我在Windows XP Home SP3上享受了大约两个月的重大流程创建惩罚。对于创建大量进程的任务,例如shell脚本(顺便提一下,Cygwin上的bash脚本),Makefile,或解压缩IzPack包(如SpringSource Tool Suite安装程序)(许多单独的{{1),这个问题最为明显和烦人。 JAR提取器进程)。我确信它是通过观察bash脚本诊断输出创建进程,或者观察进程出现在任务管理器中。一旦进程启动并运行,就没有明显的延迟。
我已经在Cygwin邮件列表上报告了这个问题,因为我最初并错误地认为只有Cygwin受到影响,怀疑Cygwin DLL中的错误或其他什么。
Slowdown after update on Win32 (XP Home) - (link to my post to the Cygwin list)
我想知道是否有东西已经在进程创建钩子中安装了一些废话,我认为它可能存在于Windows上。 (与security manager in Java一样。)病毒或安全软件?我也没有有意识地安装过。我还怀疑微软更新故障,但我认为他们现在已经解决了这个问题。
据我所知,Win32上的进程是由unpack200.exe创建的。
我怎样才能找出为什么流程创建需要这么长时间以及这里到底发生了什么?是否有像CreateProcess这样的Linux,或者甚至更好的东西?
答案 0 :(得分:4)
非常感谢卢克指出我正确的方向。 Procmon是一个很棒的工具。从字面上看,系统内部的新世界为我开启了。通过设置过滤器以包含parent process ID = WINPID of a Cygwin bash.exe然后只监控单个ls命令,可以快速找到罪魁祸首。将恶意软件挂钩到名为AppCertDlls的注册表项中,我当然完全没有意识到这一点。
将恶意软件clipmote.dll移出system32后,流程创建速度立即恢复正常。
我想我通过安装有毒的免费软件来感染这种病毒。
我花了一些时间来调查这个问题并发现它既可怕又有趣,所以这就是我发现的内容,当然我会感谢您提供的所有其他信息或任何评论。
恶意软件DLL已加载到每个用户进程中,甚至是Explorer,taskmgr和procmon本身。只有SYSTEM下的流程(如procexp.exe中所列)似乎仍未受到感染。
这里的问题是HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls被检查(至少在我的系统上,但可能在许多系统上,甚至可能在默认情况下),以加载DLL,这可能对是否允许某些二进制文件有发言权通过从在它们上调用的函数返回值来运行或不运行:
NTSTATUS STDCALL CreateProcessNotify (LPCWSTR lpApplicationName, ULONG Reason);
事实上,我在该密钥下面有一个名为sethdown的条目,但名称可以是任何名称。
RegEnumValue HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls
Index: 0
Name: sethdown
Type: REG_SZ
Length: 66
Data: C:\WINDOWS\system32\clipmote.dll
从网上发现的报告中我得出结论,AppCertDlls挂钩是Windows操作系统的常规部分,而不是一些流氓扩展。如果是这样,它就是病毒入口点,因为它允许将恶意软件动态配置到进程中。
看起来它实际上 - 具有讽刺意味 - 意味着是一个安全功能,与JVM中的安全管理器没有什么不同(请参阅我原来的问题)。据报道,名为appsec.exe的Microsoft实用程序使用此密钥。然后在加载的“安全”DLL上调用的函数是CreateProcessNotify,如上所述。根据我的理解,假设只是说是或否 - 但它可以做任何想做的事。
在我的案例和我分析的运行ls.exe的单个实例中,它创建了五个线程。他们加载或尝试加载其他DLL并与注册表进行交互。谁知道还有什么。
如果有人对这种危险的机制有更多了解,我会全力以赴。
以下是我在AppCertDlls上找到的内容:
early mention in 01/2007 (Re 5:Блокировказапускаприложений)
AppCertDlls reported on Sysinternals forum (Autoruns), 10/2007
About AppCertDlls - virus mentioned 01/2008
但微软本身也广泛使用它 功能,确切地说,它实际上是 被认为是“一次性”的事情。 仅限于使用它作为限制的方式 可以在。下运行的应用程序 终端服务器2000. - Andrew Worobow
more details on the AppCertDlls key and CreateProcessNotify, 01/2008
06/2010 infection report providing some details
恶意软件试图窃取银行帐户信息(显然也是金钱),但它也可能被配置为执行其他操作。 HKEY_CURRENT_USER\Software\AppDataLow\{some GUID here}下有其他注册表项。在我做网上银行业务的时候,它一定做了一些屏幕刮擦;它知道用过的TAN。我记得我曾经有过这样的印象:我的银行在不久之前或(可能)登录后被黑客攻击我看到一个屏幕一次要求大约20个TAN。 WTF,我想,浏览器输入了错误的URL,我关闭了窗口。我应该更加关注。我不会认为整个问题是如此危险。幸运的是,没有损坏。幸运的是,我想。
以下列出了我在病毒中发现的重要字符串:
client.dll EAPSFILT.dll KERNEL32.dll 我认为前两个可能是它试图加载的其他病毒库。
_aullshr CompareStringA CreateEventA CreateFileA CreateFileMappingA CreateProcessNotify CtfImmIsCiceroStartedInThread CtfImmTIMActivate DllCleanupServer DllStartupServer ExitProcess GetThreadContext ImmDisableIme ImmDisableIME ImmGetConversionListA ImmGetVirtualKey ImmRegisterWordA ImmSetCandidateWindow InterlockedExchangeAdd iswlower lstrcmpA MapViewOfFile memset OpenThread ReadFile RealDriveType RegenerateUserEnvironment RestartDialog SetFilePointer Sleep strchr TerminateThread UnmapViewOfFile vDbgPrintExWithPrefix VirtualQueryEx WaitForMultipleObjects Cicero函数看起来很流氓,但它是C:\WINDOWS\system32\imm32.dll的一部分,即“Windows IMM32 API客户端库” - 不管是什么。
我运行了sfc.exe,微软的“系统文件检查器”。将对我的程序文件进行更多检查。并获得病毒扫描程序。建议欢迎。