|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-03-10, 06:28 AM | #1 |
榮譽會員
|
尋找與清除插入式特絡伊木馬
尋找與清除插入式特絡伊木馬
目前網路上最猖獗的病毒估計非木馬程序莫數了,2005年木馬程序的攻擊性也有了很大的加強,在工作隱藏方面,做了較大的改動,不再採用獨立的EXE可執行文件形式,而是改為內核嵌入方式、遠端執行緒插入技術、掛接PSAPI等,這些木馬也是目前最難對付的。現在就教你尋找和清除執行緒插入式木馬。 一、通過自動執行機制查木馬 一說到尋找木馬,許多人馬上就會想到通過木馬的啟動項來尋找「蛛絲馬跡」,具體的地方一般有以下幾處: 1)註冊表啟動項 在「開始/執行」中輸入「regedit.exe」開啟註冊表編輯器,依次展開[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\],檢視下面所有以Run開頭的項,其下是否有新增的和可疑的鍵值,也可以通過鍵值所指向的文件路徑來判斷,是新安裝的軟體還是木馬程序。 另外[HKEY_LOCAL_MACHINE\Software\classes\exefile\shell\open\command\]鍵值也可能用來載入木馬,比如把鍵值修改為「X:\windows\system\ABC.exe %1%」。 2)系統服務 有些木馬是通過增加服務項來實現自啟動的,大家可以開啟註冊表編輯器,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下尋找可疑鍵值,並在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下檢視的可疑主鍵。 然後禁用或移除木馬增加的服務項:在「執行」中輸入「Services.msc」開啟服務設定視窗,裡面顯示了系統中所有的服務項及其狀態、啟動檔案類型和登入性質等訊息。找到木馬所啟動的服務,雙按開啟它,把啟動檔案類型改為「已禁用」,確定後結束。也可以通過註冊表進行修改,依次展開「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服務顯示名稱」鍵,在右邊視窗中找到二進制值「Start」,修改它的數值數,「2」表示自動,「3」表示手動,而「4」表示已禁用。當然最好直接移除整個主鍵,平時可以通過註冊表匯出功能,制作備份這些鍵值以便隨時對照。 3)開始選單啟動組 現在的木馬大多不再通過啟動表單進行隨機啟動,但是也不可掉以輕心。如果發現在「開始/程序/啟動」中有新增的項,可以右擊它選項「尋找目標」到文件的目錄下檢視一下,如果文件路徑為系統目錄就要多加小心了。也可以在註冊表中直接檢視,它的位置為[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders],鍵名為Startup。 4)系統INI文件Win.ini和System.ini 系統INI文件Win.ini和System.ini裡也是木馬喜歡隱蔽的場所。選項「開始/執行」,輸入「msconfig」彈出系統組態實用程序,檢查Win.ini的[Windows]小節下的load和run字段後面有沒有什麼可疑程序,一般情況下「=」後面是空白的;還有在System.ini的[boot]小節中的Shell=Explorer.exe後面也要進行檢查。 5)批次處理文件 如果你使用的是Win9X系統,C碟根目錄下「AUTOEXEC.BAT」和WINDOWS目錄下的「WinStart.bat」兩個批次處理文件也要看一下,裡面的指令一般由安裝的軟體自動產生,在系統預設會將它們自動載入。在批次處理文件語句前加上「echo off」,啟動時就只顯示指令的執行結果,而不顯示指令的本身;如果再在前面加一個「@」字串就不會出現任何提示,以前的很多木馬都通過此方法執行。 二、通過文件對比查木馬 最近新出現的一種木馬。它的主程序成功載入後,會將自身做為執行緒插入到系統工作SPOOLSV.EXE中,然後移除系統目錄中的病毒文件和病毒在註冊表中的啟動項,以使反病毒軟體和用戶難以查覺,然後它會監視用戶是否在進行關機和重啟等操作,如果有,它就在系統關閉之前重新新增病毒文件和註冊表啟動項。下面的幾招可以讓它現出原形(下面均以Win XP系統為例): 1)對照制作備份的常用工作 大家平時可以先制作備份一份工作列表,以便隨時進行對比尋找可疑工作。方法如下:開機後在進行其他操作之前即開始制作備份,這樣可以防止其他程序載入工作。在執行中輸入「cmd」,然後輸入「tasklist /svc >X:\processlist.txt」(提示:不包括引號,參數前要留空格,後面為文件儲存路徑)Enter鍵。這個指令可以顯示應用程式和本機或遠端系統上執行的相關的工作/工作的列表。輸入「tasklist /?」可以顯示該指令的其它參數。 2)對照制作備份的系統DLL文件列表 對於沒有獨立工作的DLL木馬怎麼辦嗎?既然木馬打的是DLL文件的主意,我們可以從這些文件下手,一般系統DLL文件都儲存在system32資料夾下,我們可以對該目錄下的DLL檔案名等訊息作一個列表,開啟指令行視窗,利用CD指令進入system32目錄,然後輸入「dir *.dll>X:\listdll.txt」敲Enter鍵,這樣所有的DLL檔案名都被記錄到listdll.txt文件中。