今天我们要讲的是系统进程和系统服务的安全,大家知道系统进程和系统服务是什么吗?进程是应用程序的运行实例,进程是应用程序的一次运行,我们理解得更简单一点就是操作系统当前运行的执行程序。系统当前运行的执行程序会有哪些呢?包括系统里所需要的各种系统程序,用户开启的,加载在注册表的程序,一些额外的应用程序等等,这些运行了之后都会被加载到系统进程里面,好,现在再来简单介绍一下系统服务


    什么是系统服务呢?系统服务是在后台运行的应用程序,通常是在系统启动的时候,会把这些应用程序在后台加载,系统服务和系统进程是什么关系呢?系统服务是后台运行的应用程序,运行起来会在系统进程里面显示,也可以说,系统进程是在前台显示的,而系统服务是在后台运行,当然也有很多应用程序是没有被加载成服务的,所以说有系统服务的程序肯定会在系统进程里面运行,但是系统进程里面的程序不一定会在系统服务里面,现在我们回过头来先讲系统进程,完了之后再讲系统服务,系统进程除了会运行系统自身的系统应用程序之外,它还会运行用户执行的任何程序,当然有些应用程序还会自动运行,这些自动运行的程序当中有很多是恶意的病毒或者是蠕虫之类的黑客程序,对于系统进程的安全来说,如何分辨一些正常与恶意的程序是我们工作的重中之重。

呵呵,那现在我们就告诉大家哪些是系统正常的进程

最基本的系统进程列表:  
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
ervices.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)  
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
Explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少):  
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉   
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)   
支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)   
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)   
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)   
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)   
llssrv.exe License Logging Service(system service)   
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)   
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)   
locator.exe 管理 RPC 名称服务数据库。(系统服务)   
lserver.exe 注册客户端许可证。(系统服务)   
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)   
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)   
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)   
faxsvc.exe 帮助您发送和接收传真。(系统服务)   
cisvc.exe Indexing Service(system service)   
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)   
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)   
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)   
smlogsvc.exe 配置性能日志和警报。(系统服务)   
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)   
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)   
RsFsa.exe 管理远程储存的文件的操作。(系统服务)   
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务)   
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)   
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)   
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序   。(系统服务) UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)   
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)


这是一份正常的系统进程的列表,里面又对进程进行介绍的资料。


    除了这些正常的系统进程之外,还会有些什么类型的进程呢?很多IT和软件公司开发的软件都会被加载到进程里,比如QQ,MSN,暴风影音等等,都会在系统进程里面运行了,然后除了这些正常的软件之外,还有一些恶意的进程程序是需要我们关注的,在进程的安全管理方面一定要注意,那这些恶意的程序包括哪些呢?我讲得更细致一点,木马,病毒,蠕虫病毒,广告软件,间谍软件,恶意共享软件等等,我们一一来介绍一下。
   
    木马全称是特洛伊木马,《特洛伊》这部电影大家看过了吧?讲的是古希腊的特洛伊木马战争的故事,木马顾名思义就是一种潜藏的网络病毒程序,等时机成熟了,就出来搞破坏,传染方式主要通过绑定一些正常的应用程序,或者绑定在网页上,变成网页木马,只要用户访问这个网页就会被运行这个木马,这种病毒的特性会修改注册表,驻留内存,向外传送信息,开机自动运行,这种木马通常是需要黑客在远程进行遥控,当然也有木马是可以自动把电脑里面的资料向外传送的,比如,网游木马,就会自动记录用户的网游账号,以邮件的方式发送到黑客的邮箱里面,这种是不需要黑客来进行控制的,好,我们再来讲讲计算机病毒,常规意义上的计算机病毒是可以在电脑里面自我复制,并对系统进行破坏的程序,这种程序在互联网诞生之前就有了,在互联网诞生之后,更多的黑客把病毒增加了可以利用网络漏洞进行网络传播的能力,新的病毒被成为蠕虫病毒,所以大家要搞清楚病毒和蠕虫病毒的区别


    那什么是广告软件呢?也是我们俗称的流氓软件,但这种流氓软件主要是弹窗的作用,而另外一种流氓软件会把用户的电脑信息,隐私数据等传送出去,这种流氓软件的官方名称是间谍软件,除了我们目前讲的这些恶意程序之外,还有另外一类非常特殊,也非常神秘莫测的一类后门程序,这类程序会被很多高深的黑客所利用,这类程序被成为内核级别后门,这类程序通常在系统进程里面看不到,所以你运用一般的黑客技术是很难察觉的,听我慢慢道来,这类程序通常会用DLL文件来注入到一些正常的进程中,由于DLL文件在进程里面是不显示的,所以你看不到它们,那我们怎么能判断呢?相信这也是很多人急切想知道的,我们有两种方式可以看到,一种是采取手工的方式,另一种是软件来查看
我们先讲一下手工的方式,大家打开注册表


