在经济利益的驱动下,地下木马产业日趋成熟,形成了包括漏洞挖掘者、木马作者、打包者、流量贩子、打包者等角色的完整产业链。 木马数量的激增给互联网安全带来了严峻的挑战。 近日,某大型国有企业对其2009年上半年反病毒报告进行了抽样分析。报告显示,前十大风险类型中,木马类风险有7种(占全部风险类型的64.8%)。风险类型)。 当前企业网络面临的最大威胁。
目前终端计算机木马的检测方法主要有杀毒软件检测和人工检测。 手动检测方式一般使用辅助工具从查看端口、进程、服务、启动项、位置到文件处理等对木马进行全面检测; 手动检测木马的大致流程如图1所示。常用的辅助工具有、、FPort、、学特、、、天涯等。手动检测计算机木马可分为以下五个步骤。
1.检查异常端口
木马入侵的目的通常是控制服务器并窃取用户信息。 为了达到这个目的,客户端和服务器之间必须建立网络连接,而网络连接通常涉及到过程端口。 因此,检测木马可以从检查异常开始。 从端口开始。 为了便于分析,在查看端口之前,请关闭任务栏中所有非必要进程,然后使用命令或其他辅助工具查看异常端口。
(1)使用系统自带的
大多数系统都带有网络状态检测工具。 在命令行提示符下输入“-a-0”即可查看所有开放的端口以及激活该端口的程序的进程标识符(PID),如图2所示。
按组合键Ctrl+Alt+Del打开任务管理器,搜索PID对应的进程。 如图3所示,PID为920的进程的映像名称为.EXE。 这是系统浏览器进程,但是在此之前浏览器已经在任务栏中关闭了,而此时.EXE还在运行。 初步可以断定这是一个可疑的过程。
(2)端口枚举工具
虽然可以使用系统自带的工具查看所有开放的端口以及激活该端口的程序的进程标识符(PID),但有些操作系统没有“-a-0”选项,因此无法找到激活的端口某个端口。 相应的进程,有的操作系统甚至没有工具。 这时候就需要用到端口枚举工具了。
FPort 和 FPort 都是优秀的端口枚举工具。 功能与“-a-0”类似; FPort不仅列出了本地系统中所有开放的TCP和UDP端口,还给出了该端口对应的进程的PID、进程名和完整路径。
另外,诸如XueTr、天涯等辅助工具都具有查看端口状态的功能,并且这些工具具有图形用户界面,方便操作和分析。
2.检查进度
狡猾的木马具有很强的隐藏功能。 它们的进程一般不会出现在任务管理器中,有些木马甚至不需要在通信中涉及端口。 因此,通过端口查找对应木马进程的方法有很大的局限性。 。 另外,木马一般都具有进程防护功能。 有时即使发现木马,也很难直接终止木马进程。 寻找木马进程一般需要借助辅助工具。 、XueTr、、天涯都是性能优秀的木马查杀工具。 各自在检测木马进程方面各有特点,配合使用效果会更好。
(1)查看进程文件属性
一般情况下,通过进程文件属性,除了查看文件类型、位置、大小、创建时间等信息外,还可以查看详细的版本信息(包括产品版本、产品名称、公司等信息),同时病毒和木马文件一般没有版本信息,或者只是简单的、不规则的字符组合。 进程文件属性是识别木马的重要参考选项。 、XueTr和XueTr都有查看进程文件属性的功能。
(2)查看进程线程
一个进程一般由多个线程组成。 有时木马会将自己的线程注入到其他合法程序中,然后启动这些进程来达到自己的目的,从而安全地躲避病毒和木马查杀软件。 、XueTr、、都有查看和结束进程线程的功能。 其中前三个还具有“挂起线程”和“恢复线程”功能选项。 当结束、挂起/恢复某些线程时,可以通过观察并比较终端的变化来判断进程是否被木马线程注入。 以使用XueTr查看灰鸽子木马进程为例。 如图4所示,它由两个线程组成。 经测试,只要其中任何一个挂起,然后检查系统的端口状态,如图5所示,端口的连接状态已较原来发生了变化,客户端也失去了连接。与服务器的连接。 由此可以确定,这两个线程都是灰鸽子木马进程的线程。
(3)查看进程模块
DLL文件是指扩展名为.DLL的文件,即“动态链接库”。 每个进程运行时,都会调用几个到数百个动态库。 每个动态库完成特定部分的功能。 有时,木马会通过DLL注入来达到自身运行的目的。 通过查看进程模块,可以查看进程中调用的动态库。 、XueTr、都有查看进程模块的功能。 其中XueTr和XueTr在查看流程模块方面各有特点。 查看流程模块时建议使用XueTr。
(四)网上查询
