线程注入是什么

耗尽CPU资源的Explored病毒清除法
出处：网易[ 2005-11-03 10:26:15 ] 作者：佚名 责任编辑：linjixiong
昨天单位这好几台机器病毒大爆发，因为都不是专家高手，折腾了很久才清理掉，过程中有些体会，觉得可以写下来，跟大家作一番交流。
首先是病毒的发现。昨天出现了两个症状。
一、在局域网上出现广播包(ARP)暴增，甚至把出口堵死。
二、机器CPU资源耗尽。
用任务管理器可以看到可疑的进程exploredexe和servicesexe一起占用CPU近100%(后来才知道，这是因为该病毒是通过服务启动的)，该进程无法停止，注册表键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
这里有该项存在，即使将该项删除，重启后仍如原样。这个文件是存在在WINDOWS的SYSTEM32目录下，未中毒机器没有该文件。因此可基本确认该进程是病毒。
然后是病毒的查杀。这过程中出现两个问题，一是瑞星开始无法升级，这是因为病毒本身把出口堵塞，TCP流无法正常传输。
我们尝试了一下，发现可以用防火墙(例如天网)将病毒程序隔离，然后再连网进行升级。第二个问题是瑞星查毒过程缓慢(查毒前已经将网卡先禁用了)，这是因为病毒程序explored占用CPU太狠，在无法设置删除该进程的情况下，可以用任务管理器提高瑞星进程的优先级(比如实时)，这样瑞星从病毒手中抢过CPU资源来正常地运行。
不过，这次瑞星只查杀了伪装成svchostexe的蠕虫病毒，explored仍然存在。
我们无可奈何下只好采用很笨的方法删除explored，就是进入安全模式，到Windows的System32目录下直接把该文件删除掉。顺便也把注册表中启动运行那项也删掉了。
重启后，提示有服务出错，到管理工具下的“服务”一看，才终于发现了该病毒的真实面目:原来“服务”里面有一栏“Windows Login”，属性显示服务名称是“MpR”，可执行文件路径正是“C:\WINNT\SYSTEM32\exploredexe -services”。
这就说明了为什么进程中止不了，删掉注册表中系统启动项也没用。也就是说，当初应该到服务里将该服务停止，而不是在任务管理器试图将其删除。
最后就病毒查杀的心得作一点小结:上述病毒发作都有一定迹象，例如CPU占满，网络带宽占满(可以通过网络连接状态看，如果后台没有运行什么进程，网络接口上收/发包数激增，就很可能是中毒或是连接的网络上有机器中毒)，因为平时要保持警惕，发现异常就赶紧查毒。
最好是用查毒软件，用任务管理器有时被骗，现在的病毒起名往往跟系统程序相似甚至相同，例如explored, smsss(smss是系统程序)，svchost等等。最好知道真正的系统程序所在目录，例如系统svchostexe应该在system32下，而病毒可能藏在system32\drivers下。
病毒的自启动可能通过很多途径:注册表，INI文件，甚至——象explored这样——通过服务启动。
与其中了毒再查再杀，不如切实做好防护措施——补丁，病毒保护，防火墙，一个都不能少啊!
工具箱
· 发布:fxj1588 2005-12-20 22:58
揭开SVCHOSTexe进程之谜
作者： 时间： 2004-07-02 文档类型：转载 来自：天极网
浏览统计 total:240819 | year:184705 | Quarter:49433 | Month:15355 | Week:2124 | today:708
svchostexe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。
大家对windows *** 作系统一定不陌生，但你是否注意到系统中“svchostexe”这个文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。
发现
在基于nt内核的windows *** 作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。
如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。
svchost中可以包含多个服务
深入
windows系统进程分为独立进程和共享进程两种，“svchostexe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchostexe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？
原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remote procedure call）服务为例，进行讲解。
从启动参数中可见服务是靠svchost来启动的。
实例
以windows xp为例，点击“开始”/“运行”，输入“servicesmsc”命令，d出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。
在运行对话框中输入“regeditexe”后回车，打开注册表编辑器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项，找到类型为“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost -k rpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcssdll”，其中“rpcssdll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。
解惑
因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32welchiaworm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。
假设windows xp系统被“w32welchiaworm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32welchiaworm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