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls


WIN XP和WIN 2003都可以,都是同样的位置,大家看看这张图

红盟idc技术培训群—安全培训(四)_系统


我打开了其中一个键值,这里面显示的数值数据是“2”,那这就是说明这个DLL被两个程序调用,而且大家要知道DLL程序是被rundll32.exe来调用的,正常的XP下的RUNDLL32.EXE是运行在C:\WINDOWS\SYSTEM32下的,如果不是,或者名字不一样那就是非正常的程序,当然,完全通过手工的方式来判断是蛮累的一件事情,还需要很多经验的配合,所以对于大家来说,我建议采用软件的方式来检测,这款软件相信不少都用过的
,软件的名称是冰刃,英文名是ICESWORD,这款软件功能很强大,对于一些DLL注入进程的木马,SYS内核木马都能被查出来


红盟idc技术培训群—安全培训(四)_系统_02


    在这个软件的进程里,选择其中一个程序,然后点右键查看“模块信息”就能看到里面被加载的DLL和DRV等程序,然后在内核模块里面能看到哪些程序被哪些DLL或者是SYS驱动文件调用的,一目了然


红盟idc技术培训群—安全培训(四)_系统_03


    这里面的disk.sys等文件都是内核级程序,通过这软件是能够对进程里面的程序进行有效的监控,关于系统进程方面其实还有很多深入的东西太多,今天先让大家了解一些简单的,一下子太深入怕大家很难掌握,后面如果大家有需要我们可以就系统进程的恶意程序做更深入的讲解,好,现在我们来讲讲系统服务的知识,系统服务要比系统进程简单很多,因为大部分的程序都不会加载到系统服务当中,所以一台正常的服务器,里面的服务大部分都是系统自带的,所以如果是非系统的服务,一眼就能看出来,我们前面简单讲了系统服务的介绍,现在我们来更一步讲一下系统服务的知识,系统服务相比系统进程来说,要更接近系统底层,我们一般听人说是搞系统底层开发的,就知道这人肯定是很牛的,因为系统底层开发是非常复杂的事情,搞不好系统就会崩溃,但是我们也只是知道底层开发这个概念,现在我们来讲讲系统服务和底层开发的一些技术,通常一些底层的程序开发好之后,运行起来都会加载到系统服务里面,因为之所以要用到系统底层开发技术,就是想要让程序长时间持续的在系统当中运行,而且还要不被其它程序轻易就给停掉。所以加载成系统服务就成了正常的事情,所以像一些需要长时间运行的WEB服务程序和数据库服务程序都会被加载到系统服务当中的。

那系统服务都有哪些功能呢?

