系统启动时的软肋Winlogon

　　一个名为“落雪”的病毒，这个病毒非常厉害，能破坏木马克星，使其不能正常运行。它由VB 程序语言编写，通过北斗壳加壳处理，该木马文件图标一般是红色的图案，伪装成网络游戏的登录器。病毒运行后，在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见。事实上这14个不同文件名的病毒文件系同一种文件，“落雪”之名亦可能由此而来。该木马另一狡诈之处就是创建一名为winlogon.exe的进程，并把其路径指向c:\windows\winlogon.exe（正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe），以此达到迷惑用户的目的。

　　不可或缺的Winlogon

　　悟空问道：“教授，今天我们学习哪个进程啊？”谭教授：“悟空，你每天启动操作系统的时候，有没有想过系统的启动和哪些进程有关呢？”看着悟空抓耳挠腮的样子，谭教授明白他一定是没有注意到，于是说：“今天我们就来讲解一下这个和系统启动相关的进程——Winlogon.exe。”

　　小知识：Winlogon.exe是Windows NT登录管理器。它用于处理用户系统的登录和登录过程，并且管理用户的登录和退出。Winlogon在用户按下Ctrl+Alt+Del时就激活了，显示安全对话框。该进程在用户系统中的作用是非常重要的。

　　看完前面的介绍，经常玩游戏的八戒说道：“通过这几期的学习后我发现，这些高危的进程常常被病毒、木马、后门所利用。木马文件名都模拟成正常的系统工具名称，但是文件扩展名变成了‘.com’，为什么会这样呢？”

　　谭教授解释道：“是因为Windows操作系统执行.com文件的优先级比.exe文件高的特性。比如木马命名为Regedit.com，当用户调用注册表编辑器Regedit.exe的时候，一般习惯输入Regedit，而这时执行的并不是微软的Regedit.exe程序，而是木马文件Regedit.com，由此也可以看出木马作者的‘用心良苦’。”

　　悟空马上接茬：“怪不得注册表被加密后，人们将Regedit.exe改为Regedit.com就可以解密了。”谭教授对悟空的表现感到非常的欣慰。

　　突然悟空又挠着头说道：“通过前面几期的讲解，我已经对这些病毒、木马迷惑用户的方法略知一二。那么除了通过相似的名称，以及改变原有路径来进行以假乱真以外，我常常听网友说通过进程名称的大小写也可以进行分辨？”

　　“这个我也经常听说，但是我觉得这样分辨不科学，因为进程名称的大小写是根据文件名称的大小写来决定的。”谭教授解释道。

　　Winlogon.exe也被黑客利用

　　“有没有Winlogon.exe这个进程直接被恶意程序利用的？”悟空接着问道。

　　谭教授说：“当然有啦，由于winlogon.exe是系统的重要进程，所以会被木马程序所利用。你还记得前几期我们讲的线程插入技术吗？国产木马程序中有一个名为PcShare的木马程序，它在线程插入的时候就是将自己的进程插入到系统的winlogon.exe进程中，从而成功的躲过了很多网络防火墙的拦截”

　　沙僧也积极的提问：“那么如何分辨这个Winlogon.exe进程是系统进程，还是被木马程序利用的呢？”

　　谭教授说：“这个很简单，Winlogon.exe虽然是系统重要的进程之一，但是它是一个本地进程，所以不会自动要求连接网络。如果哪天这个进程要求连接网络的话，那么这个Winlogon.exe很有可能就是被木马程序劫持了，需要尽快进行病毒的扫描工作。另外通过工具Auto runs来查看通过Winlogon.exe启动的文件。”

　　唐僧也问道：“前面说到Winlogon.exe这个进程用于处理登录和注销任务，对系统资源占用的情况又是怎样？”

　　谭教授：“事实上这个进程的确是必需的，你看在每个系统的进程列表中都有它的身影，所以它的大小和用户登录的时间有关。我曾经看过这个进程占用空间的波动情况，一个是登录一个小时左右，内存占用在1.2MB到8.5MB之间波动。另一个是登录了40多天的，内存占用在1.7MB到17MB之间波动。当用户运行一些老的应用程序或是通过命令提示符窗口运行DOS命令行程序，你就会在进程里面发现它。”