Thinking in Robert

最近醫院裡面常有中毒的情況發生
所以常在檢查是否有一些奇怪的 Process 在 run ...
以下雖是正常的檔案...但也可能是已感染病毒的執行檔偽裝的....
所以...記得參考他們跑起來的目錄...
通常不會在 C:\ ...or  C:\temp\....or C:\windows\temp 
有的話...沒錯...那就是毒啦

（2）[alg.exe]
執行緒檔案: alg or alg.exe
執行緒名稱: 應用層閘道服務
描 述: 這是一個應用層閘道服務用於網路共用。
介 紹：一個閘道通信插件的管理器，為 “Internet連接共用服務”和 “Internet連接防火牆服務”提供第三方協定插件的支援。

（3）[csrss.exe]
執行緒檔案: csrss or csrss.exe
執行緒名稱: Client/Server Runtime Server Subsystem
描 述: 用戶端服務子系統，用以控制Windows圖形相關子系統。
介 紹: 這個是用戶模式Win32子系統的一部分。csrss代表客戶/伺服器執行子系統而且是一個基本的子系統必須一直執行。csrss用於維持Windows的控制，創建或者刪除線程和一些16位的虛擬MS-DOS環境。

（4）[ddhelp.exe]
執行緒檔案: ddhelp or ddhelp.exe
執行緒名稱: DirectDraw Helper
描 述: DirectDraw Helper是DirectX這個用於圖形服務的一個組成部分。
簡 介：Directx 幫助程式

（5）[dllhost.exe]
執行緒檔案: dllhost or dllhost.exe
執行緒名稱: DCOM DLL Host執行緒
描 述: DCOM DLL Host執行緒支援基於COM物件支援DLL以執行Windows程式。
介 紹：com代理，系統附加的dll元件越多，則dllhost佔用的cpu資源和記憶體資源就越多，而8月的“衝擊波殺手”大概讓大家對它比較熟悉吧。

（6）[explorer.exe]
執行緒檔案: explorer or explorer.exe
執行緒名稱: 程式管理
描 述: Windows Program Manager或者Windows Explorer用於控制Windows圖形Shell，包括開始功能表、任務欄，桌面和檔案管理。
介 紹：這是一個用戶的shell，在我們看起來就像任務條，桌面等等。或者說它就是資源管理器，不相信你在執行裏執行它看看。它對windows系統的穩定性還是比較重要的，而紅碼也就是找它的麻煩，在c和d根下創建explorer.exe。

　（7）[inetinfo.exe]
執行緒檔案: inetinfo or inetinfo.exe
執行緒名稱: IIS Admin Service Helper
描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用於Debug調試除錯。
介紹：IIS服務執行緒，藍碼正是利用的inetinfo.exe的緩衝區溢出漏洞。

（8）[internat.exe]
執行緒檔案: internat or internat.exe
執行緒名稱: Input Locales
描 述: 這個輸入控制圖示用於更改類似國家設定、鍵盤類型和日期格式。internat.exe在啟動的時候開始執行。它載入由用戶指定的不同的輸入點。輸入點是從註冊表的這個位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 載入內容的。internat.exe 載入“EN”圖示進入系統的圖示區，允許使用者可以很容易的轉換不同的輸入點。當執行緒停掉的時候，圖示就會消失，但是輸入點仍然可以通過控制面板來改變。
介 紹：它主要是用來控制輸入法的，當你的任務欄沒有“EN”圖示，而系統有internat.exe執行緒，不妨結束掉該執行緒，在執行裏執行internat命令即可。

（9）[kernel32.dll]
執行緒檔案: kernel32 or kernel32.dll
執行緒名稱: Windows殼執行緒
描 述: Windows殼執行緒用於管理多線程、記憶體和資源。
介 紹：更多內容流覽非法操作與Kernel32解讀

（10）[lsass.exe]
執行緒檔案: lsass or lsass.exe
執行緒名稱: 本地安全許可權服務
描 述: 這個本地安全許可權服務控制Windows安全機制。管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程式等。
介 紹：這是一個本地的安全授權服務，並且它會為使用winlogon服務的授權用戶生成一個執行緒。這個執行緒是通過使用授權的包，例如預設的msgina.dll來執行的。如果授權是成功的，lsass就會產生用戶的進入權杖，權杖別使用啟動初始的shell。其他的由用戶初始化的執行緒會繼承這個權杖的。而windows活動目錄遠端堆疊溢位漏洞，正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩衝區邊界檢查，構建超過1000個"AND"的請求，併發送給伺服器，導致觸發堆疊溢位，使Lsass.exe服務崩潰，系統在30秒內重新啟動。