1、用户可以在系统服务里面启动,停止,暂停,恢复,禁用某些服务。

2、可以管理本地和远程的系统服务。

3、设置一些服务失败或崩溃的时候可以进行故障恢复操作。

这样即使一些底层开发的程序出现问题,也可以及时把系统恢复正常,具体可以通过重启系统服务和重启服务器来恢复操作。

4、可以为一些特定的硬件配置文件启动和停止以及禁用的操作。

5、可以查看到每个服务的运行状况和服务描述。

好,我们现在再来看看操作系统中系统服务的内容

01.显示名称:alerter
◎进程名称:svchost.exe -k LocalService   
◎微软描述:通知所选用户和计算机有关系统管理级警报。如果服务停止,使用管理警报的程序将不会收到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。   
◎补充描述:警报器。该服务进程名为Services.exe,一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrativealerts),除非你的计算机用在局域网络上。   
◎默认:禁用 建议:禁用
02.显示名称:Application Layer Gateway Service   
◎进程名称:alg.exe -k Local Service  
◎微软描述:为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持。   
◎补充描述:XP SP2自带的防火墙,如果不用可以关掉。   
◎默认:手动(已启动) 建议:禁用   
03.显示名称:Application Management   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:提供软件安装服务,诸如分派,发行以及删除。   
◎ 补充描述:应用程序管理。从Windows2000开始引入的一种基于msi文件格式的全新有效软件管理方案:程序管理组件服务。该服务不仅可以管理软件的安装、删除,还可以使用此服务修改、修复现有应用程序,监视文件复原并通过复原排除基本故障等,软件安装变更的服务。   ◎默认:手动 建议:手动   
04.显示名称:Automatic Updates   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:允许下载并安装 Windows 更新。如果此服务被禁用,计算机将不能使用 Windows Update 网站的自动更新功能。   
◎补充描述:自动更新,手动就行,需要的时候打开,没必要随时开着。 不过2005年4月12日以后微软将对没有安装SP2的WindowsXP操作系统强制安装系统补丁SP2。   
◎默认:自动 建议:手动   
05.显示名称:Background Intelligent Transfer Service   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:在后台传输客户端和服务器之间的数据。如果禁用了 BITS,一些功能,如 Windows Update,就无法正常运行。
◎补充描述:经由HTTP1.1在背景传输资料的东西,例如 Windows Update 就是以此为工作之一。这个服务原是用来实现http1.1服务器之间的信息传输,微软称支持windows更新时断点续传。   
◎默认:手动 建议:手动   
06.显示名称:ClipBook   
◎进程名称:clipsrv.exe   
◎微软描述:启用“剪贴簿查看器”储存信息并与远程计算机共享。如果此服务终止,“剪贴簿查看器” 将无法与远程计算机共享信息。如果此服务被禁用,任何依赖它的服务将无法启动。   
◎补充描述:剪贴簿。把剪贴簿内的信息和其它台计算机分享,一般家用计算机根本用不到。   
◎默认:禁用 建议:禁用   
07.显示名称:COM+ Event System   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:支持系统事件通知服务(SENS),此服务为订阅组件对象模型(COM) 组件事件提供自动分布功能。如果停止此服务,SENS 将关闭,而且不能提供登录和注销通知。如果禁用此服务,显式依赖此服务的其他服务将无法启动。   
◎补充描述:COM+ 事件系统。有些程序可能用到 COM+ 组件,如自己的系统优化工具BootVis。检查系统盘的目录“C:\ProgramFiles\ComPlus Applications”,没东西可以把这个服务关闭。   
◎默认:手动(已启动) 建议:手动   
08.显示名称:COM+ System Application   
◎进程名称:dllhost.exe /Processid:   
◎微软描述:管理 基于COM+ 组件的配置和跟踪。如果服务停止,大多数基于COM+ 组件将不能正常工作。如果本服务被禁用,任何明确依赖它的服务都将不能启动。   
◎ 补充描述:如果 COM+ Event System 是一台车,那么 COM+ SystemApplication 就是司机,如事件检视器内显示的 DCOM 没有启用,则会导致一些 COM+软件无法正常运行。检查系统盘的目录“C:\Program Files\ComPlus Applications”,没东西可以把这个服务关闭。   
◎默认:手动 建议:手动   
09.显示名称:Computer Browser   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。   
◎补充描述:计算机浏览器。一般家庭用计算机不需要,除非你的计算机应用在局域网之上。   
◎默认:自动 建议:手动   
10.显示名称:Cryptographic Services   
◎进程名称:svchost.exe -k netsvcs  
