alg

alg.exe是微軟Windows作業系統自帶的程式。系統原有的正常檔案ftp.exe和tftp.exe被改名為backup.ftp和backup.tftp,存放到C:\WINDOWS\system32\Microsoft\目錄下。ALG在作為NAT穿透的套用時,因為我們知道傳統的NAT不能改變套用層中的IP位址,那么一個最直接的方法就是直接改變套用層的IP位址,在得到終端的私有地址時就直接綁定其公網地址,為此後可能涉及到的互通做好準備。a:套用協定需要創建動態連線,而創建動態連線所需的ip地址和連線埠是在協定內容中描述的。

描述

英文描述:

alg.exe is a part of the Microsoft Windows operating system. It is a core process for Microsoft Windows Internet Connection sharing and Internet connection firewall. This program is important for the stable and secure running of your computer and should

中文參考:

alg.exe是微軟Windows作業系統自帶的程式。它用於處理微軟Windows網路連線共享和網路連線防火牆。應用程式網關服務,為 Internet 連線共享和 Windows防火牆提供第三方協定外掛程式的支持。該進程屬 Windows系統服務。這個程式對你系統的正常運行是非常重要的。

出品者:Microsoft Corp.

屬於:Microsoft Windows Operating System

如果此檔案在C:\windows\alg.exe:

這是一個病毒樣本eraseme_88446.exe 釋放到系統中的。

C:\windows\alg.exe偷偷潛入系統後,下次開機時會遇到1-2次藍屏重啟。

特點:

1、C:\windows\alg.exe註冊為系統服務,實現啟動載入。

2、C:\windows\alg.exe控制winlogon.exe進程。因此,在WINDOWS下無法終止C:\windows\alg.exe進程。

3、在IceSword的“連線埠”列表中可見C:\windows\alg.exe打開5-6個連線埠訪問網路。

4、C:\windows\alg.exe修改系統檔案ftp.exe和tftp.exe。與原系統檔案比較,病毒改動後的ftp.exe和tftp.exe檔案大小不變,但MD5值均變為09d81f8dca0cbd5b110e53e6460b0d3b(見附圖)。系統原有的正常檔案ftp.exe和tftp.exe被改名為backup.ftp和backup.tftp,存放到C:\WINDOWS\system32\Microsoft\目錄下。

防毒流程

1、清理註冊表:

(1)展開:HKLM\System\CurrentControlSet\Services

刪除:Application Layer Gateway Services(指向 C:\windows\alg.exe)

(2)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

將SFCDisable的建值改為dword:00000000

(3)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

刪除:"SFCScan"=dword:00000000

(4)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions

刪除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM"

2、重啟系統。顯示隱藏檔案。

3、刪除C:\windows\alg.exe。

4、在C:\WINDOWS\system32\Microsoft\目錄下找到backup.ftp,改名為ftp.exe;找到backup.tftp,改名為tftp.exe。然後,將ftp.exe和tftp.exe拖拽到system32資料夾,復蓋被病毒改寫過的ftp.exe和tftp.exe。

足聯代碼

ALG是阿爾及利亞在國際足聯的國家代碼。

軟體術語

套用層網關(Application Level Gateway)

簡稱“ALG”(也叫套用層防火牆或套用層代理防火牆),其進程名是alg.exe,套用層網關通常被描述為第三代防火牆。當受信任網路上的用戶打算連線到不受信任網路(如Internet)上的服務時,該套用被引導至防火牆中的代理伺服器。代理伺服器可以毫無破綻地偽裝成Internet上的真實伺服器。它可以對請求進行評估,並根據一套單個網路服務的規則決定允許或拒絕該請求。WinXP Home/PRO默認安裝的啟動類型為手動。

ALG在作為NAT穿透的套用時,因為我們知道傳統的NAT不能改變套用層中的IP位址,那么一個最直接的方法就是直接改變套用層的IP位址,在得到終端的私有地址時就直接綁定其公網地址,為此後可能涉及到的互通做好準備。

1:ALG用在什麼地方?

ALG用於以下兩種情況:

a:套用協定需要創建動態連線,而創建動態連線所需的ip地址和連線埠是在協定內容中描述的。由於這些ip地址和連線埠是動態的,所以安全設備無法通過靜態的過濾規則來允許或禁止這些連線,所以就需要動態創建連線。比如FTP協定。

b:套用協定的通訊兩端經過了NAT設備。由於協定中攜帶的地址可能是私有網路地址,因此,需要在NAT設備上把它轉換成網際網路可以定址的地址(或者協定兩端設定了路由,這種方法只能在實驗室裡面用,不能在網際網路上用),如果NAT設備需要支持多個客戶端或伺服器,連線埠也需要修改。修改協定內容,就需要同時修改數據包的長度,校驗和等。如果數據包長度超過了MTU,數據包會被分片。

2:ALG的安全問題

動態連線在創建時只是對連線的部分描述(參數不完整),所以在建立真實連線時,會存在安全隱患(放大了安全設備的安全策略,有可能會創建一些未驗證的連線,所以在實現ALG時,需要特別注意不要把動態連線的參數設定的過於模糊)

3:ALG中的協定解析問題

一般常見的ALG實現都是採用內容匹配的方法,直接在字元串中找相關的ip地址和連線埠。這樣做的好處是實現簡單,壞處是有時不能正確匹配協定。更好的辦法是使用協定解析,但這樣做比較複雜,如果是基於tcp的套用協定,還可能涉及到流重組的問題(無法確定包邊界)。所以一般簡單協定用內容匹配,複雜協定用協定解析(特別是基於udp的協定)

4:哪些情況下不能用ALG

如果協定內容加密,就不能使用ALG(無法解析和修改協定內容)

5:ALG相關的RFC

RFC 3027描述了ALG相關的問題。

6:ALG.exe 經常被病毒利用作為欺騙用戶眼睛的手段

相關詞條

相關搜尋

熱門詞條

聯絡我們