如何通过系统进程分析病毒、系统进程查看

揭秘：打造一套完整的勒索病毒自动化采集分析系统

2024年全球勒索软件攻击将呈现爆发式增长。国家计算机病毒应急中心发布的《网络空间安全态势分析报告（2024）》显示，2023年7月至2024年6月，全球共有26个勒索软件组织对我国71个机构、14个国民经济行业发起攻击并勒索钱财，同比增长100%。

面对快速演变的勒索病毒，传统的人工分析方法已显得力不从心，构建自动化的勒索病毒检测系统已成为当务之急。作为网络安全解决方案提供商，我们深知勒索软件防护能力对产品竞争力的重要性。一方面，我们需要不断验证和提高现有安全产品的防护效果；另一方面，我们也需要为客户提供快速、准确的威胁防御。

构建专业的勒索病毒采集分析系统，不仅可以帮助我们建立完整的样本库，积累宝贵的分析经验，还可以通过自动化手段大幅提高分析效率，实现对新型勒索病毒的快速响应。该系统的价值不仅仅体现在技术层面，更重要的是，它可以帮助我们更好地履行保护客户安全的责任，在日益严峻的网络安全形势下筑起一道坚固的防线。

系统整体分为四个环节：智能样本采集、云沙箱预分析、VM沙箱深度（精准）测试、特征库管理。

传统模式下，安全分析师需要手动从各个平台搜索下载样本，不仅费时费力，而且容易错过最新变种。我们设计的智能采集系统通过多级数据源系统解决了这个问题：

获取样本后，系统将进行智能预处理：首先进行文件特征提取，包括PE头分析、导入表检查、编译信息提取等，初步确定样本类型。然后是相似性分析，通过代码特征比较来判断样本是否是已知家族的变种。最后一步是自动分类，根据威胁级别、家族特征等维度对样本进行标记，为后续分析做好准备。

传统的样品分析过程往往需要手动将样品一份一份加载到IDA或OD中进行分析。当每天面对数千个样本时，这种方法显然无法满足需求。我们开发的云端预分析沙箱系统采用分布式处理架构，能够实现样本的快速分析：

在静态分析方面，系统首先自动对样本进行解包和反混淆。以最近流行的勒索软件变种为例。该样本使用多层外壳加密和混淆。传统方式人工拆包需要2-3小时，但通过机器学习辅助的自动化拆包技术，系统可以在5分钟内处理完毕。

完成解包后，系统将进行深入的静态分析。通过自主研发的代码特征提取引擎，可以快速识别样本中的恶意行为模式。例如，系统可以自动定位加密算法实现代码并分析其参数传递方式和密钥生成机制。在分析某个Lockbit变种时，系统成功发现了其使用的AES算法的改进版本，并提取了完整的加密过程，为后续制定保护规则提供了重要依据。

动态行为分析环节采用创新的“分层沙箱”架构。第一层是轻量级行为监控，通过Hook关键API快速获取样本行为特征；第二层是深度行为分析，在隔离环境下完全模拟目标系统，记录详细的行为日志；第三层是特殊行为触发，通过环境模拟和时间模拟技术，诱导样本表现出完整的恶意行为。

预分析完成后，高风险样本将进入VM沙箱进行深度测试。与传统沙箱不同，我们的系统具有以下创新特点：

智能环境适配系统会根据样本特征自动部署最匹配的测试环境。例如，当检测到针对特定版本Office的漏洞利用样本时，会自动配置相应版本的软件环境。在测试医疗行业针对性勒索病毒时，系统通过行为特征分析，成功识别其攻击目标，模拟医疗信息系统环境部署，成功触发完整攻击链。

动态投放诱饵传统的静态诱饵文件很容易被病毒识别。我们开发了动态诱饵生成技术，可以根据目标场景的特征自动生成逼真的诱饵文件。系统将模拟正常的文件访问模式并建立完整的文件关联网络，以提高测试的真实性。

反虚拟化可对抗通常具有检测虚拟机能力的现代勒索软件病毒。我们采用全方位的反检测技术：

硬件特性模拟：完全模拟物理机的硬件特性

行为特征伪装：模拟真实用户的操作方式

时间特征对抗：智能处理延迟触发机制

在最近的测试中，它成功绕过了高级勒索病毒的多重环境检测，并获得了完整的加密行为特征。

完成测试分析后，系统将从多个维度提取特征指标。在静态层面，我们重点关注文件结构特征，包括PE文件的节表结构、资源节内容等关键信息。通过自主研发的代码特征提取引擎，系统可以识别反汇编层面的关键行为特征，如加密算法实现、API调用顺序等。同时，系统还会提取并分析样本中的字符串信息，包括加密后缀、勒索信等，这些都是识别勒索软件家族的重要依据。