◎ 微软描述:提供三种管理服务: 编录数据库服务,它确定 Windows 文件的签字; 受保护的根服务,它从此计算机添加和删除受信根证书机构的证书;和密钥(Key)服务,它帮助注册此计算机获取证书。如果此服务被终止,这些管理服务将无法正常运行。如果此服务被禁用,任何依赖它的服务将无法启动。   
◎补充描述:简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证服务,例如你使用 Automatic Updates,升级驱动程序,你就会需要这个。   
◎默认:自动 建议:自动   
11.显示名称:DCOM Server Process Launcher   
◎进程名称:svchost -k DcomLaunch   
◎微软描述:为 DCOM 服务提供加载功能。  ◎补充描述:SP2新增的服务,DCOM(分布式组件对象模式),关闭这个服务会造成很多手动服务无法在需要的时候自动启动,很麻烦。 关闭这个服务还有以下现象:比如一些软件无法正常安装,flashmx ,还有些打印机的驱动无法安装,都提示错误“RPC服务器不可用”。   
◎默认:自动 建议:自动   
12.显示名称:DHCP Client   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:通过注册和更改 IP 地址以及 DNS 名称来管理网络配置。   
◎补充描述:DHCP 客户端。没有固定IP的的用户还是开着吧,否则上不了网,特别是小区光纤用户。   
◎默认:自动 建议:手动   
13.显示名称:Distributed Link Tracking Client   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:在计算机内 NTFS 文件之间保持链接或在网络域中的计算机之间保持链接。   
◎补充描述:分布式连结追踪客户端。用于局域网更新连接信息,比如在电脑A有个文件,在B做了个连接,如果文件移动了,这个服务将会更新信息。对于绝大多数用户来说,形同虚设,可以关闭,特殊用户除外。占用4兆内存。   
◎默认:自动 建议:手动   1
4.显示名称:Distributed Transaction Coordinator   
◎进程名称:msdtc.exe   
◎微软描述:协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果停止此服务,则不会发生这些事务。如果禁用此服务,显式依赖此服务的其他服务将无法启动。   
◎补充描述:分布式交换协调器。一般家庭用计算机用不太到,除非你启用的Message Queuing。   
◎默认:手动 建议:手动   
15.显示名称:DNS Client   
◎进程名称:svchost.exe -k NetworkService   
◎微软描述:为此计算机解析和缓冲域名系统 (DNS) 名称。如果此服务被停止,计算机将不能解析 DNS 名称并定位 Active Directory 域控制器。如果此服务被禁用,任何明确依赖它的服务将不能启动。   
◎补充描述:DNS 客户端。另外IPSEC需要用到。DNS解析服务。事实上,一个网站并不是只有一台服务器在工作,基于安全性考虑,停止。
◎默认:自动 建议:自动   
16.显示名称:Error Reporting Service   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:服务和应用程序在非标准环境下运行时允许错误报告。   
◎补充描述:微软的应用程序错误报告服务,对于大多数用户来说也没什么用处。这个服务每当在在使用微软的软件时如果发生了错误,系统会自动将错误代码作为一个备份文件,并且询问你是否要把文件发送至微软以寻求帮助?由于普通用户与微软总部联系的机会实在是很少.  ◎默认:自动 建议:禁用   
17.显示名称:Event Log   
◎进程名称:services.exe   
◎微软描述:启用在事件查看器查看基于 Windows 的程序和组件颁发的事件日志消息。无法终止此服务。   
◎补充描述:事件查看器。允许事件讯息显示在事件检视器之上。   
◎默认:自动 建议:自动   
18.显示名称:Fast User Switching Compatibility   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:为在多用户下需要协助的应用程序提供管理。   
◎补充描述:另外像是注销画面中的切换使用者功能,一般建议采用默认手动,否则可能很多功能实现。如果你基于安全性考虑,并且不使用多用户环境,可以停止。   
◎默认:手动(已启动) 建议:手动   
19.显示名称:Help and Support   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。   ◎补充描述:如果不使用就关了吧,现实中证明没有多少人需要它,除非有特别需求,否则建议停用。   
◎默认:自动 建议:手动   20.显示名称:HTTP SSL   
◎进程名称:svchost.exe -k HTTPFilter   
◎微软描述:此服务通过安全套接字层(SSL)实现 HTTP 服务的安全超文本传送协议(HTTPS)。如果此服务被禁用,任何依赖它的服务将无法启动。   
◎补充描述:SP2新增的服务,默认就是手动,实际使用中也没见它启动过,就不要管它了!   
◎默认:手动 建议:手动   
21.显示名称:Human Interface Device Access   
◎进程名称:svchost.exe -k netsvcs  
◎微软描述:启用对智能界面设备 (HID)的通用输入访问,它激活并保存键盘、远程控制和其它多媒体设备上的预先定义的热按钮。如果此服务被终止,由此服务控制的热按钮将不再运行。如果此服务被禁用,任何依赖它的服务将无法启动。   
◎补充描述:如果没有什么HID装置,可以停用。比如键盘上调音量的按钮就属于智能界面设备。   
