alg

alg

Microsoft Corp開發程序
alg.exe是微軟Windows操作系統自帶的程序。[1]系統原有的正常文件ftp.exe和tftp.exe被改名為backup.ftp和backup.tftp,存放到C:\WINDOWS\system32\Microsoft\目錄下。ALG在作為NAT穿透的應用時,因為我們知道傳統的NAT不能改變應用層中的IP地址,那麼一個最直接的方法就是直接改變應用層的IP地址,在得到終端的私有地址時就直接綁定其公網地址,為此後可能涉及到的互通做好準備。a:應用協議需要創建動态連接,而創建動态連接所需的ip地址和端口是在協議内容中描述的。
    中文名: 外文名:alg 适用領域:計算機 所屬學科: 進程文件:alg 或者 alg.exe 系統進程:是 後台程序:是

描述

英文描述:

alg.exe is a part of the Microsoft Windows operating system. It is a core process for Microsoft Windows Internet Connection sharing and Internet connection firewall. This program is important for the stable and secure running of your computer and should

中文參考:

alg.exe是微軟Windows操作系統自帶的程序。它用于處理微軟Windows網絡連接共享和網絡連接防火牆。應用程序網關服務,為 Internet 連接共享和 Windows防火牆提供第三方協議插件的支持。該進程屬 Windows系統服務。這個程序對你系統的正常運行是非常重要的。

出品者:Microsoft Corp. 屬于:Microsoft Windows Operating System

如果此文件在C:windowsalg.exe:

這是一個病毒樣本eraseme_88446.exe 釋放到系統中的。

C:windowsalg.exe偷偷潛入系統後,下次開機時會遇到1-2次藍屏重啟。

特點:

1、C:windowsalg.exe注冊為系統服務,實現啟動加載。

2、C:windowsalg.exe控制winlogon.exe進程。因此,在WINDOWS下無法終止C:windowsalg.exe進程。

3、在IceSword的“端口”列表中可見C:windowsalg.exe打開5-6個端口訪問網絡。

4、C:windowsalg.exe修改系統文件ftp.exe和tftp.exe。與原系統文件比較,病毒改動後的ftp.exe和tftp.exe文件大小不變,但MD5值均變為09d81f8dca0cbd5b110e53e6460b0d3b(見附圖)。系統原有的正常文件ftp.exe和tftp.exe被改名為backup.ftp和backup.tftp,存放到C:WINDOWSsystem32Microsoft目錄下。

殺毒流程

1、清理注冊表:

(1)展開:HKLMSystemCurrentControlSetServices

删除:Application Layer Gateway Services(指向 C:windowsalg.exe)

(2)展開:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

将SFCDisable的建值改為dword:00000000

(3)展開:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

删除:"SFCScan"=dword:00000000

(4)展開:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShell Extensions

删除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM"

2、重啟系統。顯示隐藏文件。

3、删除C:windowsalg.exe。

4、在C:WINDOWSsystem32Microsoft目錄下找到backup.ftp,改名為ftp.exe;找到backup.tftp,改名為tftp.exe。然後,将ftp.exe和tftp.exe拖拽到system32文件夾,複蓋被病毒改寫過的ftp.exe和tftp.exe。

軟件術語

應用層網關(Application Level Gateway)

簡稱“ALG”(也叫應用層防火牆或應用層代理防火牆),其進程名是alg.exe,應用層網關通常被描述為第三代防火牆。當受信任網絡上的用戶打算連接到不受信任網絡(如Internet)上的服務時,該應用被引導至防火牆中的代理服務器。代理服務器可以毫無破綻地僞裝成Internet上的真實服務器。它可以對請求進行評估,并根據一套單個網絡服務的規則決定允許或拒絕該請求。WinXP Home/PRO默認安裝的啟動類型為手動。

ALG在作為NAT穿透的應用時,因為我們知道傳統的NAT不能改變應用層中的IP地址,那麼一個最直接的方法就是直接改變應用層的IP地址,在得到終端的私有地址時就直接綁定其公網地址,為此後可能涉及到的互通做好準備。

1:ALG用在什麼地方?

ALG用于以下兩種情況:

a:應用協議需要創建動态連接,而創建動态連接所需的ip地址和端口是在協議内容中描述的。由于這些ip地址和端口是動态的,所以安全設備無法通過靜态的過濾規則來允許或禁止這些連接,所以就需要動态創建連接。比如FTP協議。

b:應用協議的通訊兩端經過了NAT設備。由于協議中攜帶的地址可能是私有網絡地址,因此,需要在NAT設備上把它轉換成因特網可以尋址的地址(或者協議兩端設置了路由,這種方法隻能在實驗室裡面用,不能在因特網上用),如果NAT設備需要支持多個客戶端或服務器,端口也需要修改。修改協議内容,就需要同時修改數據包的長度,校驗和等。如果數據包長度超過了MTU,數據包會被分片。

2:ALG的安全問題

動态連接在創建時隻是對連接的部分描述(參數不完整),所以在建立真實連接時,會存在安全隐患(放大了安全設備的安全策略,有可能會創建一些未驗證的連接,所以在實現ALG時,需要特别注意不要把動态連接的參數設置的過于模糊)

3:ALG中的協議解析問題

一般常見的ALG實現都是采用内容匹配的方法,直接在字符串中找相關的ip地址和端口。這樣做的好處是實現簡單,壞處是有時不能正确匹配協議。更好的辦法是使用協議解析,但這樣做比較複雜,如果是基于tcp的應用協議,還可能涉及到流重組的問題(無法确定包邊界)。所以一般簡單協議用内容匹配,複雜協議用協議解析(特别是基于udp的協議)

4:哪些情況下不能用ALG

如果協議内容加密,就不能使用ALG(無法解析和修改協議内容)

5:ALG相關的RFC

RFC 3027描述了ALG相關的問題。

6:ALG.exe 經常被病毒利用作為欺騙用戶眼睛的手段

相關詞條

相關搜索

其它詞條