由于篇幅的关系，不能对svchost全部功能进行详细介绍，这是一个windows中的一个特殊进程，有兴趣的可参考有关技术资料进一步去了解它。
出处：天极网
工具箱
· 发布:fxj1588 2005-12-20 23:00
详解SvcHost
作者：爱神之箭 来源：赢政天下 更新时间：2004-11-02
[ 收藏此页到: 天天 | 和讯 | 博采 | ViVi | 狐摘 | 我摘 ]
大家都要知道Svchostexe,是系统必不可少的一个进程,很多服务都会多多少少用到它,
但是我想大家也知道,由于它本身特殊性,高明的"黑客们"肯定是不会放过的,前段时间的Svchostexe木马风波,大家应该是记忆犹新吧,而且现在还是有很多机器里都藏有此木马,因为它伪装和系统进程Svchostexe一样,所以很多人分不清,那个是进程,那个是木马
好的,还是让我们详尽了解一下Svchostexe进程吧
1多个服务共享一个 Svchostexe进程利与弊
windows 系统服务分为独立进程和共享进程两种，在windows NT时只有服务器管理器SCM（Servicesexe）有多个共享服务，随着系统内置服务的增加，在windows 2000中ms又把很多服务做成共享方式，由svchostexe启动。windows 2000一般有2个svchost进程，一个是RPCSS（Remote Procedure Call）服务进程，另外一个则是由很多服务共享的一个svchostexe。而在windows XP中，则一般有4个以上的svchostexe服务进程，windows 2003 server中则更多，可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程度上减少了系统资源的消耗，不过也带来一定的不稳定因素，因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。另外就是有一点安全隐患，首先要介绍一下svchostexe的实现机制。
2 Svchost原理
Svchost本身只是作为服务宿主，并不实现任何服务功能，需要Svchost启动的服务以动态链接库形式实现，在安装这些服务时，把服务的可执行程序指向svchost，启动这些服务时由svchost调用相应服务的动态链接库来启动服务。
那么svchost如何知道某一服务是由哪个动态链接库负责呢？这不是由服务的可执行程序路径中的参数部分提供的，而是服务在注册表中的参数设置的，注册表中服务下边有一个Parameters子键其中的ServiceDll表明该服务由哪个动态链接库负责。并且所有这些服务动态链接库都必须要导出一个ServiceMain()函数，用来处理服务任务。
例如rpcss（Remote Procedure Call）在注册表中的位置是 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs，它的参数子键Parameters里有这样一项：
"ServiceDll"=REG_EXPAND_SZ:"%SystemRoot%system32 pcssdll"
当启动rpcss服务时，svchost就会调用rpcssdll，并且执行其ServiceMain()函数执行具体服务。
既然这些服务是使用共享进程方式由svchost启动的，为什么系统中会有多个svchost进程呢？ms把这些服务分为几组，同组服务共享一个svchost进程，不同组服务使用多个svchost进程，组的区别是由服务的可执行程序后边的参数决定的。
例如rpcss在注册表中 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs 有这样一项：
"ImagePath"=REG_EXPAND_SZ:"%SystemRoot%system32svchost -k rpcss"
因此rpcss就属于rpcss组，这在服务管理控制台也可以看到。
svchost的所有组和组内的所有服务都在注册表的如下位置： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost，例如windows 2000共有4组rpcss、netsvcs、wugroup、BITSgroup，其中最多的就是netsvcs=REG_MULTI_SZ:EventSystemIasIpripIrmonNetman
NwsapagentRasautoRasmanRemoteaccessSENSSharedaccessTapisrvNtmssvcwzcsvc
在启动一个svchostexe负责的服务时，服务管理器如果遇到可执行程序内容ImagePath已经存在于服务管理器的映象库中，就不在启动第2个进程svchost，而是直接启动服务。这样就实现了多个服务共享一个svchost进程。
3 Svchost代码
现在我们基本清楚svchost的原理了，但是要自己写一个DLL形式的服务，由svchost来启动，仅有上边的信息还有些问题不是很清楚。比如我们在导出的ServiceMain()函数中接收的参数是ANSI还是Unicode？我们是否需要调用RegisterServiceCtrlHandler和StartServiceCtrlDispatcher来注册服务控制及调度函数？
这些问题要通过查看svchost代码获得。下边的代码是windows 2000+ service pack 4 的svchost反汇编片段，可以看出svchost程序还是很简单的。
主函数首先调用ProcCommandLine()对命令行进行分析，获得要启动的服务组，然后调用SvcHostOptions()查询该服务组的选项和服务组的所有服务，并使用一个数据结构 svcTable 来保存这些服务及其服务的DLL，然后调用PrepareSvcTable() 函数创建 SERVICE_TABLE_ENTRY 结构，把所有处理函数SERVICE_MAIN_FUNCTION 指向自己的一个函数FuncServiceMain()，最后调用API StartServiceCtrlDispatcher() 注册这些服务的调度函数

