黑客入侵后要做的事就是上傳木馬后門,為了能夠讓上傳的木馬不被發(fā)現(xiàn)����,他們會想盡種種方法對其進(jìn)行偽裝。而作為被害者��,我們又該如何識破偽裝�,將系統(tǒng)中的木馬統(tǒng)統(tǒng)清除掉呢!
一��、文件捆綁檢測
將木馬捆綁在正常程序中���,一直是木馬偽裝攻擊的一種常用手段�。下面我們就看看如何才能檢測出文件中捆綁的木馬。
1.MT捆綁克星
文件中只要捆綁了木馬����,那么其文件頭特征碼一定會表現(xiàn)出一定的規(guī)律,而MT捆綁克星正是通過分析程序的文件頭特征碼來判斷的����。程序運行后,我們只要單擊"瀏覽"按鈕�����,選擇需要進(jìn)行檢測的文件����,然后單擊主界面上的"分析"按鈕,這樣程序就會自動對添加進(jìn)來的文件進(jìn)行分析�。此時,我們只要查看分析結(jié)果中可執(zhí)行的頭部數(shù)�,如果有兩個或更多的可執(zhí)行文件頭部,那么說明此文件一定是被捆綁過的����!
2.揪出捆綁在程序中的木馬
光檢測出了文件中捆綁了木馬是遠(yuǎn)遠(yuǎn)不夠的����,還必須請出"Fearless Bound File Detector"這樣的"特工"來清除其中的木馬���。
程序運行后會首先要求選擇需要檢測的程序或文件��,然后單擊主界面中的"Process"按鈕����,分析完畢再單擊"Clean File"按鈕��,在彈出警告對話框中單擊"是"按鈕確認(rèn)清除程序中被捆綁的木馬��。
二�����、清除DLL類后門
相對文件捆綁運行���,DLL插入類的木馬顯的更加高級,具有無進(jìn)程����,不開端口等特點����,一般人很難發(fā)覺��。因此清除的步驟也相對復(fù)雜一點�����。
1.結(jié)束木馬進(jìn)程
由于該類型的木馬是嵌入在其它進(jìn)程之中的�,本身在進(jìn)程查看器中并不會生成具體的項目,對此我們?nèi)绻l(fā)現(xiàn)自己系統(tǒng)出現(xiàn)異常時����,則需要判斷是否中了DLL木馬。
在這里我們借助的是IceSword工具��,運行該程序后會自動檢測系統(tǒng)正在運行的進(jìn)程����,右擊可疑的進(jìn)程,在彈出的菜單中選擇"模塊信息"�,在彈出的窗口中即可查看所有DLL模塊,這時如果發(fā)現(xiàn)有來歷不明的項目就可以將其選中��,然后單擊"卸載"按鈕將其從進(jìn)程中刪除。對于一些比較頑固的進(jìn)程���,我們還將其中�,單擊"強(qiáng)行解除"按鈕��,然后再通過"模塊文件名"欄中的地址��,直接到其文件夾中將其刪除���。
2.查找可疑DLL模塊
由于一般用戶對dll文件的調(diào)用情況并不熟悉��,因此很難判斷出哪個DLL模塊是不是可疑的��。這樣ECQ-PS(超級進(jìn)程王)即可派上用場�����。
運行軟件后即可在中間的列表中可以看到當(dāng)前系統(tǒng)中的所有進(jìn)程��,雙擊其中的某個進(jìn)程后,可以在下面窗口的"全部模塊"標(biāo)簽中�,即可顯示詳細(xì)的信息,包括模塊名稱���、版本和廠商�,以及創(chuàng)建的時間等。其中的廠商和創(chuàng)建時間信息比較重要����,如果是一個系統(tǒng)關(guān)鍵進(jìn)程如"svchost.exe",結(jié)果調(diào)用的卻是一個不知名的廠商的模塊���,那該模塊必定是有問題的�。另外如果廠商雖然是微軟的�,但創(chuàng)建時間卻與其它的DLL模塊時間不同,那么也可能是DLL木馬���。
另外我們也可以直接切換到"可疑模塊"選項���,軟件會自動掃描模塊中的可疑文件,并在列表中顯示出來���。雙擊掃描結(jié)果列表中的可疑DLL模塊����,可看到調(diào)用此模塊的進(jìn)程���。一般每一個DLL文件都有多個進(jìn)程會調(diào)用���,如果調(diào)用此DLL文件的僅僅是此一個進(jìn)程�����,也可能是DLL木馬���。點擊"強(qiáng)進(jìn)刪除"按鈕,即可將DLL木馬從進(jìn)程中刪除掉�。
三、徹底的Rootkit檢測
誰都不可能每時每刻對系統(tǒng)中的端口�����、注冊表��、文件�����、服務(wù)進(jìn)行挨個的檢查��,看是否隱藏木馬���。這時候我可以使用一些特殊的工具進(jìn)行檢測����。
1.Rootkit Detector清除Rootkit
Rootkit Detector是一個Rootkit檢測和清除工具���,可以檢測出多個Windows下的Rootkit 其中包括大名鼎鼎的hxdef.100��。 使用方法很簡單���,在命令行下直接運行程序名"rkdetector.exe"即可。程序運行后將會自動完成一系統(tǒng)列隱藏項目檢測���,查找出系統(tǒng)中正在運行的Rootkit程序及服務(wù)�����,以紅色作出標(biāo)記提醒���,并嘗試將它清除掉。
2.強(qiáng)大的Knlps
相比之下���,Knlps的功能更為強(qiáng)大一些����,它可以指定結(jié)束正在運行的Rootkit程序。使用時在命令行下輸入"knlps.exe -l"命令�����,將顯示系統(tǒng)中所有隱藏的Rootkit進(jìn)程及相應(yīng)的進(jìn)程PID號���。找到Rootkit進(jìn)程后�����,可以使用"-k"參數(shù)進(jìn)行刪除�。例如已找到了"svch0st.exe"的進(jìn)程�,及PID號為"3908",可以輸入命令"knlps.exe -k 3908"將進(jìn)程中止掉����。
四、克隆帳號的檢測
嚴(yán)格意義上來說�,它已經(jīng)不是后門木馬了。但是他同樣是在系統(tǒng)中建立了管理員權(quán)限的賬號�����,但是我們查看的卻是Guest組的成員,非常容易麻痹管理員�����。
在這里為大家介紹一款新的帳號克隆檢測工具LP_Check����,它可以明查秋毫的檢查出系統(tǒng)中的克隆用戶�!
LP_Check的使用極其簡單,程序運行后會對注冊表及"帳號管理器"中的用戶帳號和權(quán)限進(jìn)行對比檢測����,可以看到程序檢測出了剛才Guest帳號有問題,并在列表中以紅色三角符號重點標(biāo)記出來�,這時我們就可以打開用戶管理窗口將其刪除了。
通過介紹相信已經(jīng)能夠讓系統(tǒng)恢復(fù)的比較安全了���,但是要想徹底避免木馬的侵害��,還是需要對其基礎(chǔ)知識加以了解��。
關(guān)鍵詞標(biāo)簽:木馬,系統(tǒng),快速,進(jìn)程,
如何使HIPS 防止U盤病毒的入侵
用小工具巧殺計算機(jī)病毒
Windows 17年的老漏洞(VDM 0day)須警惕
光驅(qū)也瘋狂 Autorun病毒冒充文件夾