返回
操作系统基本监控.ppt

操作系统基本监控.ppt

ID:56433191

大小:318.50 KB

页数:31页

时间:2020-06-18

操作系统基本监控.ppt_第1页
操作系统基本监控.ppt_第2页
操作系统基本监控.ppt_第3页
操作系统基本监控.ppt_第4页
操作系统基本监控.ppt_第5页
资源描述:

《操作系统基本监控.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Windows操作系统 基本监控烟台大学网络中心万红波内容WindowsXP操作系统的层次结构操作系统的启动、引导过程进程的基本概念进程监控病毒进程隐藏常用进程病毒进程的隐藏启动WindowsXP操作系统层次结构操作系统是由内核(kernel)和外壳(shell)两部分组成的;内核负责一切实际的工作,包括cpu任务调度、内存分配管理、设备管理、文件操作等;外壳是基于内核提供的交互功能而存在的界面,它负责指令传递和解释;WindowsXP操作系统层次结构启动过程-预引导打开计算机电源后,预引导过程就开始运行;计

2、算机硬件首先要完成加电自检(Power-OnSelfTest,POST);对计算机中安装的处理器、内存等硬件进行检测;启动过程-引导阶段初始化引导载入程序(BIOS):提前加载的程序,准备读取硬盘上的操作系统加载程序,比如对于WindowsXP的加载NTLDR,在系统盘的根目录下;操作系统选择-多系统的时候,需要选择要加载的操作系统,记录在BOOT.INI文件中;NTLDR加载NTDETECT.COM文件,由它来检测机器硬件,如并行端口,显示适配器等等,并将收集到的硬件列表返回NTLDR用于以后在注册表中注册

3、保存。NTLDR开始装载WindowsXP内核NTOSKRNL.EXE。内核文件位于XP安装文件夹下的SYSTEM32文件夹中。启动过程-启动服务-登录内核完成初始化,NTLDR将控制权转交WindowsXP内核;装载并初始化设备驱动程序启动WIN32子系统启动WindowsXP服务进入登录界面为什么WindowsXP的启动速度要比Windows2000快所有不重要的设备驱动和服务都将在用户登录系统之后才加载和运行;用户登录后系统才开始加载非关键组件;进程操作系统中运行的所有程序,都是以进程的形式来显示;病毒

4、和木马存在于系统中的时候,在进程中也有所反映,监控系统中的进程,可以发现系统中存在的问题;木马程序进程的基本分类:服务进程用户程序进程使用ProcessExplorer进程监控WindowsXP核心系统进程层次结构smss.exe(SessionManagerSubsystem),该进程为会话管理子系统用以初始化系统变量,调用Win32壳子系统和运行Windows登陆过程。csrss.exe是微软客户端/服务端运行时子系统,该进程管理Windows图形相关任务。winlogon.exe是WindowsXP登录

5、管理器,位于C:WindowsSystem32目录下,主要用于管理XP用户的登录和退出,处理用户登录和注销任务。services.exe进程,用于管理启动和停止服务,所有服务进程都作为该进程的子进程;lsass.exe是一个系统进程,用于微软Windows系统的安全机制,用于本地安全和登陆策略,并且负责显示登录界面;登录后,系统启动userinit.exe进程,该进程负责启动其他相关服务,比如启动网络连接,最后启动Windows外壳界面程序(explorer.exe),然后该进程退出;explorer.e

6、xe进程,Windows资源管理器,Windows图形界面外壳程序,所有用户启动的非服务类程序都作为该进程的子进程;病毒进程病毒要在计算机中运行,在系统中必然存在进程;病毒都要以某种方式隐藏自身进程;以假乱真偷梁换柱借尸还魂病毒进程隐藏-以假乱真将系统中正常的进程修改一下名字,迷惑用户系统中正常存在的进程:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe改名后的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin

7、.exe病毒进程隐藏-偷梁换柱跟常见的系统进程名字相同,但是可执行文件的位置不同;比如,正常的svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下;病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异;病毒进程隐藏-借尸还魂病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了;必须使用杀毒软

8、件进行检测;常用系统进程-svchost.exe随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动;在WindowsXP中,则一般有4-5个svchost.exe服务进程;如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的;svchost.exe的可执行文件路径在“C:WINDOWSsystem32”目

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。