中容易發(fā)現(xiàn)病毒。361、精簡進程 系統(tǒng)中的一些進程并不是必須的，結束它們并不會對系統(tǒng)造成什么損害。2、殺死不

20、良進程 有時會發(fā)現(xiàn)系統(tǒng)運行速度特別慢，這時可打開任務管理器，單擊“進程”標簽，點擊“CPU”列標簽讓進程按CPU資源占用排序，可以很明顯地看到資源占用最高的程序。同樣方法，可以點擊“內存”列標簽，查看那些內存占用大戶，及時結束進程。3、優(yōu)化軟件性能 可以通過改變軟件進程優(yōu)先級來提高其性能，這樣能使它們運行得更快，當然負作用就是可能影響到其他正在運行的進程。377 Windows注冊表解析 一、 注冊表概述 Win3.x中，對軟硬件工作環(huán)境的配置是通過對擴展名為.ini的文件進行修改來完成的，但INI文件管理起來很不方便。 為了克服上述這些問題，在Windows95及其后繼版本中，采用了一種叫做

21、“注冊表”(Registry)的數(shù)據(jù)庫來統(tǒng)一進行管理，將各種信息資源集中起來并存儲各種配置信息。381、 注冊表的作用和特點 注冊表中存放著各種參數(shù)，直接控制著 Windows 的啟動、硬件驅動程序的裝載以及一些 Windows應用程序的運行，從而在整個系統(tǒng)中起著核心作用。它包括：39（1）軟、硬件的有關配置和狀態(tài)信息，注冊表中保存有應用程序和資源管理器外殼的初始條件、首選項和卸載數(shù)據(jù)。（2）聯(lián)網計算機的整個系統(tǒng)的設置和各種許可，文件擴展名與應用程序的關聯(lián)，硬件部件的描述、狀態(tài)和屬性。（3）性能記錄和其它底層的系統(tǒng)狀態(tài)信息，以及其它數(shù)據(jù)。40 如果注冊表受到了破壞，輕者使 Windows的啟動

22、過程出現(xiàn)異常，重者可能會導致整個系統(tǒng)的完全癱瘓。41注冊表具有以下特點：（1）注冊表允許對硬件、系統(tǒng)參數(shù)、應用程序和設備驅動程序進行跟蹤配置，這使得修改某些設置后不用重新啟動成為可能。（2）注冊表中登錄的硬件部分數(shù)據(jù)可以支持高版本Windows的即插即用特性。當Windows檢測到機器上的新設備時，就把有關數(shù)據(jù)保存到注冊表中。另外，還可以避免新設備與原有設備之間的資源沖突。（3）管理人員和用戶通過注冊表可以在網絡上檢查系統(tǒng)的配置和設置，使得遠程管理得以實現(xiàn)。422 、注冊表結構1）注冊表文件（1）Windows 95/98，注冊表文件是：System.dat和User.dat。System.d

23、at包含系統(tǒng)硬件和軟件的設置，User.dat保存著與用戶有關的信息，例如資源管理器的設置，顏色方案以及網絡口令等等。43（2）Windows 2000的注冊表分為兩個部分： 用戶配置文件保存在根目錄“Documents and Settings”下的用戶名的目錄中，包括Ntuser.dat和Ntuser.ini兩個隱藏文件及Ntuser.log日志文件。 系統(tǒng)配置文件位于Windows 2000系統(tǒng)目錄下的“system32config”中，包括Default、Software、System、Appevent.evt、Secevent.evt、Sysevent.evt等多個隱藏文件及其相應的

24、log文件和.sav文件。這些注冊表文件在Windows 2000運行時無法使用其他工具打開。442）注冊表鍵和子鍵 注冊表通過主關鍵字（最上層的為“根鍵”，例如：HKEY_CURRENT_USERS就是一個根鍵，標題欄上也有顯示）和子鍵來管理各種信息。注冊表中的所有信息是以各種形式的“鍵值項數(shù)據(jù)”保存下來。所有的關鍵字都是以“HKEY”作為前綴開頭。453）注冊表中的“鍵值數(shù)據(jù)項”的類型 注冊表通過鍵和子鍵來管理各種信息。但是注冊表中的所有信息都是以各種形式的鍵值項數(shù)據(jù)保存的。在注冊表編輯器右窗格中顯示的都是鍵值項數(shù)據(jù)。這些鍵值項數(shù)據(jù)可以分為三種類型：46（1）二進制(BINARY) 在注冊

