哪些 Windows 進程易被攻擊

一般來說以下這些都是攻擊者經常利用的進程：

• Smss.exe進程：Smss.exe（Session Manager Subsystem）是Windows會話管理器，屬于Windows操作系統的一部分。該進程調用會話管理子系統并負責操作系統的會話，決定著系統能否正常地運行。正常的Smss.exe進程文件存放在WindowsSystem32下。如果系統中出現了多個Smss.exe進程，而且占用的CPU資源較大時，該Smss.exe可能是木馬程序（如Win32.ladex.a木馬），可通過手工方式清除。首先在“Windows資源管理器”中確定Smss.exe進程，然后通過“打開文件位置”找到所在的文件夾后將其刪除，并消除它在注冊表和WIN.ini文件中的相關項。

• Csrss.exe進程：Csrss.exe所在的進程文件是csrss或csrss.exe，通常是Windows系統的正常進程。它管理Windows圖形相關任務，是Windows的核心進程之一，對系統的正常運行起著關鍵作用。在正常情況下，Csrss.exe位于WindowsSystem32文件夾中，如果系統中出現了多個Csrss.exe文件（其中一個位于Windows文件夾下），則很有可能是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。非正常的Csrss.exe是一種蠕蟲病毒，它會以Csrss.exe為文件名復制自己的副本文件到Windows目錄下，并添加下面的注冊表鍵值，以便每次Windows啟動時蠕蟲會自動運行：HKEL_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunSystemSARS32，with value＂C：WINNTcsrss.EXE＂。手工刪除Csrss.exe蠕蟲時，可先結束Windows根目錄下的Csrss.exe進程，刪除病毒生成的.com或.exe文件，并刪除注冊表中病毒的啟動項。

• Services.exe進程：Services.exe（Windows service controller）是Windows操作系統的一部分，用于管理啟動和停止服務。該進程也會處理在計算機啟動和關機時運行的服務。該程序對Windows系統的正常運行起著關鍵作用，結束該進程后系統會重新啟動。正常的Services.exe應位于WindowsSystem32文件夾中，不過也可能是W32.Randex.R（儲存在WindowsSystem32文件夾中）和Sober.P（儲存在WindowsConnection WizardStatus文件夾下）木馬。該木馬允許攻擊者訪問用戶的計算機，竊取密碼和個人數據。需要說明的是，當使用計算機的時間較長時也可能導致Services.exe占用內存較大，主要原因是事件日志（Event Log）過多，而Services.exe啟動時會加載事件日志，因而使得進程占用了大量內存。可在Windows的“事件查看器”中查看，并清除日志記錄。

• Svchost.exe進程：Svchost.exe是Windows系統中一類通用的進程名稱，它是與運行動態鏈接庫dlls的Windows系統服務相關的。在計算機啟動時，Svchost.exe檢查注冊表中的服務并將其載入并運行。Svchost.exe程序對系統的正常運行是非常重要，而且不能被結束運行。在“Windows任務管理器”中經常會出現多個Svchost.exe同時運行的情況，正常情況下，每一個都表示該計算機上運行的一類基本服務。例如，在Windows XP操作系統中，一般有4個以上的Svchost.exe服務進程，而從Windows 7操作系統開始則更多。在正常情況下，不管系統中運行有多少個Svchost.exe進程，對應的程序都會位于WindowsSystem32文件夾中。如果在其他文件夾中發現了Svchost.exe文件，很可能是感染了病毒。

回答所涉及的環境：聯想天逸510S、Windows 10。