|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-01-21, 03:03 PM | #1 |
榮譽會員
|
木馬辨認和如何排除
看目前網路上最猖獗的病毒估計非木馬程序莫數了,
特別是在過去的2004年木馬程序的攻擊性也有了很大的加強, 在工作隱藏方面,做了較大的改動, 不再採用獨立的EXE可執行文件形式,而是改為內核嵌入方式、 遠端執行緒插入技術、掛接PSAPI等,這些木馬也是目前最難對付的。 本期就教你搜尋和清除執行緒插入式木馬。 操作步驟: 1.通過自動執行機制查木馬 一說到搜尋木馬,許多人馬上就會想到通過木馬的啟動項來尋找 「蛛絲馬跡」,具體的地方一般有以下幾處: 1)註冊表啟動項: 在「開始/執行」中輸入「regedit」開啟註冊表編輯器, 依次展開[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\] 和 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\], 檢視下面所有以"Run"開頭的項, 其下是否有新增的和可疑的鍵值,也可以通過鍵值所指向的文件路徑 來判斷,是新安裝的軟體還是木馬程序。 另外[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\] 鍵值也可能用 來載入木馬, 比如把鍵值修改為「X:\windows\system\ABC "%1"%」。 2)系統服務 有些木馬是通過增加服務項來實現自啟動的, 大家可以開啟註冊表編輯器,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Runservices]下搜尋可疑鍵值, 並在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\] 下檢視的可疑主鍵。 然後禁用或移除木馬增加的服務項:在「執行」 中輸入「Services.msc」開啟服務設定視窗, 裡面顯示了系統中所有的服務項及其狀態、啟動檔案類型和登入性質等訊息。 找到木馬所啟動的服務, 雙按開啟它,把啟動檔案類型改為「已禁用」,確定後結束。 也可以通過註冊表進行修改, 依次展開「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 服務顯示名稱」鍵, 在右邊視窗中找到二進制值「Start」,修改它的數值數, 「2」表示自動,「3」表示手動,而「4」表示已禁用。 當然最好直接移除整個主鍵,平時可以通過註冊表匯出功能, 制作備份這些鍵值以便隨時對照。 3)開始選單啟動組 現在的木馬大多不再通過啟動表單進行隨機啟動, 但是也不可掉以輕心。 如果發現在「開始/程序/啟動」中有新增的項, 可以右擊它選項「搜尋目標」到文件的目錄下檢視一下, 如果文件路徑為系統目錄就要多加小心了。也可以在註冊表中直接檢視, 它的位置為[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders], 鍵名為Startup。 4)系統INI文件Win.ini和System.ini 系統INI文件Win.ini和System.ini裡也是木馬喜歡隱蔽的場所。 選項「開始/執行」,輸入「msconfig」彈出系統組態實用程序, 檢查Win.ini的[Windows]小節下的load和run字段後面有沒有什麼可疑 程序, 一般情況下「=」後面是空白的;還有在System.ini的[boot] 小節中的Shell=Explorer後面也要進行檢查。 5)批次處理文件 如果你使用的是WIN 9X系統,C碟根目錄下「AUTOEXEC.BAT」 和WINDOWS目錄下的「WinStart.bat」兩個批次處理文件也要看一下, 裡面的指令一般由安裝的軟體自動產生,在系統預設會將它們自動載入。 在批次處理文件語句前加上「echo off」,啟動時就只顯示指令的執行結果,而不顯示指令的本身; 如果再在前面加一個「@」字元就不會出現任何提示, 以前的很多木馬都通過此方法執行。 2.通過文件對比查木馬 最近新出現的一種木馬。它的主程序成功載入後, 會將自身做為執行緒插入到系統工作SPOOLSV中, 然後移除系統目錄中的病毒文件和病毒在註冊表中的啟動項, 以使反病毒軟體和用戶難以查覺, 然後它會監視用戶是否在進行關機和重啟等操作,如果有, 它就在系統關閉之前重新新增病毒文件和註冊表啟動項。 下面的幾招可以讓它現出原形(下面均以Win XP系統為例): 1)對照制作備份的常用工作 大家平時可以先制作備份一份工作列表,以便隨時進行對比搜尋可疑工作。 方法如下:開機後在進行其他操作之前即開始制作備份, 這樣可以防止其他程序載入工作。 在執行中輸入「cmd」,然後輸入「tasklist /svc 》X:\processlist.txt」 (提示:不包括引號,參數前要留空格,後面為文件儲存路徑)Enter鍵。 這個指令可以顯示應用程式和本機或遠端系統上執行的相關的工作/ 工作的列表。輸入「tasklist /?」可以顯示該指令的其它參數。 2)對照制作備份的系統DLL文件列表 對於沒有獨立工作的DLL木馬怎麼辦嗎? 既然木馬打的是DLL文件的主意, 我們可以從這些文件下手,一般系統DLL文件都儲存在system32資料夾下, 我們可以對該目錄下的DLL檔案名等訊息作一個列表, 開啟指令行視窗, 利用CD指令進入system32目錄,然後輸入「dir *.dll》X:\listdll.txt」敲Enter鍵, 這樣所有的DLL檔案名都被記錄到listdll.txt文件中。 日後如果懷疑有木馬侵入, 可以再利用上面的方法制作備份一份文件列表「listdll2.txt」, 然後利用「UltraEdit」等文本編輯工具進行對比; 或者在指令行視窗進入文件儲存目錄,輸入「fc listdll.txt listdll2.txt」, 這樣就可以輕鬆發現那些發生更改和新增的DLL文件, 進而判斷是否為木馬文件。 3)對照已載入模組 頻繁安裝軟體會使system32目錄中的文件發生較大變化, 這時可以利用對照已載入模組的方法來縮小搜尋範圍。 在「開始/執行」中輸入「msinfo32」開啟 「系統資訊」, 展開「軟體環境/載入的模組」, 然後選項「文件/匯出」把它制作備份成文本文件, 需要時再制作備份一個進行對比即可。 4)檢視可疑連接阜 所有的木馬只要進行連接,接收/傳送資料則必然會開啟連接阜, DLL木馬也不例外, 這裡我們使用netstat指令檢視開啟的連接阜。我們在指令行視窗中輸入 「netstat -an」顯示出顯示所有的連接和偵聽連接阜。 Proto是指連接使用的傳輸協定名稱,Local Address是本機電腦的IP位址和連接正在使用的連接阜號, Foreign Address是連接該連接阜的遠端電腦的IP位址和連接阜號, State則是表明TCP連接的狀態。 Windows XP所帶的netstat指令比以前的版本多了一個-O參數, 使用這個參數就可以把連接阜與工作對應起來。 輸入「netstat /?」可以顯示該指令的其它參數。 接著我們可以通過份析所開啟的連接阜,將範圍縮小到具體的工作上, 然後使用工作分析軟體, 例如《WINDOWS最佳化大師》目錄下的WinProcess程序, 來搜尋嵌入其中的木馬程序。 有些木馬會通過連接阜劫持或者連接阜重用的方法來進行通信的, 一般它們會選項139、80等常用連接阜, 所以大家分析時要多加注意。也可以利用網路嗅探軟體 (如:Commview)來瞭解開啟的連接阜到底在傳輸些什麼資料. |
__________________ |
|
送花文章: 3,
|