alg

alg.exe進程是Windows重要的系統進程，其在系統中的描述為：Application Layer Gateway Service（套用層 網關服務），它用於處理微軟Windows網路連線共享和網路連線防火牆。通常其會隨著系統的啟動而自動啟動。

alg - alg.exe - 進程信息

進程檔案： alg 或者 alg.exe

進程名稱： Application Layer Gateway Service

出品者： Microsoft Corp.

屬於： Microsoft Windows Operating System

系統進程： 是

後台程式： 是

使用網路： 是

硬體相關： 否

常見錯誤： 未知N/A

記憶體使用： 未知N/A

安全等級 (0-5): 0

間諜軟體： 否

廣告軟體： 否

病毒： 否

木馬： 否

進程檔案： alg.exe

進程名稱： Application Layer Gateway Service

進程類別：其他進程

英文描述：

alg.exe is a part of the Microsoft Windows operating system. It is a core process for Microsoft Windows Internet Connection sharing and Internet connection firewall. This program is important for the stable and secure running of your computer and should

中文參考：

alg.exe是微軟Windows作業系統自帶的程式。它用於處理微軟Windows網路連線共享和網路連線防火牆。應用程式網關服務，為 Internet 連線共享和 Windows防火牆提供第三方協定外掛程式的支持。該進程屬 Windows系統服務。這個程式對你系統的正常運行是非常重要的。

出品者：Microsoft Corp.

屬於：Microsoft Windows Operating System

如果此檔案在C:\windows\alg.exe：

這是一個病毒樣本eraseme_88446.exe 釋放到系統中的。

C:\windows\alg.exe偷偷潛入系統後，下次開機時會遇到1－2次藍屏重啟。

特點：

1、C:\windows\alg.exe註冊為系統服務，實現啟動載入。

2、C:\windows\alg.exe控制winlogon.exe進程。因此，在WINDOWS下無法終止C:\windows\alg.exe進程。

3、在IceSword的“連線埠”列表中可見C:\windows\alg.exe打開5－6個連線埠訪問網路。

4、C:\windows\alg.exe修改系統檔案ftp.exe和tftp.exe。與原系統檔案比較，病毒改動後的ftp.exe和tftp.exe檔案大小不變，但MD5值均變為09d81f8dca0cbd5b110e53e6460b0d3b（見附圖）。系統原有的正常檔案ftp.exe和tftp.exe被改名為backup.ftp和backup.tftp，存放到C:\WINDOWS\system32\Microsoft\目錄下。

1、清理註冊表：

（1）展開：HKLM\System\CurrentControlSet\Services

刪除：Application Layer Gateway Services（指向 C:\windows\alg.exe）

（2）展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

將SFCDisable的建值改為dword:00000000

（3）展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

刪除："SFCScan"=dword:00000000

（4）展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions

刪除："v7b5x2s1i4h3"="12/15/2006, 01:26 PM"

2、重啟系統。顯示隱藏檔案。

3、刪除C:\windows\alg.exe。

4、在C:\WINDOWS\system32\Microsoft\目錄下找到backup.ftp，改名為ftp.exe；找到backup.tftp，改名為tftp.exe。然後，將ftp.exe和tftp.exe拖拽到system32資料夾，覆蓋被病毒改寫過的ftp.exe和tftp.exe。

ALG是阿爾及利亞在國際足聯的國家代碼。

簡稱“ALG”（也叫套用層防火牆或套用層代理防火牆），其進程名是alg.exe，套用層網關通常被描述為第三代防火牆。當受信任網路上的用戶打算連線到不受信任網路（如Internet)上的服務時，該套用被引導至防火牆中的代理伺服器。代理伺服器可以毫無破綻地偽裝成Internet上的真實伺服器。它可以對請求進行評估，並根據一套單個網路服務的規則決定允許或拒絕該請求。WinXP Home/PRO默認安裝的啟動類型為手動。

ALG在作為NAT穿透的套用時，因為我們知道傳統的NAT不能改變套用層中的IP位址，那么一個最直接的方法就是直接改變套用層的IP位址，在得到終端的私有地址時就直接綁定其公網地址，為此後可能涉及到的互通做好準備。

1：ALG用在什麼地方？

ALG用於以下兩種情況：

a：套用協定需要創建動態連線，而創建動態連線所需的ip地址和連線埠是在協定內容中描述的。由於這些ip地址和連線埠是動態的，所以安全設備無法通過靜態的過濾規則來允許或禁止這些連線，所以就需要動態創建連線。比如FTP協定。

b：套用協定的通訊兩端經過了NAT設備。由於協定中攜帶的地址可能是私有網路地址，因此，需要在NAT設備上把它轉換成網際網路可以定址的地址（或者協定兩端設定了路由，這種方法只能在實驗室裡面用，不能在網際網路上用），如果NAT設備需要支持多個客戶端或伺服器，連線埠也需要修改。修改協定內容，就需要同時修改數據包的長度，校驗和等。如果數據包長度超過了MTU，數據包會被分片。

2：ALG的安全問題

動態連線在創建時只是對連線的部分描述（參數不完整），所以在建立真實連線時，會存在安全隱患（放大了安全設備的安全策略，有可能會創建一些未驗證的連線，所以在實現ALG時，需要特別注意不要把動態連線的參數設定的過於模糊）

3：ALG中的協定解析問題

一般常見的ALG實現都是採用內容匹配的方法，直接在字元串中找相關的ip地址和連線埠。這樣做的好處是實現簡單，壞處是有時不能正確匹配協定。更好的辦法是使用協定解析，但這樣做比較複雜，如果是基於tcp的套用協定，還可能涉及到流重組的問題（無法確定包邊界）。所以一般簡單協定用內容匹配，複雜協定用協定解析（特別是基於udp的協定）

4：哪些情況下不能用ALG

如果協定內容加密，就不能使用ALG（無法解析和修改協定內容）

5：ALG相關的RFC

RFC 3027描述了ALG相關的問題。

6：ALG.exe 經常被病毒利用作為欺騙用戶眼睛的手段