日後如果懷疑有木馬侵入,可以再利用上面的方法制作備份一份文件列表「listdll2.txt」,然後利用「UltraEdit」等文本編輯工具進行對比;或者在指令行視窗進入文件儲存目錄,輸入「fc listdll.txt listdll2.txt」,這樣就可以輕鬆發現那些發生更改和新增的DLL文件,進而判斷是否為木馬文件。 3)對照已載入模組 頻繁安裝軟體會使system32目錄中的文件發生較大變化,這時可以利用對照已載入模組的方法來縮小尋找範圍。在「開始/執行」中輸入「msinfo32.exe」開啟 「系統資訊」,展開「軟體環境/載入的模組」,然後選項「文件/匯出」把它制作備份成文本文件,需要時再制作備份一個進行對比即可。 4)檢視可疑連接阜 所有的木馬只要進行連接,接收/傳送資料則必然會開啟連接阜,DLL木馬也不例外,這裡我們使用netstat指令檢視開啟的連接阜。我們在指令行視窗中輸入「netstat -an」顯示出顯示所有的連接和偵聽連接阜。Proto是指連接使用的傳輸協定名稱,Local Address是本機電腦的IP位址和連接正在使用的連接阜號,Foreign Address是連接該連接阜的遠端電腦的IP位址和連接阜號,State則是表明TCP連接的狀態。Windows XP所帶的netstat指令比以前的版本多了一個-O參數,使用這個參數就可以把連接阜與工作對應起來。輸入「netstat /?」可以顯示該指令的其它參數。 接著我們可以通過份析所開啟的連接阜,將範圍縮小到具體的工作上,然後使用工作分析軟體,例如「Windows最佳化大師」目錄下的WinProcess.exe程序,來尋找嵌入其中的木馬程序。有些木馬會通過連接阜劫持或者連接阜重用的方法來進行通信的,一般它們會選項139、80等常用連接阜,所以大家分析時要多加注意。也可以利用網路嗅探軟體(如:Commview)來瞭解開啟的連接阜到底在傳輸些什麼資料。 |
__________________ |
|
送花文章: 3,
|
2006-03-13, 05:58 AM | #2 (permalink) |
榮譽會員
|
一個鮮為人知的 木馬隨程序啟動的方法
我們知道,有些木馬是通過修改exe的文件關聯來實現隨EXE程序啟動的。今天我在網上看到有另外一個顯為人知的方法,就是通過在註冊表HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\ CurrentVersion\Image File Execution Options 下新增一個註冊表項,項名為A.exe,然後在下面新增一個字元串,字元串名為Debugger,字元串值就是程序B.exe的全路徑。 很明顯,這個是針對系統可以設定每個程序指定的糾錯程序來實現的。讓我感到意外的是A.exe不用指明路徑! 所以,以後大家找木馬時可要注意多一個地方了。不過我覺得搜尋註冊表的方法更直接。 申明:我提供的資料目的是為了讓Windows用戶更好的維護系統安全,強烈反對利用該方法進行任何入侵、破壞行為! |
送花文章: 3,
|
2006-03-15, 03:22 AM | #3 (permalink) |
榮譽會員
|
教您手動式輕鬆清除隱藏在電腦裡的病毒和木馬
教您手動式輕鬆清除隱藏在電腦裡的病毒和木馬 現在上網的朋友越來越多了,其中有一點不可避免的就是如何防範和查殺病毒和惡意攻擊程序了。但是,如果不小心中了病毒而身邊又沒有殺毒軟體怎麼辦?沒有關係,今天我就來教大家怎樣輕鬆地手動式清除藏在電腦裡的病毒和木馬。 檢查註冊表 註冊表一直都是很多木馬和病毒「青睞」的寄生場所,注意在檢查註冊表之前要先給註冊表制作備份。 1、 檢查註冊表中HKEY_LOCAL_MACHINE@Software@Microsoft@Windows@CurrentVersion@Run和HKEY_LOCAL_MACHINE@Software@Microsoft@Windows@CurrentVersion@Runserveice,檢視鍵值中有沒有自己不熟悉的自動啟動檔案,副檔名一般為EXE,然後記住木馬程序的檔案名,再在整個註冊表中搜尋,凡是看到了一樣的檔案名的鍵值就要移除,接著到電腦中找到木馬文件的藏身地將其徹底移除?比如「愛蟲」病毒會修改上面所提的第一項,BO2000木馬會修改上面所提的第二項)。 2、 檢查註冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER@SOFTWARE@Microsoft@Internet Explorer@Main中的幾項(如Local Page),如果發現鍵值被修改了,只要根據你的判斷改回去就行了。惡意程式碼(如「萬花谷」)就經常修改這幾項。 3、檢查HKEY_CLASSES_ROOT@inifile @shell@open@command和HKEY_CLASSES_ROOT @txtfile@shell@open@command等等幾個常用檔案類型的預設開啟程序是否被更改。這個一定要改回來,很多病毒就是通過修改.txt、.ini等的預設開啟程序而清除不了的。