在动态行为分析方面，系统通过Hook关键API记录完整的流程行为链，包括详细的调用序列和参数特征。对于文件操作，我们特别关注加密行为模式，如文件访问顺序、加密算法特征等。对于网络通信方面，系统会记录并分析C2通信模式，包括协议特征、加密方式等。

基于这些多维度特征，系统将进行深入的关联分析。通过还原完整的攻击链，我们可以更好地了解样本的攻击意图和技术特征。同时，系统会将样本与已知家族进行比较，追踪变种的演化路径，这对于预测未来的攻击趋势非常有帮助。所有分析结果都将映射到MITRE ATTCK框架，以便于从战术和技术层面理解攻击者的行为模式。

2024 年11 月，我们的系统捕获了一个针对制造业的新勒索软件变体。获得样本后，系统立即启动自动化分析过程。通过静态分析发现，该样品采用了定制化包装技术。经过自动解包处理，系统在代码中发现了修改版的Lockbit加密模块，以及专门针对西门子PLC控制系统的攻击代码。根据分析结果，及时向客户推送预警信息，并将样本特征同步至病毒特征库，成功阻止了此次针对性攻击。

某科研项目需要大量勒索软件家族和样本进行勒索软件防护研究。通过该系统，自动采集了大量高质量的勒索软件家族和样本，提前超出了项目原定目标。

在效率方面，全流程自动化带来了显着的提升。样本处理能力从人工分析时平均每天10个增加到500多个，这主要得益于分布式处理架构和智能分析流程。响应时间从原来的几天缩短到了几小时。特别是对于高风险样本，系统可以在2小时内完成分析和规则下发。通过自动化，分析师的重复性工作减少了60%，使他们能够专注于更有价值的安全研究。

通过全流程自动化，分析效率显着提升：

样品处理能力：从人工分析时平均每天10个提高到500+

响应时间：从几天缩短到几分钟

人力投入：分析人员减少70%，但处理的样本数量增加30倍

得益于深度分析和多维特征提取：

变体识别率：从70% 提高到95%

误报率：降低至0.1%以下

漏报率：从5% 降低至0.1%

预警时间：平均提前12小时

自动化采集分析系统的核心价值是帮助我们不断获取和分析最新的勒索病毒样本，不断优化行为分析模型。通过对大量真实攻击数据的深入分析，我们能够准确识别勒索软件的行为特征，从而构建以行为分析为核心的防护体系。该系统以机器学习驱动的行为分析引擎为中心，可以准确识别勒索软件行为的未知变体。同时，在特征识别模块的辅助下，快速拦截已知威胁。

根据系统积累的分析经验，我们建议企业在防范勒索病毒时，首先应部署具有行为分析能力的防护产品。这是对抗未知变种的关键。在工业控制等特殊环境下，应配合应用白名单管理，严格控制程序运行权限，同时对文件加密等敏感操作进行实时监控和分析。此外，企业还需要建立完整的数据备份机制，尤其是生产数据和关键配置；对服务器、终端等实施深度防护，而不是依赖单一防护手段；确保及时更新防护策略，持续跟踪最新威胁趋势。

实践证明，只有将行为分析技术与实践经验相结合，才能构建有效的防护体系。我们也将不断完善自动化分析系统，不断提升行为分析能力，为企业安全提供更可靠的保障。

Linux病毒实战围剿手册：从检测到根除的全程实录

分

享受一套经过企业环境验证的Linux病毒处理解决方案，包括多项首创的检测技术和根本原因方法，这些在其他技术平台上的完整版本中很少见到。

技术亮点

：

突破传统监控1秒间隔的限制

在高负载时直接关联流程快照

持续时间仅50ms的恶意进程可被检测到

诊断标准

：

如果PSS和RSS之间的差异超过10MB，那就是可疑的。

挖矿病毒中常见的内存驻留模块

特点

：

篡改/bin/和/sbin/下的系统命令

文件大小增加约37KB

包含“x0x0x0x0”特征字符串

根除步骤

：

特点

：

只存在于记忆中

通过crontab 或systemd 持久化

连接矿池域名如xmr.pool.com

清仓计划

：

特点

：

系统调用表被篡改

lsmod 隐形模块

/proc目录异常

清仓计划

：

温馨提示

：

1.