25、表中，二進制是沒有長度限制的，可以是任意個字節(jié)的長度。在注冊表編輯器中，二進制數(shù)據(jù)以十六進制的方式顯示出來。雙擊鍵值名，出現(xiàn)“編輯二進制數(shù)值”對話框，我們還可以在二進制和十六進制之間進行切換。（2）DWORD值(DWORD) DWORD值是一個32位（4個字節(jié)，即雙字）長度的數(shù)值。在注冊表編輯器中，系統(tǒng)以十六進制的方式顯示DWORD值。在編輯DWORD數(shù)值時，可以選擇用二進制、十進制或是十六進制的方式進行輸入。47（3）字符串值(SZ) 在注冊表中，字符串值一般用來表示文件的描述、硬件的標識等。通常它由字母和數(shù)字組成。下圖文本輸入欄中的內容即為一個鍵值，它是一種字符串值類型。通過鍵值名、鍵值就

26、可以組成一種鍵值項數(shù)據(jù)，這就相當于Win.ini、System.ini文件中小節(jié)下的設置行。其實，使用注冊表編輯器將這些鍵值項數(shù)據(jù)導出后，其形式與.ini文件中的設置完全一樣。483 、注冊表簡單剖析 下面主要以Windows 2000的注冊表為例簡單剖析一下注冊表各根鍵的主要內容。1） HKEY_LOCAL_MACHINE根鍵 HKEY_LOCAL_MACHINE根鍵中存放的是用來控制系統(tǒng)和軟件的設置。由于這些設置是針對那些使用Windows系統(tǒng)的用戶而設置的，所以它與具體用戶無關，它是一個公共配置信息。HKEY_LOCAL_MACHINE包括了如下五個子鍵：49（1）HARDWARE子鍵：

27、該子鍵下面存放一些有關超文本終端、數(shù)學協(xié)處理器和串口等信息。（2）SAM子鍵：系統(tǒng)自動將其保護起來。（3）SECURITY子鍵：包含了安全設置的信息，同樣也讓系統(tǒng)保護起來。50（4）SOFTWARE子鍵：該子鍵中保留的是所有已安裝的32位應用程序的信息。各個程序的控制信息分別安裝在相應的子鍵中。由于不同的機器安裝的應用程序互不相同，因此這個子鍵下面的子鍵信息會有很大的差異。（5）SYSTEM子鍵：該子鍵存放的是啟動時所使用的信息和修復系統(tǒng)時所需的信息，其中包括各個驅動程序的描述信息和配置信息等。System子鍵下面有一個CurrentControlSet子鍵，系統(tǒng)在這個子鍵下保存了當前的驅動程

28、序控制集的信息。512）HKEY_CLASSES_ROOT根鍵HKEY_CLASSES_ROOT根鍵中記錄的是Windows操作系統(tǒng)中所有數(shù)據(jù)文件的信息，主要記錄不同文件的文件名后綴和與之對應的應用程序。當用戶雙擊一個文檔時，系統(tǒng)可以通過這些信息啟動相應的應用程序。HKEY_CLASSES_ROOT根鍵中存放的信息與HKEY_LOCAL_MACHINESoftwareClasses分支中存放的信息是一致的。3）HKEY_CURRENT_CONFIG根鍵如果你在Windows中設置了兩套或者兩套以上的硬件配置文件（Hardware Configuration File），則在系統(tǒng)啟動時將會讓用戶選擇使用哪套配置文件。而HKEY_CURRENT_CONFIG根鍵中存放的正是當前配置文件的所有信息。524）HKEY_CURRENT_USER根鍵 HKEY_USERS根鍵中保存的是默認用戶（.DEFAULT）、當前登錄用戶與軟件（Software）的信息。它的下面有三個子鍵：.DEFAULT子鍵、S-1