◎默认:禁用 建议:禁用   22.显示名称:IMAPI CD-Burning COM Service   
◎进程名称:imapi.exe   
◎微软描述:用 Image Mastering Applications Programming Interface(IMAPI) 管理 CD 录制。如果停止该服务,这台计算机将无法录制 CD。如果该服务被停用,任何依靠它的服务都无法启动。   
◎补充描述:XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能,可惜比不上烧录软件,关掉还可以加快Nero的开启速度,如果习惯使用第三方软件或者根本没有刻录机,那就停用。占用1.6兆内存。   
◎默认:手动 建议:禁用   
23.显示名称:Indexing Service   
◎进程名称:cisvc.exe   
◎微软描述:本地和远程计算机上文件的索引内容和属性;通过灵活查询语言提供文件快速访问。   
◎补充描述:索引服务。简单的说可以让你加快搜查速度,不过我想应该很少人和远程计算机作搜寻吧,除非特殊工作。   
◎默认:手动 建议:手动   
24.显示名称:Internet Connection - Firewall (ICF) / Sharing (ICS)   
◎进程名称:svchost.exe   ◎微软描述:为家庭和小型办公网络提供网络地址转换、寻址、名称解析和/或入侵保护服务。   
◎补充描述:在SP2中已经被Windows Firewall/Internet Connection Sharing (ICS)取代。   
◎默认:手动 建议:手动   
25.显示名称:IPSEC Services   
◎进程名称: lsass.exe   
◎微软描述:管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。   
◎补充描述:IP 安全性服务。协助保护经由网络传送的数据。IPSec 为一重要环节,为虚拟私人网络 (×××) 中提供安全性,而 ××× 允许组织经由因特网安全地传输数据。在某些网域上也许需要,但是一般使用者大部分是不太需要的,可停止。   
◎默认:自动 建议:手动   
26.显示名称:Logical Disk Manager   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。   
◎ 补充描述:逻辑磁盘管理员。磁盘管理员用来动态管理磁盘,如显示磁盘可用空间等和使用 Microsoft Management Console(MMC)主控台的功能,该服务对于经常使用移动硬盘、闪盘等外设的用户必不可少,根据具体情况。改为手动后需要时它会通知你。   
◎默认:自动 建议:自动   
27.显示名称:Logical Disk Manager Administrative Service   
◎进程名称:dmadmin.exe /com   
◎微软描述:配置硬盘驱动器和卷。此服务只为配置处理运行,然后终止。   
◎补充描述:逻辑磁盘管理员系统管理服务。使用 Microsoft Management Console(MMC)主控台的功能时才用到。磁盘管理服务。需要时它会通知你,所以一般手动。   
◎默认:手动 建议:手动   
28.显示名称:Machine Debug Manager Service   
◎进程名称:mdm.exe   
◎微软描述:支持对 Visual Studio 和脚本调试器进行本地和远程调试。如果该服务停止,调试器将不能正常工作。   
◎补充描述:对于开发人员使用的脚本调试器,一般不需要。   
◎默认:手动 建议:手动   
29.显示名称:Messenger   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:传输客户端和服务器之间的 NET SEND 和 alerter 服务消息。此服务与 Windows Messenger 无关。如果服务停止,alerter 消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。   
◎补充描述:信使服务。允许网络之间互相传送提示信息的功能,net send 功能,如不想被骚扰话可关了。   ◎默认:禁用 建议:禁用   
30.显示名称:MS Software Shadow Copy Provider   
◎进程名称:dllhost.exe /Processid:   
◎微软描述:管理卷影复制服务拍摄的软件卷影复制。如果该服务被停止,软件卷影复制将无法管理。如果该服务被停用,任何依赖它的服务将无法启动。   
◎补充描述:如上所说的,用来备份的东西,如 MS Backup 程序就需要这个服务,但是大多数人用不到这个功能。  
◎默认:手动 建议:手动   
31.显示名称:Net Logon   
◎进程名称:lsass.exe   
◎微软描述:支持网络上计算机 pass-through 帐户登录身份验证事件。   
◎补充描述:一般家用计算机不太可能去用到登入网络审查这个服务。登陆Domain Controller用的,大众用户快关。如果要使用网内的域服务器登录到域时,启动。   
◎默认:手动 ?建议:手动  
32.显示名称:NetMeeting Remote Desktop Sharing   
◎进程名称:mnmsrvc.exe   
◎微软描述:使授权用户能够通过使用 NetMeeting 跨企业 intranet 远程访问此计算机。如果此服务被停用,远程桌面服务将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。   
◎补充描述:NetMeeting 远程桌面共享。让使用者可以将计算机的控制权分享予网络上或因特网上的其它使用者,用NetMeeting实现电脑共享。 如果你重视安全性,就关。如果你需要用到远程桌面求助或帮助别人就别动。   