断开优先级

：立即禁用网络接口

ip

链接

设置eth0 下来

2.取证先行：内存转储必不可少

须藤

DD

if=/dev/mem of=/root/mem.dump bs=1M count=1024

3.最小操作：避免对受感染主机进行分析

4.根治验证：使用干净的系统扫描

sudo 安装/dev/sda1 /mnt clamscan -r /mnt

5.溯源分析：记录所有操作时间线

脚本-q -a /var/log/incident_response.log

该方案曾创下挖矿病毒从发现到根除仅需17分钟的记录。如果您遇到特殊病毒变种，请在评论区留下案例详情，我们将提供定制化解决方案！

万字长文带你还原进程和线程

我们平时谈论的进程和线程更多是基于编程语言的角度。那么你真的了解什么是线程和进程吗？那么我们从操作系统的角度来看看什么是进程和线程。

操作系统中的核心概念是进程。进程是正在运行的程序的抽象。关于操作系统的其他一切都围绕着进程。进程是操作系统提供的最古老、最重要的概念之一。即使只有一个CPU 可用，它们也支持（伪）并发操作。他们将单个CPU 转变为多个虚拟机的CPU。如果没有进程抽象，现代操作系统将不复存在。

所有现代计算机都会同时做很多事情。过去使用电脑的人可能根本无法理解这种变化。一个例子可以更好地说明这一点：首先考虑一个Web服务器，请求来自网页。当请求到达时，服务器会检查当前页面是否在缓存中。如果在缓存中，则直接返回缓存中的内容。如果缓存中没有，则将请求交给磁盘处理。然而，从CPU的角度来看，磁盘请求会花费更长的时间，因为磁盘请求会很慢。当硬盘请求完成后，更多的其他请求就会进来。如果有多个磁盘，在第一个请求完成之前，可以连续向其他磁盘发出部分或全部请求。显然，这是一种并发现象，需要并发控制条件来控制并发现象。

现在考虑一台只有一个用户的PC。系统启动的时候，很多进程也在后台启动。用户通常不知道这些进程的启动。试想一下，当你自己的电脑启动时，你能知道需要启动哪些进程吗？这些后台进程可能是需要输入电子邮件的电子邮件进程，也可能是定期更新病毒库的计算机病毒扫描进程。当所有用户都在线时，用户进程可能会打印文件和刻录CD-ROM，并且需要对这些活动进行管理。因此，一个支持多进程的多道程序系统就变得必要了。

在许多多道程序设计系统中，CPU 在进程之间快速切换，使每个程序运行数十或数百毫秒。但严格来说，CPU在某一时刻只能运行一个进程。但是，如果我们将时间定位在1秒以内，则可能会运行多个进程。这给了我们并行的错觉。这有时称为伪并行，以区分多处理器系统（两个或多个CPU 共享相同物理内存的系统）

我们来详细解释一下伪并行：伪并行是指单核或多核处理器同时执行多个进程，使程序速度更快。通过以非常有限的时间间隔在程序之间快速切换CPU，可以创建并行感。缺点是时间可能会也可能不会分配给下一个进程。

跟踪多个并行进程很困难。因此，经过多年的努力，操作系统设计者开发了一种描述并行性的概念模型（顺序过程），使并行性更容易理解和分析。这个模型的讨论也是本文的主题

在进程模型中，计算机上运行的所有软件，通常包括操作系统，都被组织成许多顺序的进程，称为进程。进程是正在执行的程序的一个实例，包括程序计数器、寄存器和变量的当前值。从概念上讲，每个进程都有自己的虚拟CPU，但实际上CPU在进程之间来回切换。

如上图所示，这是一个多处理程序，有4个程序。在进程不断切换的过程中，程序计数器也发生不同的变化。

上图中，这4个程序被抽象为4个进程，有自己的控制流（即每个进程都有自己的程序计数器），每个程序独立运行。当然，实际上只有一个物理程序计数器，每个程序在运行时都会将其逻辑程序计数器加载到物理程序计数器中。当程序运行完毕后，它的物理程序计数器就变成了真正的程序计数器，然后又被放回到进程的逻辑计数器中。

从下图我们可以看到，观察足够长的时间后，所有进程都在运行，但在任何一个给定的瞬间仅有一个进程真正运行。

在下面的讨论中，我们假设单个CPU 场景。当然，这种假设在今天通常不成立，因为新芯片通常是包含2 个、4 个或更多CPU 的多核芯片。但目前，通过一次考虑一个CPU 来分析问题会更容易。因此，当我们说一个CPU 一次只能运行一个进程时，即使有2 个核心（或多个CPU），每个核心一次也只能运行一个线程。