例如「羅密歐與朱麗葉」?BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的預設開啟程序。 檢查你的系統組態文件 其實檢查系統組態文件最好的方法是開啟Windows「系統組態實用程序」(從開始選單執行msconfig.exe),在裡面你可以組態Config.sys、Autoexec.bat、system.ini和win.ini,並且可以選項啟動系統的時間。 1、檢查win.ini文件(在C?@windows@下),開啟後,在?WINDOWS?下面,「run=」和「load=」是可能載入「木馬」程序的途徑,必須仔細留心它們。在一般情況下,在它們的等號後面什麼都沒有,如果發現後面跟有路徑與檔案名不是你熟悉的啟動檔案,你的電腦就可能中上「木馬」了。比如攻擊QQ的「GOP木馬」就會在這裡留下痕跡。 2、檢查system.ini文件(在C:@windows@下),在BOOT下面有個「shell=檔案名」。正確的檔案名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程式名稱」,那麼後面跟著的那個程序就是「木馬」程序,然後你就要在硬碟找到這個程序並將其移除了。這類的病毒很多,比如「尼姆達」病毒就會把該項修改為「shell=explorer.exe load.exe -dontrunold」。 檢視文件內容幫你清除木馬 近日,筆者用BT下載了一個格鬥遊戲,執行安裝程序後沒有任何反應。起初,筆者以為是安裝程序已經損壞就順手給刪掉了,沒有特別留意。但第二天開機時,金山毒霸突然無法載入。由於以前也有過類似的經歷,所以筆者感覺昨天下載的那個格鬥遊戲多半元件服務了木馬。 為了安全起見,筆者立刻斷掉了網路連 接,然後開啟「Windows工作管理器」,經過排除找到了名為「sprite.exe」的可疑工作。結束該工作後金山毒霸就可以正常執行了,但仍然無法查出木馬的所在。利用Windows原有的的搜尋功能搜尋「sprite.exe」,選項包括隱藏文件,也只搜到文件「sprite.exe」。正要移除時,筆者突發奇想:木馬通常進駐記憶體時都會自動產生一些輔助文件,何不利用Windows原有的的檢視文件內容功能達到一勞永逸的目的?說幹就幹,找到文件「sprite.exe」用右鍵點擊,在彈出的對話視窗中選項 「內容」,電腦顯示該檔案新增於2003年10月9日18:08:19。點擊「開始→進階搜尋」,將文件新增日期設定為10月9日,搜尋……在搜尋結果中找到兩個新增時間為2003年10月9日18:08:19的文件:「Hiddukel.exe」和「Hiddukel.dll」(大小分別為71KB和15KB),一併移除,大功告成。 後來筆者從網上瞭解到這種木馬叫做「妖精」。最新版本的殺毒軟體和防火牆均不能清除這種木馬。以下是手動式清除此木馬的方法: 1.開啟註冊表編輯器,找到「HKEY_ CLASSES_ROOT\exefile\shell\open\command」下的「C:\Windows\System\Hiddukel.exe」鍵值和「HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command」下的「C:\Windows\System\Hiddukel.exe」鍵值後,將它們移除; 2.開啟C:\Windows\System目錄,找到Hiddukel.exe(71KB)和Hiddukel.dll(15KB)兩個文件後,將它們移除; 3.尋找你的電腦裡是否有Sprite.exe(132KB)或者crawler.exe(131KB),如果有的話也要徹底將它們移除。 現在的木馬多數都會在進駐記憶體時自動產生一些動態連接文件。筆者介紹的這種利用檢視文件新增時間進行文件搜尋的方法,有些時候是很好用的,感興趣的朋友不妨試試(對於經常安裝遊戲和軟體的玩家可能不適用)。 檢視開放連接阜判斷木馬的方法 當前最為一般的木馬通常是關於TCP/UDP傳輸協定進行client端與server端之間的通訊的,既然利用到這兩個傳輸協定,就不可避免要在server端(就是被種了木馬的機器了)開啟監聽連接阜來等待連接。例如鼎鼎大名的冰河使用的監聽連接阜是7626,Back Orifice 2000則是使用54320等等。那麼,我們可以利用檢視本地機開放連接阜的方法來檢查自己是否被種了木馬或其它黑客程序。以下是詳細方法介紹。 1. Windows本身原有的的netstat指令 關於netstat指令,我們先來看看windows求助文件中的介紹: Netstat 顯示傳輸協定統計和現用的 TCP/IP 網路連接。該指令只有在安裝了 TCP/IP 傳輸協定後才可以使用。 netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval] 參數 -a 顯示所有連接和偵聽連接阜。伺服器連接通常不顯示。 -e 顯示乙太網統計。該參數可以與 -s 選項結合使用。 -n 以數位格式顯示位址和連接阜號(而不是嘗試尋找名稱)。 -s 顯示每個傳輸協定的統計。預設情況下,顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可以用來指定預設的子集。 -p protocol 顯示由 protocol 指定的傳輸協定的連接;protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個傳輸協定的統計,protocol 可以是 tcp、udp、icmp 或 ip。 -r 顯示路由表的內容。 interval 重新顯示所選的統計,在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數,netstat 將列印一次現用的配置資訊。 好了,看完這些求助文件,我們應該明白netstat指令的使用方法了。現在就讓我們現學現用,用這個指令看一下自己的機器開放的連接阜。進入到指令行下,使用netstat指令的a和n兩個參數: C:\>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:21 0.0.0.0:0 LISTENING TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING UDP 0.0.0.0:445 0.0.0.0:0 UDP 0.0.0.0:1046 0.0.0.0:0 UDP 0.0.0.0:1047 0.0.0.0:0 解釋一下,Active Connections是指當前本地機活動連接,Proto是指連接使用的傳輸協定名稱,Local Address是本機電腦的 IP 位址和連接正在使用的連接阜號,Foreign Address是連接該連接阜的遠端電腦的 IP 位址和連接阜號,State則是表明TCP 連接的狀態,你可以看到後面三行的監聽連接阜是UDP傳輸協定的,所以沒有State表示的狀態。看!我的機器的7626連接阜已經開放,正在監聽等待連接,像這樣的情況極有可能是已經感染了冰河!急忙中斷連線網路,用殺毒軟體查殺病毒是正確的做法。 2.工作在windows2000下的指令行工具fport 使用windows2000的朋友要比使用windows9X的幸運一些,因為可以使用fport這個程序來顯示本地機開放連接阜與工作的對應關係。 Fport是FoundStone出品的一個用來列出系統中所有開啟的TCP/IP和UDP連接阜,以及它們對應應用程式的完整路徑、PID標幟、工作名稱等訊息的軟體。在指令行下使用,請看例子: D:\>fport.exe FPort v1.33 - TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. http://www.foundstone.com Pid Process Port Proto Path 748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe 748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe 748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe 416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe 是不是一目瞭然了。這下,各個連接阜究竟是什麼程序開啟的就都在你眼皮底下了。如果發現有某個可疑程序開啟了某個可疑連接阜,可千萬不要大意哦,也許那就是一隻狡猾的木馬! Fport的最新版本是2.0。在很多網站都提供下載,但是為了安全起見,當然最好還是到它的老家去下:http://www.foundstone.com/knowledge/zips/fport.zip 3.與Fport功能類似的圖形化介面工具Active Ports Active Ports為SmartLine出品,你可以用來監視電腦所有開啟的TCP/IP/UDP連接阜,不但可以將你所有的連接阜顯示出來,還顯示所有連接阜所對應的程序所在的路徑,本機IP和遠端IP(試圖連接你的電腦IP)是否正在活動。下面是軟體截圖: 是不是很直觀?更棒的是,它還提供了一個關閉連接阜的功能,在你用它發現木馬開放的連接阜時,可以立即將連接阜關閉。這個軟體工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。 其實使用windows xp的用戶無須借助其它軟體即可以得到連接阜與工作的對應關係,因為windows xp所帶的netstat指令比以前的版本多了一個O參數,使用這個參數就可以得出連接阜與工作的對應來。 上面介紹了幾種檢視本地機開放連接阜,以及連接阜和工作對應關係的方法,通過這些方法可以輕鬆的發現關於TCP/UDP傳輸協定的木馬,希望能給你的愛機帶來說明 。但是對木馬重在防範,而且如果碰上反彈連接阜木馬,利用驅動程式及動態連接庫技術製作的新木馬時,以上這些方法就很難查出木馬的痕跡了。所以我們一定要養成良好的上網習慣,不要隨意執行郵件中的附件,安裝一套殺毒軟體,像國內的瑞星就是個查殺病毒和木馬的好幫手。從網上下載的軟體先用殺毒軟體檢查一遍再使用,在上網時開啟網路防火牆和病毒既時監控,保護自己的機器不被可恨的木馬入侵。 |
送花文章: 3,
|