◎默认:手动 建议:手动   
33.显示名称:Network Connections   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:管理“网络和拨号连接”文件夹中对象,在其中您可以查看局域网和远程连接。   
◎补充描述:网络连接。控制你的网络连接,因特网、局域网要用的东东。关了就看不见网络连接了,不过需要的时候可以随时打开,不影响上网!   
◎默认:手动(已启动) 建议:手动   
34.显示名称:Network DDE  
◎进程名称:netdde.exe   
◎微软描述:为在同一台计算机或不同计算机上运行的程序提供动态数据交换(DDE) 的网络传输和安全。如果此服务被终止, DDE 传输和安全将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。   
◎补充描述:网络 DDE。一般人好像用不到。   
◎默认:禁用 建议:禁用   
35.显示名称:Network DDE DSDM   
◎进程名称:netdde.exe   
◎微软描述:管理动态数据交换 (DDE) 网络共享。如果此服务终止,DDE 网络共享将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。   
◎补充描述:网络 DDE DSDM。一般好像用不到。   
◎默认:禁用 建议:禁用   
36.显示名称:Network Location Awareness (NLA)  ◎进程名称:svchost.exe -k netsvcs   
◎微软描述:收集并保存网络配置和位置信息,并在信息改动时通知应用程序。   
◎补充描述:如果不使用ICF和ICS可以关了它。如有网络共享或ICS/ICF可能需要(服务器端)。对于移动办公用户,启动。   
◎默认:手动(已启动) 建议:手动   
37.显示名称:Network Provisioning Service  
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:为自动网络提供管理基于域的 XML 配置文件。   
◎补充描述:   
◎默认:手动 建议:手动   
38.显示名称:NT LM Security Support Provider   
◎进程名称:lsass.exe   
◎微软描述:为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。   
◎补充描述:NTLM 安全性支持提供者。如果不使用 Message Queuing 或是Telnet Server 那就关了它,一般用户也用不上。   
◎默认:手动 建议:手动   
39.显示名称:Performance Logs and alerts   
◎进程名称:smlogsvc.exe   
◎微软描述:收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报。如果此服务被终止,将不会收集性能信息。如果此服务被禁用,任何依赖它的服务将无法启动。   
◎补充描述:性能记录文件及警示。记录机器运行状况而且定时写入日志或发警告,内容比较专业, 可以不用。   
◎默认:手动 建议:手动   
40.显示名称:Plug and Play   
◎进程名称:services.exe   
◎微软描述:使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改。终止或禁用此服务会造成系统不稳定。   
◎补充描述:即插即用。顾名思义就是 PNP 环境,一般计算机中都需要PNP环境的支持,所以不要关闭。   
◎默认:自动 建议:自动   
41.显示名称:Portable Media Serial Number Service   
◎进程名称:svchost.exe -k netsvcs   
◎ 微软描述:Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device.
◎补充描述:WmdmPmSN(便携的媒体序号服务)。获得系统中媒体播放器的序列号,用于控制盗版音乐文件复制到便携播放器上,如MP3、MD等。该服务进程名为Svchost.exe。   
◎默认:手动 建议:手动   
42.显示名称:Print Spooler   
◎进程名称:spoolsv.exe   
◎微软描述:将文件加载到内存中以便迟后打印。   
◎补充描述:打印多任务缓冲处理器。可以优化打印,对于打印功能有一定的帮助,如果根本没有打印机,可以关了。   
◎默认:自动
◎建议:手动   
43.显示名称:Protected Storage   
◎进程名称:lsass.exe   
◎微软描述:提供对敏感数据(如私钥)的保护性存储,以便防止未授权的服务,过程或用户对其的非法访问。   
◎补充描述:受保护的存放装置。用来储存你计算机上密码的服务,像 Outlook、拨号程序、其它应用程序、主从架构等等。视具体使用环境而定,在不安全的环境下建议停止。   
◎默认:自动 建议:手动   
44.显示名称:QoS RSVP   
◎进程名称:rsvp.exe   
◎微软描述:为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。   
◎补充描述:QoS 许可控制,RSVP。用来保留 20% 带宽的服务,如果你的网卡不支持802.1p 或在你计算机的网络上没有 ACS server,那就不用多说了,关了它。   
◎默认:手动 建议:手动   
45.显示名称:Remote Access Auto Connection Manager   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:无论什么时候当某个程序引用一个远程 DNS 或 NetBIOS 名或者地址就创建一个到远程网络的连接。   