由于CPU 在进程之间快速来回切换，因此无法确定每个进程将在CPU 上运行多长时间。并且当同一个进程再次在CPU中运行时，其在CPU内部的运行时间往往是不固定的。进程和程序之间的区别非常微妙，但一个例子可以让您区分：想象一个计算机科学家，他可以为他的女儿制作生日蛋糕。他有一个生日蛋糕的食谱，厨房里有所需的所有原料：面粉、鸡蛋、糖、香草汁等。在这个比喻中，制作蛋糕的食谱是程序，计算机科学家是CPU，蛋糕的组成部分是输入数据。这个过程就是科学家阅读配方、获取各种原料、烘烤蛋糕等一系列动作的总和。

现在假设这位科学家的儿子来到他身边并告诉他，他的头上被蜜蜂蜇了。然后科学家会记录下制作蛋糕的过程中的步骤，然后拿出急救手册按照上面的步骤来营救自己的儿子。这里就会涉及到进程之间的切换。科学家（CPU）将从制作蛋糕（流程）切换到实施医疗救助（另一个流程）。等待伤口处理完毕后，科学家会回到刚刚记录的制作蛋糕的步骤，继续制作。

这里的关键思想是识别过程所需的条件。流程是特定类型活动的总和。它具有过程、输入和输出以及状态。单个处理器可以被多个进程共享，使用某种调度算法来决定何时停止一个进程的工作并切换到为另一个进程提供服务。另外需要注意的是，如果一个进程运行两次，则被视为两个进程。

操作系统需要某种方式来创建进程。在非常简单的系统中，或者如果操作系统被设计为运行单个应用程序（例如微波炉中的控制器），则可能需要在系统启动时所有进程一起启动。但在通用系统中，需要有某种方法在运行时按需创建或销毁进程。这个问题现在需要研究。以下是流程的创建方式。

系统初始化

正在运行的程序执行创建进程的系统调用（例如fork）

用户请求创建新进程

初始化批处理作业

当您启动操作系统时，通常会创建多个进程。其中一些是前台进程（众多进程），这些进程与用户交互并为他们完成工作。有些在后台运行，不与特定用户交互，但后台进程也有特定的功能。例如，设计一个后台进程来接收传入的电子邮件。该进程大部分时间处于睡眠状态，但一旦电子邮件到达就会被唤醒。还可以在计算机上设计一个后台进程来接收传入的网页请求，并在请求到达时唤醒该进程来处理传入的网页请求。在后台运行、处理电子邮件、网页、新闻、打印等活动的进程称为守护进程。大型系统将有许多守护进程。在UNIX 中，ps 程序可以列出正在运行的进程，而在Windows 中，您可以使用任务管理器。

除了在启动阶段创建进程外，后期还可以创建一些新的进程。通常，正在运行的进程会发出系统调用来创建一个或多个新进程来帮助其完成工作。当多个相关但独立的交互流程可以轻松地协同工作以完成任务时，创建新流程特别有用。例如，如果需要通过网络获取并顺序处理大量数据，那么创建一个进程来读取数据，将数据放入共享缓冲区，然后让第二个进程获取并正确处理它会更容易。在多处理器上，让每个进程在不同的CPU 上运行也可以加快工作完成速度。

在许多交互式系统中，您可以通过输入命令或双击图标来启动程序。这些操作中的任何一个都可以选择启动一个新进程。当在基本UNIX 系统上运行X 时，新进程将接管启动它的窗口。 Windows中一个进程启动时，一般没有窗口，但可以创建一个或多个窗口。每个窗口都可以运行进程。您可以通过鼠标或命令切换窗口并与进程交互。

交互系统是一种以人与计算机之间进行大量交互为特征的计算机系统，例如游戏、网络浏览器、IDE和其他集成开发环境。

创建进程的最后一种情况出现在大型机批处理系统中。用户在这样的系统中提交批处理作业。当操作系统确定它有资源来运行另一个任务时，它会创建一个新进程并运行其中输入队列中的下一个作业。

从技术上讲，在所有这些情况下，让现有进程执行该进程是通过创建系统调用来创建新进程来完成的。该进程可以是正在运行的用户进程、从键盘或鼠标调用的系统进程、或者批处理程序。这些是进行系统调用以创建新进程的进程。该系统调用告诉操作系统创建一个新进程，并直接或间接指示在其中运行哪个程序。

在UNIX中，只有一个系统调用来创建一个新进程，这个系统调用就是fork。此调用创建相对于调用进程的副本。分叉后，父进程和子进程将具有相同的内存映像、相同的环境字符串和相同的打开文件。通常，子进程将执行execve 或简单的系统调用来更改内存映像并运行新程序。例如，当用户在shell中发出sort命令时，shell会fork出一个子进程，子进程执行sort命令。之所以采用两步流程，是为了允许子进程在fork之后但execve之前操作其文件描述符，以完成标准输入、标准输出和标准错误的重定向。

