查找与清除插入式特络伊木马
如今网络上最放肆的病毒估计非木马步伐莫数了,2005年木马步伐的攻击性也有了很大的增强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可实行文件形式,而是改为内核嵌入方法、远程线程插入技能、挂接PSAPI等,这些木马也是如今最难敷衍的。本期就教你查找和扫除线程插入式木马。
一、通过主动运行机制查木马
一说到查找木马,很多人顿时就会想到通过木马的启动项来探求“蛛丝马迹”,具体的地方一般有以下几处:
1)注册表启动项
在“开端/运行”中输出“regedit.exe”翻开注册表编辑器,顺次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\],查看下面全部以Run扫尾的项,其下能否有新增的和可疑的键值,也可以通过键值所指向的文件路径来果断,是新安置的软件还是木马步伐。
别的[HKEY_LOCAL_MACHINE\Software\classes\exefile\shell\open\command\]键值也大概用来加载木马,好比把键值修改为“X:\windows\system\ABC.exe %1%”。
2)系统办事
有些木马是通过添加办事项来完成自启动的,大家可以翻开注册表编辑器,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑键值,并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主键。
然后禁用或删除木马添加的办事项:在“运行”中输出“Services.msc”翻开办事设置窗口,里面显示了系统中全部的办事项及其状态、启动范例和登录性质等信息。找到木马所启动的办事,双击翻开它,把启动范例改为“已禁用”,确定后退出。也可以通过注册表进行修改,顺次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\办事显示称号”键,在右边窗格中找到二进制值“Start”,修改它的数值数,“2”表现主动,“3”表现手动,而“4”表现已禁用。固然最好间接删除整个主键,平时可以通过注册表导出功能,备份这些键值以便随时对照。
3)开端菜单启动组
如今的木马大多不再通过启动菜单进行随机启动,但是也不行漫不经心。要是发如今“开端/步伐/启动”中有新增的项,可以右击它选择“查找目标”到文件的目录下查看一下,要是文件路径为系统目录就要多加警惕了。也可以在注册表中间接查看,它的位置为[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders],键名为Startup。
4)系统INI文件Win.ini和System.ini
系统INI文件Win.ini和System.ini里也是木马喜好隐蔽的场所。选择“开端/运行”,输出“msconfig”调出系统配置实用步伐,检查Win.ini的[Windows]小节下的load和run字段后面有没有什么可疑步伐,一般环境下“=”后面是空白的;另有在System.ini的[boot]小节中的Shell=Explorer.exe后面也要进行检查。
5)批处理文件
要是你利用的是Win9X系统,C盘根目录下“AUTOEXEC.BAT”和WINDOWS目录下的“WinStart.bat”两个批处理文件也要看一下,里面的下令一般由安置的软件主动天生,在系统默认会将它们主动加载。在批处理文件语句前加上“echo off”,启动时就只显示下令的实行效果,而不显示下令的自己;要是再在前面加一个“@”字符就不会出现任何提示,曩昔的很多木马都通过此要领运行。
二、通过文件对比查木马
最近新出现的一种木马。它的主步伐乐成加载后,会将自身做为线程插入到系统进程SPOOLSV.EXE中,然后删除系统目录中的病毒文件和病毒在注册表中的启动项,以使反病毒软件和用户难以查觉,然后它会监视用户能否在进行关机和重启等操作,要是有,它就在系统封闭之前重新创立病毒文件和注册表启动项。下面的几招可以让它现出本相(下面均以Win XP系统为例):
1)对照备份的常用进程
大家平时可以先备份一份进程列表,以便随时进行对比查找可疑进程。要领如下:开机后在进行其他操作之前即开端备份,如许可以防备其他步伐加载进程。在运行中输出“cmd”,然后输出“tasklist /svc >X:\processlist.txt”(提示:不包括引号,参数前要留空格,后面为文件生存路径)回车。这个下令可以显示应用步伐和当地或远程系统上运行的相关使命/进程的列表。输出“tasklist /?”可以显示该下令的其它参数。
2)对照备份的系统DLL文件列表
对付没有独立进程的DLL木马怎么办吗?既然木马打的是DLL文件的主意,我们可以从这些文件动手,一般系统DLL文件都生存在system32文件夹下,我们可以对该目录下的DLL文件名等信息作一个列表,翻开下令行窗口,利用CD下令进入system32目录,然后输出“dir *.dll>X:\listdll.txt”敲回车,如许全部的DLL文件名都被记载到listdll.txt文件中。日后要是猜疑有木马侵入,可以再利用上面的要领备份一份文件列表“listdll2.txt”,然后利用“UltraEdit”等文本编辑东西进行对比;大概在下令行窗口进入文件生存目录,输出“fc listdll.txt listdll2.txt”,如许就可以轻松发现那些发生更改和新增的DLL文件,进而果断能否为木马文件。
3)对照已加载模块
频仍安置软件会使system32目录中的文件发生较大变革,这时可以利用对照已加载模块的要领来减少查找范围。在“开端/运行”中输出“msinfo32.exe”翻开 “系统信息”,展开“软件环境/加载的模块”,然后选择“文件/导出”把它备份成文本文件,必要时再备份一个进行对比即可。
4)查看可疑端口
全部的木马只要进行连接,接收/发送数据则一定会翻开端口,DLL木马也不例外,这里我们利用netstat下令查看开启的端口。我们在下令行窗口中输出“netstat -an”显示出显示全部的连接和侦听端口。Proto是指连接利用的协议称号,Local Address是当地盘算机的IP地址和连接正在利用的端标语,Foreign Address是连接该端口的远程盘算机的IP地址和端标语,State则是表明TCP连接的状态。Windows XP所带的netstat下令比曩昔的版本多了一个-O参数,利用这个参数就可以把端口与进程对应起来。输出“netstat /?”可以显示该下令的其它参数。
接着我们可以通过分析所翻开的端口,将范围减少到具体的进程上,然后利用进程分析软件,例如“Windows优化大师”目录下的WinProcess.exe步伐,来查找嵌入此中的木马步伐。有些木马会通过端口挟制大概端口重用的要领来进行通讯的,一般它们会选择139、80等常用端口,所以大家分析时要多加注意。也可以利用网络嗅探软件(如:Commview)来相识翻开的端口到底在传输些什么数据。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