（11）[mdm.exe]
執行緒檔案: mdm or mdm.exe
執行緒名稱: Machine Debug Manager
描 述: Debug除錯管理用於調試應用程式和Microsoft Office中的Microsoft Script Editor腳本編輯器。
介 紹：Mdm.exe的主要工作是針對應用軟體進行排錯(Debug)，說到這裏，扯點題外話，如果你在系統見到fff開頭的0位元組檔案，它們就是mdm.exe在排錯過程中產生一些暫存檔案，這些檔案在作業系統進行關機時沒有自動被清除，所以這些fff開頭的怪檔案裏是一些尾碼名為CHK的檔案都是沒有用的垃圾檔案，可勻我饃境換岫韻低巢只要系統中有Mdm.exe存在，就有可能產生以fff開頭的怪檔案。可以按下面的方法讓系統停止執行Mdm.exe來徹底刪除以fff開頭的怪檔案：首先按“Ctrl+Alt+Del”組合鍵，在彈出的“關閉程式”視窗中選中“Mdm”，按“結束任務”按鈕來停止Mdm.exe在後臺的執行，接著把Mdm.exe(在C:WindowsSystem目錄下)改名為Mdm.bak。執行msconfig程式，在啟動頁中取消對“Machine Debug Manager”的選擇。這樣可以不讓Mdm.exe自啟動，然後點擊“確定”按鈕，結束msconfig程式，並重新啟動電腦。另外，如果你使用IE 5.X以上版本流覽器，建議禁用腳本調用(點擊“工具→Internet選項→進階→禁用腳本調用”)，這樣就可以避免以fff開頭的怪檔案再次產生。

（12）[mmtask.tsk]
執行緒檔案: mmtask or mmtask.tsk
執行緒名稱: 多媒體支援執行緒
描 述: 這個Windows多媒體後臺程式控制多媒體服務，例如MIDI。
介 紹：這是一個任務調度服務，負責用戶事先決定在某一時間執行的任務的執行。

（13）[mprexe.exe]
執行緒檔案: mprexe or mprexe.exe
執行緒名稱: Windows路由執行緒
描 述: Windows路由執行緒包括向適當的網路部分發出網路請求。
介 紹：這是Windows的32位元網路介面服務執行緒檔案，網路用戶端端部件啟動的核心。印象中“A-311木馬(Trojan.A-311.104)”也會在記憶體中建立mprexe.exe執行緒，可以通過資源管理結束執行緒。

（14）[msgsrv32.exe]
執行緒檔案: msgsrv32 or msgsrv32.exe
執行緒名稱: Windows信使服務
描 述: Windows信使服務調用Windows驅動和程式管理在啟動。
介 紹：msgsrv32.exe 一個管理資訊視窗的應用程式，win9x下如果音效卡或者顯卡驅動程式配置不正確，會導致死機或者提示msgsrv32.exe 出錯。

（15）[mstask.exe]
執行緒檔案: mstask or mstask.exe
執行緒名稱: Windows計畫任務
描 述: Windows計畫任務用於設定繼承在什麼時間或者什麼日期備份或者執行。
介 紹：計畫任務，它通過註冊表自啟動。因此，通過計畫任務程式實現自啟動的程式在系統資訊中看不到它的檔案名，一旦把它從註冊表中刪除或禁用，那麼通過計畫任務啟動的程式全部不能自動執行。win9X下系統啟動就會開啟計畫任務，可以通過雙擊計畫任務圖示－進階－終止計畫任務來停止它自啟動。另外，攻擊者在攻擊過程中，也經常用到計畫任務，包括上傳檔案、提升許可權、種植後門、清掃腳印等。

（16）[regsvc.exe]
執行緒檔案: regsvc or regsvc.exe
執行緒名稱: 遠端註冊表服務
描 述: 遠端註冊表服務用於訪問在遠端電腦的註冊表。

（17）[rpcss.exe]
執行緒檔案: rpcss or rpcss.exe
執行緒名稱: RPC Portmapper
描 述: Windows 的RPC埠映射執行緒處理RPC調用(遠端模組調用)然後把它們映射給指定的服務提供者。
介 紹：98它不是在裝載解釋器時或引導時啟動，如果使用中有問題，可以直接在在註冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices添加"字串值"，定向到"C:WINDOWSSYSTEMRPCSS"即可。

（18）[services.exe]
執行緒檔案: services or services.exe
執行緒名稱: Windows Service Controller
描 述: 管理Windows服務。
介 紹：大多數的系統核心模式執行緒是作為系統執行緒在執行。打開管理工具中的服務，可以看到有很多服務都是在調用%systemroot%system32service.exe

（19）[smss.exe]
執行緒檔案: smss or smss.exe
執行緒名稱: Session Manager Subsystem
描 述: 該執行緒為會話管理子系統用以初始化系統變數，MS-DOS驅動名稱類似LPT1以及COM，調用Win32殼子系統和執行在Windows登陸過程。
簡 介：這是一個會話管理子系統，負責啟動用戶會話。這個執行緒是通過系統執行緒初始化的並且對許多活動的，包括已經正在執行的Winlogon，Win32（Csrss.exe）線程和設定的系統變數作出反映。在它啟動這些執行緒後，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系統就關掉了。如果發生了什麼不可預料的事情，smss.exe就會讓系統停止回應（就是掛起）。

（20）[snmp.exe]
執行緒檔案: snmp or snmp.exe
執行緒名稱: Microsoft SNMP Agent
描 述: Windows簡單的網路協定代理（SNMP）用於監聽和發送請求到適當的網路部分。
簡 介：負責接收SNMP請求報文，根據要求發送回應報文並處理與WinsockAPI的介面。