在流程分析的过程中,我们经常会遇到很多陌生的、可疑的流程。 当无法通过文件属性、线程信息、模块信息等来识别是否是病毒或木马进程时,我们可以使用一些免费的在线扫描网站,例如。 该网站使用多个不同制造商(目前有37个)提供的最新版本的病毒检测引擎网站木马检测工具,对上传的可疑文件进行在线扫描。 扫描完成后,可以立即给出检测结果,告知用户有多少杀毒软件报告发现了病毒,从而给出了该文件的可疑程度。
文件扫描结果只能作为分析过程的参考,因为扫描引擎也可能造成误报。 建议上网搜索该流程的相关资料,以便进一步分析。 您可以在百度或Baidu等搜索引擎中输入关键字进行查询。 另外,还提供专门的在线搜索功能,可以在线搜索相关工艺信息。
(5) 终止进程
在手动检测木马的过程中,通常需要终止进程来检测可疑进程。 木马软件一般都具有很强的进程守护功能。 一般情况下,无法在任务管理器或普通木马检测工具中直接终止该进程。 、、、XueTr等都有很强的终止进程的能力。 经测试,当这五个软件同时运行时,前四个软件无法终止天涯进程,但天涯可以轻松终止其他进程。 清除顽固木马时,推荐使用天涯。
3.检查服务和注册表项
木马潜入主机后,通常会将自己注册为系统服务,以避免被病毒和木马防护软件检测到。 因此,在手动检测木马时,需要关注系统服务项。 在这里,您可以通过管理工具查看系统的所有服务项目。 但这种查看方式通常效果不佳:首先,它要求检查员对所有服务项目有充分的了解; 其次,该方法对隐藏服务项目无能为力。 。 因此,最好使用辅助工具来排除系统服务项的故障。
-ao命令界面图
推荐首选辅助工具。
4、检查木马启动项
虽然可以通过终止木马进程和线程、删除服务和注册表项来结束木马进程,但并没有达到根除木马病毒的目的。 自启动技术是每一个优秀木马都不可或缺的功能。 这样可以保证木马不会因为用户的关机操作而彻底失效。 因此,要根除木马,还需要检查木马可能自动加载的地方。
(1)查看启动组
有时,特洛伊木马并不关心它的行踪。 它更关注是否可以自动加载到系统中,因为木马一旦加载到系统中,无论使用什么方法都很难将其删除。 因此,启动组会自动加载到系统中。 加载和运行的好地方。 注意经常检查启动组,是否有不熟悉的启动项,注册表中的启动目录是否被修改。
(2)查看win.ini、.ini等系统配置文件
打开win.ini,[]字段中有启动命令“load=”和“run=”。 一般情况下,“=”后跟一个空格。 如果有后续程序,那么这个file.exe很可能是木马。
打开.in,在[boot]字段中,正常情况下是“shell=.exe”,如果是“shell=.exe file.exe”,则说明木马中了,file.exe就是木马服务器程序。 另外,在.ini中的[]字段中,注意检查该部分的“=路径程序名”,该部分也可能被木马利用。 此外,.ini中的[mic]、[]、[]三个字段也是用来加载驱动的,但它们也是添加木马程序的好地方。
(3)查看报名表
木马还可能隐藏在注册表中用于在系统启动时自动执行程序的键中。 如果逐一查找每个键值,不仅麻烦,而且还可能漏掉某项。 建议从系统配置实用程序的“启动”项中搜索。 在“开始”菜单的“运行”对话框中输入“”网站木马检测工具,然后单击“确定”按钮,进入系统配置实用程序。 单击“开始”进入如图6所示的界面,其中列出了注册表。 对于所有伴随系统启动的启动项,“位置”栏对应启动项在注册表中的位置,“命令”栏对应启动项在注册表中的键值。 检查是否有关键值异常。
(4) 文件关联
修改文件关联是木马常用的方法。 因此,需要经常检查主键,看其键值是否被修改。
(5) Hook函数和图像劫持
挂钩功能和图片劫持也是常见的木马启动手段,因此在检测木马时需要注意这两项。
查看hooks时,要特别注意SSDT(Table)、FSD(File)等项。 推荐使用XueTr。 使用XueTr可以查看SSDT、SSDT、FSD、消息钩子、内核钩子、钩子和系统中断表等8种钩子情况。 挂钩的函数将以红色字体显示。 对于钩住的位置,可以直接右键恢复钩住的位置。
查看图片劫持时,建议直接删除这些项目,或者通过注册表路径找到对应的项目,然后手动删除。 然而,通常只有用户和用户才有权限修改、读取和写入这些项目。
我们一直努力保持原创性……请不要二话不说就悄悄拿走。
如果我原创,你也原创,我们的内容世界将会更加精彩!
【所有原创内容版权归版权人所有,欢迎大家转发分享。 但未经授权,任何媒体(平面媒体、网络媒体、自媒体等)及微信公众号严禁复制、转载、摘编或以其他方式使用。 】
微信公众号
官方微博
中国
*请认真填写需求信息,我们会在24小时内与您取得联系。