◎补充描述:如果你的机器提供网络共享服务就启动它,以避免网络断线后手动连接,否则停止。   
◎默认:手动 建议:手动  
46.显示名称:Remote Access Connection Manager   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:创建网络连接。   
◎补充描述:根据具体情况而定。   
◎默认:手动 建议:手动   
47.显示名称:Remote Desktop Help Session Manager   
◎进程名称:sessmgr.exe  ◎微软描述:管理并控制远程协助。如果此服务被终止,远程协助将不可用。终止此服务前,请参见“属性”对话框上的“依存”选项卡。
◎补充描述:远程桌面协助服务,用于管理和控制远程协助,,对于普通用户来说,用处不大,可以关闭。占用4兆内存。   
◎默认:手动 建议:手动   
48.显示名称:Remote Procedure Call (RPC)   
◎进程名称:svchost -k rpcss   
◎微软描述:提供终结点映射程序 (endpoint mapper) 以及其它 RPC 服务。   
◎补充描述:远程过程调用。系统级服务,别去动它!   
◎默认:自动 建议:自动   
49.显示名称:Remote Procedure Call (RPC) Locator   
◎进程名称:locator.exe   
◎微软描述:管理 RPC 名称服务数据库。  
◎补充描述:远程过程调用定位程序。在一般计算机上很少用到,没什么特殊要求,可以尝试关了。   
◎默认:手动 建议:手动   
50.显示名称:Remote Registry   
◎进程名称:svchost.exe -k LocalService   
◎微软描述:使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。   
◎补充描述:远程登录注册表服务。允许远程用户在权限许可的情况下登录本机并修改注册表设置。一般而言,这项服务是很少用到的,而且给自己的计算机增加了不必要的危险,因此也把它设为禁止。   
◎默认:自动 建议:禁用   
51.显示名称:Removable Storage   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:无   
◎补充描述:卸除式存放装置。除非你有 Zip 磁盘驱动器或是 USB 之类移动式的硬件或是 Tape备份装置,不然可以尝试关了,现在的这方面的设备很多,建议保留。   
◎默认:手动 建议:手动   
52.显示名称:Routing and Remote Access   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:在局域网以及广域网环境中为企业提供路由服务。   
◎补充描述:路由和远程访问提供拨号联机到网络或是 ××× 服务,一般用户用不到,可以关闭。   
◎默认:禁用 建议:禁用  
53.显示名称:Secondary Logon   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:启用替换凭据下的启用进程。如果此服务被终止,此类型登录访问将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。   
◎ 补充描述:Seclogon(二次登录服务)。在多用户使用的计算机上,某些用户因为是非管理员权限,导致某些程序无法执行。为了让没有管理员权限的已登录用户可以使用这个程序,WindowsXP设计了这个功能来分配临时的管理员权限。该服务进程名为svchost.exe。基于安全性考虑,停止。   
◎默认:自动 建议:手动   
54.显示名称:Security Accounts Manager   
◎进程名称:lsass.exe   
◎微软描述:存储本地用户帐户的安全信息。   
◎补充描述:安全性账户管理员。管理账号和群组原则(gpedit.msc)应用。  
◎默认:自动 建议:自动   
55.显示名称:Security Center   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:监视系统安全设置和配置。   
◎补充描述:SP2的安全中心。   
◎默认:自动 建议:禁用   
56.显示名称:Server   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。   
◎补充描述:简单的说就是档案和打印的共享,除非你有和其它计算机共享,不然就关了。局域网文件/打印共享需要的。   
◎默认:自动 建议:手动   
57.显示名称:Shell Hardware Detection   
◎进程名称:svchost.exe -k netsvcs   
◎微软描述:为自动播放硬件事件提供通知。   
◎补充描述:一般使用在移动存储或是CD装置、DVD装置上,可以关闭。   
◎默认:自动 建议:禁用   
58.显示名称:Smart Card   
◎进程名称:SCardSvr.exe   
◎微软描述:管理此计算机对智能卡的取读访问。如果此服务被终止,此计算机将无法取读智能卡。如果此服务被禁用,任何依赖它的服务将无法启动。   
◎补充描述:智能卡。使得Windows XP可以支持智能卡设备,并管理PC与智能卡之间的存取。如果自己的计算机没有连接智能读卡器之类的外设,那就可以关了,占1.4兆内存。   
◎默认:手动 建议:手动   
59.显示名称:Smart Card Helper   
◎进程名称:SCardSvr.exe   
◎微软描述:启用对此计算机使用的旧式(legacy)非即插即用智能卡读取器的支持。如果此服务被终止,此计算机将无法支持旧式取读器。如果此服务被禁用,任何依赖它的服务将无法启动。   
◎补充描述:智能卡。


