为什么运行在windows2003 上的tomcat进程,看不见了。但是tomcat还是运行起到。如何才能找出这个进程,好直接关闭进程而不用重新启动服务器。
解决方案 »
- java问题,如何做一个让一个文本域A自动获取另一个文本域B里的内容。并跟A已有的文字拼接在一起。急……
- 用MINA可以开发telnet客户端程序吗?
- swt设选项卡间隔问题
- 关于HTTPCLIENT超时的问题
- 求一个多条件搜索,拼SQL语句的思路,请各位指教
- 如何Oracle读出来的数据替换成XML文件数据?
- 请问你们用Hibernate做多对多连接映射时候一般是何种方式?
- 大虾们帮忙看看这个HIBERNATE配置文件错在那里?
- 求救~Struts国际化问题(怎么取得浏览器的默认语言)
- JBuilder7+Weblogic7中部署第一个Entity Bean出现问题
- struts 2 s:iterator 标签
- 怎么用HQL语句查询mysql中的最后N条记录
一、什么是Rootkit?
Rootkit是一种手段和机制或者是技术,其目的是为了隐藏恶意程序(包括病毒、间谍软件、特洛伊木马等)免受安全工具和系统管理工具的检测。
二、Rootkit有什么可怕之处?
Rootkit可以将自己隐藏得很深,甚至可以将自己隐藏于系统内核运行,如此一来对它的检测就更加困难。由于它在内核中运行,所以它就可以调整系统中所有应用程序所使用的功能和参数。如Rootkit可以修改反病毒软件、反间谍软件、反Rootkit程序的功能。一些高级的Rootkit可以修改反rootkit或rootkit检测器,使其无法阻止rootkit。这是不是意味着用户们就束手就擒了呢?非也。Rootkit与反Rootkit工具的斗争是此消彼长的关系。任何一种技术在今天可能还奏效,明天可能就会失败。
任何Rootkit的一个固有的恶意行为即是隐藏自身,或者是隐藏受害进程。隐藏进程的后果就是即使合法的系统实用程序也无法列出系统中正在执行的进程信息。隐藏进程的固有危险性是安全防御系统(这种系统的运行基于这种假设,即系统正根据所设定的规则运行)看不到插入的进程,从而就会给系统管理员这样一种假象,系统正在安全地正常运行。
任何攻击工具的发展趋势都会是将侵入进程隐藏起来。隐藏进程的危险性是很大的,因为这代表着某些恶意代码在你的系统上运行,而你却浑然不知,由此造成的后果可想而知。许多特洛伊木马、病毒、间谍软件、rootkit编写者都使用了同样的技术来隐藏其自身,并且可以让自己长时间地呆在电脑上,而普通的杀毒软件和反病毒机制由于不能对付隐藏的进程对此又无可奈何。因此,找到rootkit隐藏自己的所有方法是防御rootkit威胁的首要一步。 如果你想得到真正的安全,那么,防御隐藏进程必不可少。现在市场上能够检测到隐藏进程的工具是少之又少,而且多数还需要花“银子”,那我们靠什么? 今天在此向各位推荐一个免费的好工具——Procl。
通过这个命令行的工具,我们可以使用不同的方法来检测隐藏进程。实际上,它可以在操作系统内的两种水平上(即所谓的ring-3和ring-0)使用不同的方法来检测隐藏进程。一为用户模式的方法,二为内核模式方法。 其使用方法也比较简单,一般用法是在Windows命令行中执行: Procl [选项] 其中选项有如下几种情况,左侧显示选项,右侧给出的是其功能的说明。
-M 丢弃模块信息
-H 丢弃句柄信息
-T 丢弃线程信息
-md5 显示进程计算MD5哈希(hash)
-cmd 显示进程的命令行参数
-K 禁用内核水平方法
-U 禁用用户水平方法
-?/-h 显示帮助信息 例如:
ProcL.exe -M -H -T -cmd
ProcL.exe -M -H -T -cmd -md5
ProcL.exe -M –cmd