如果服务器（网站）被入侵了,一般都是服务器或者网站存在漏洞，被黑客利用并提权入侵的，导致服务器中木马，网站被挂黑链，被篡改，被挂马。解决办法：如果程序不是很大，可以自己比对以前程序的备份文件，然后就是修复，或者换个服务器，最好是独立服务器。也可以通过安全公司来解决，国内也就Sinesafe和绿盟等安全公司 比较专业
我是从事IDC行业的以上这些也是平时工作中经常遇到的问题希望我的回答对你有所帮助

针对服务器1111上面的10008端口注入网络延迟，需要采取一些措施来实现：
1 构造大量的请求数据，占用服务器带宽。可以使用网络爬虫等工具自动化发送请求，不断向目标服务器的指定端口发送短数据包。
2 使用对抗性DDoS攻击，如UDP Flood、TCP Flood等攻击手段进行攻击，不断发送大量的占用网络资源的数据报、报文，以使服务器负载过大，导致延迟、中断等问题。
3 破解服务器上的访问权限和密码，通过后门等方式进入服务器，修改服务器文件，增加负载，导致服务器性能下降，网络延迟增加。
需要注意的是，上述行为涉及到非法入侵、攻击、侵犯他人财产或服务等行为，是违法的行为，可能面临严重的法律后果。因此，我们要秉持合法、合规的原则，坚决抵制网络攻击，加强服务器的安全防范，防范网络威胁。

webshell，我们常常称其为匿名的用户，ws是通过网络中的各种网站的端口进行突破的，继而对其服务器进行一定权限的设置等。
注入：是注入一个可以进行的网址通常用于连接公司、学校或办公的数据库的！
旁注则是可以在主机上建一个虚拟站点然后进行进行渗透，得到所要得到一个重要关节webshell，再开放的程序及一些非安全设置进行的跨站式入侵方法，然后就可以侵入其服务器啦。呵呵
NC：全名Network Computer，是基于网络计算环境的一种计算设备，可以实现Internet功能，通过网络进行信息查询和信息处理。
SC：是一套XP系统中功能强大的DOS命令,能与“服务控制器”和已安装设备进行通讯。
SC命令的功能有
1、可以检索和设置有关服务的控制信息，可以测试和调试服务程序。
2、可以设置存储在注册表中的服务属性，以控制如何在启动时启动服务应用程序，以及如何将其作为后台程序运行。即更改服务的启动状态。
3、可以用来删除系统中的无用的服务
4、其参数可以配置指定的服务，检索当前服务的状态，也可以停止和启动服务
5、可以创建批处理文件来调用不同的SC命令，以自动启动或关闭服务序列。
　

---