这些是服务的详细资料

对于我们管理系统服务来说,我们最重要的作用就是可以通过关闭一些不必要的系统服务来让系统运行的效率更高,当然,还有我们要判断哪些是正常的服务,哪些是非正常的系统服务。我们红盟总结了一些系统必须要开放的系统服务,这里发给大家来跟大家共同分享。

系统必须的服务如下:

这里的“必须”指的是如果这些服务其中任何一条被禁用,将会造成WindowsXP提供的基本功能的丧失。
这些基本功能有一部分是和网络应用相关的,即使在单机情况下也一定要小心处理,而且当出现问题后一定首先复查这些服务的状态。   
Automatic Update   
Windows Update必须将此服务设置为“自动”才可以继续。故建议保持“自动”   
COM+ Event System   
禁用此项会造成网络连接菜单无法进入。故必须保持“自动”   
Computer Browser   
禁用此项会造成无法被局域网中的计算机访问。故建议局域网中的计算机选择“自动”   
Cryptographic Service   
禁用此项会造成很多问题,比如Windows Update程序无法继续,驱动程序无法验证数字签名,故必须保持“自动”   
DCOM Server Process Launcher   
禁用此项会造成很多服务无法以手动方式在必要的时候启动,故必须保持“自动”   DHCP Client   
有DHCP服务器的局域网用户和小区宽带类型的用户务必保持此项为“自动”
DNS Client   
域名解析服务客户端,只要上网便需要域名解析,除非你不上网。故必须保持为自动。   
Event Log   
不用多说,终止不了的   
Logical Disk Manager   
禁用此项会造成移动硬盘等硬件无法被有效的识别。故建议保持“自动”   
Network Connections   
禁用此项会造成网络连接文件夹为空,即失去管理网络连接的能力,为方便起见建议保持“自动”   
Network Location Awareness   
禁用此项会造成无法在局域网中共享文件,局域网用户建议保持“自动”   
Plug and Play   
即插即用关键服务,必须保持“自动”   
Remote Procedure Call   
RPC服务,相当多服务的基础,不可以禁用   
Server   局域网文件/打印共享需要,局域网用户建议保持“自动”   
System Event Notification   
记录系统事件,系统出问题很多时候可以从系统事件中找到答案,建议有经验的用户保持“自动”   
Task Scheduler   
一些完成定时任务的软件需要,建议保持自动。   
Web Client   
一些网络应用,比如通过IE访问FTP需要,建议保持“自动”   
Windows Audio   
没有声卡的计算机可以禁用此项,反之则保持“自动”   
Windows Management Instrumentation   系统资源管理服务,不可以禁用   
Workstation   
除非你不上网,否则保持“自动”   
威胁系统安全的服务   
这并不是说这些服务是有害的,而是指这些服务直接或者间接的降低了系统的安全性。   
从保护系统安全的角度考虑在不失去使用性的情况下,我们应]尽量将它们设置为“禁用”   
ClipBook   
可能造成信息的泄漏,故建议“禁用”。   
Messenger   
经常被利用来发送垃圾消息,故建议“禁用”。   
Telnet   
可能造成黑客入侵,故建议“禁用”   
Printer Spooler   
有可能造成CPU占用持续100%,故建议“禁用”   
Remote Registry   
允许远程操作注册表会造成安全问题,故建议“禁用”   
Remote Desktop Help Session Manager   
远程协助有时候也会为入侵系统提供便利,故建议“禁用”。

大家一定要注意一些重要的系统服务不要乱停止,不然会让系统出现各种各样的问题,所以建议对系统服务方面比较熟悉技术人员才可以采用我们提供的内容来进行操作。不是很熟悉这方面技术的人就保持系统正常的服务运行就可以,只要监控到一些非正常的系统服务不要让它运行就可以了。那我们怎么来分辨哪些是正常的,哪些是有问题的呢?我们还是两种方式,人工和软件,人工的方式我们就要先记住这些正常的系统服务和描述的内容,只要发现与这些系统服务不一样的服务名就可以去仔细分析是否是哪个用户安装的什么软件的服务。如果不是就可以停止并禁用掉,另外一种软件的方式就是用我们红盟服务器安全防御系统,还有一点,木马系统服务通常都是纯小写或者纯大写,不知道是注入的人笨还是故意,我们这里面有系统服务检测的功能,可以通过检测来掌握哪些是正常的系统服务,哪些是非正常的。

http://222.73.173.38:90/

admin   123456

我们软件里面的系统服务检测可以看得到内容

红盟idc技术培训群—安全培训(四)_系统_04

这里面是详细的系统服务检测的内容好了,今天的课程我们到这里就都讲完了。