在Windows 中，情况恰恰相反，一个简单的Win32 函数调用CreateProcess 处理进程创建并将正确的程序加载到新进程中。这个调用将有10个参数，包括要执行的程序、输入程序的命令行参数、各种安全属性、打开的文件是否继承控制位、优先级信息、进程需要创建的窗口规范以及指向一个结构体的指针，在该结构体中将有关新创建进程的信息返回给调用者。除了CreateProcess 之外，Win 32 中还有大约100 个其他函数来处理进程管理、同步和相关事务。下面是UNIX操作系统和Windows操作系统中系统调用的比较

UNIXWin32 说明forkCreateProcess 创建新进程waitpidWaitForSingleObject 等待进程退出execvenoneCraeteProcess=fork + servviceexitExitProcess 终止执行openCreateFile 创建文件或打开现有文件closeCloseHandle 关闭文件readReadFile 从单个文件读取数据writeWriteFile 将数据写入单个文件lseekSetFilePointer 移动文件指针statGetFileAttributesEx 获取不同文件属性mkdirCreateDirectory 创建新目录rmdirRemoveDirectory 删除空目录linknoneWin32 不支持linkunlinkDeleteFile 销毁现有文件mountnoneWin32 不支持mountumountnoneWin32 不支持挂载，因此mountchdirSetCurrentDirectory 不支持切换当前工作目录chmodnoneWin32 不支持安全KillnoneWin32 不支持信号timeGetLocalTime 获取当前时间

进程创建后，它开始运行并完成任务。然而，没有什么是永恒的，过程也不例外。该进程迟早会终止，但通常由以下情况触发

正常退出（自愿）

出错时退出（自愿）

严重错误（非自愿）

被另一个进程杀死（非自愿）

大多数进程终止是因为它们已经完成了工作。当编译器完成对给定程序的编译后，编译器会执行系统调用来告诉操作系统它已完成其工作。该调用在UNIX 中为exit，在Windows 中为ExitProcess。面向屏幕的软件还支持自愿终止。文字处理软件、Internet 浏览器和类似程序始终有一个图标或菜单项，用户单击该图标或菜单项即可通知进程删除其锁定打开的任何临时文件，然后终止。

进程终止的第二个原因是发现严重错误。例如，如果用户执行以下命令

进程终止的第三个原因是进程引起的错误，通常是由于程序中的错误造成的。例如，执行了非法指令、引用了不存在的内存、或者除数为0等。在一些系统（例如UNIX）中，进程可以通知操作系统它希望自己处理某些类型的错误。在此类错误中，进程会收到信号（中断），而不是在此类错误发生时直接终止进程。

终止进程的第四个原因是进程执行系统调用来告诉操作系统杀死进程。在UNIX 中，这个系统调用是kill。 Win32中对应的函数是TerminateProcess（注意它不是系统调用）。

在某些系统中，当一个进程创建其他进程时，父进程和子进程以某种方式相关。子进程本身会创建更多的进程，形成进程层次结构。

在UNIX 中，一个进程及其所有子进程和后代进程形成一个进程组。当用户从键盘发送信号时，该信号被发送到当前与键盘关联的进程组的所有成员（通常是当前窗口中创建的所有活动进程）。每个进程可以单独捕获信号、忽略信号或采取被信号杀死的默认操作。

这里再举一个例子来说明层的作用。考虑UNIX 在启动时如何初始化自身。启动映像中会出现一个名为init 的特殊进程。当init 进程开始运行时，它会读取一个文件，告诉它有多少个终端。然后为每个终端创建一个新进程。这些进程等待用户登录，如果登录成功，登录进程会执行shell等待用户输入命令，这可能会启动更多进程，等等。因此，整个操作系统中的所有进程都属于一棵以init为根的进程树。

相比之下，Windows 中没有进程层次结构的概念。 Windows 中的所有进程都是平等的。与层次结构唯一相似的是，当创建进程时，父进程会获得一个特殊的令牌（称为句柄），可用于控制子进程。然而，这个令牌也可能被移交给其他操作系统，这样层次结构就不存在了。在UNIX 中，进程不能剥夺其子进程的进程权限。 （从这一点来看，Windows还是更差）。

尽管每个进程都是一个独立的实体，拥有自己的程序计数器和内部状态，但进程之间仍然需要交互。在shell 命令中，一个进程的结果可用作另一进程的输入

第一个进程是cat，它连接三个文件并输出它们。第二个进程是grep，它根据两个进程的相对速度（取决于两个程序的相对速度）从包含关键字树的输入内容中进行选择