默认=""
§c:/改变后的RUN下
默认="C://WINDOWS//SYSTEM//Kernel32.exe"
§c:/改变前RunServices下
默认=""
§c:/改变后RunServices下
默认="C://WINDOWS//SYSTEM//Kernel32.exe"
§c:/改变前[HKEY_LOCAL_MACHINE/Software/CLASSES/txtfile/shell/open/command]的:
默认="Notepad.exe %1"
§c:/改变后[HKEY_LOCAL_MACHINE/Software/CLASSES/txtfile/shell/open/command]的:
默认="C://WINDOWS//SYSTEM//Sysexplr.exe %1"
[NextPage]
能够看出之所以冰河能够自我恢复主要靠的是C://WINDOWS//SYSTEM//Sysexplr.exe,而且冰河服务器端的编制是加密的,没法简单的通过改注册表得到或换掉。另外值得一提的是,即便您删除了这个键值,也并非平安大吉,冰河还会随时出来给您捣乱,主要因为冰河的服务端也会在c:/windows目录下生成一个叫 sysexplr.exe文档,当然这个目录会随您windows的安装目录变化而变化。
“这个文档名似乎终极解霸啊,冰河竟然如此狠毒。” “哈哈哈哈,您说的很对,也很聪明,这个文档的确很像终极解霸,但是这还是不够称得上为阴险,最为阴险的是这个文档是和文本文档相关联的,只要您打开文本,sysexplr.exe程式就会重新生成一个krnel32.exe,此时您的电脑还是被冰河控制著。而且假如您失误将sysexplr.exe程式破坏,您电脑的文本文档将无法打开。” 木马都会很注意自己的端口,多达六万多中的端口很容易让我们迷失其中,假如您留意的话就会发现,通常情况下木马端口一般都在1000以上,并朝着越来越大的趋势发展。这主要是因为1000以下的端口是常用端口,况且用时占用这些端口可能会造成系统不正常,木马也就会很容易暴露;此外使用大的端口也会让您比较难发现隐藏其中的木马,假如使用远程扫描端口的方式查找木马,端口数越大,需要扫描的时间也就越多,故而使用诸如8765的端口会让您很难发现隐藏在其中的木马。 四 “既然木马如此的阴险,那么前辈有何可知木马的方法啊?” “现在的木马虽然阴险,但终究逃但是几个道理。平时出名的木马,杀毒软件就多数能够对付。但是现在木马种类繁多,有很多杀毒软件对付不了的。但是,只要我们谨记一下几个方法,就能够手到擒来。” “首先,我们能够选择端口扫描来进行判断,因为木马在被植入电脑后会打开电脑的端口,我们能够根据端口列表对电脑的端口进行分析。此外,查看连接也是一种好办法,而且在本地机上通过netstat -a(或某个第三方的程式)查看任何的TCP/UDP连接,查看连接要比端口扫描快,而且能够直观地发现和我们电脑连接的有哪些IP地址。当然,假如您对系统很熟悉的话,也能够通过检查注册表来进行木马的杀除,但是这个方法不适合于那些菜鸟级用户。查找木马特征文档也是一种好方法,就拿冰河来说……” “这个我知道前辈,木马冰河的特征文档一定是G_Server.exe。” “那有这么简单。冰河植入电脑后真正的特征文档是kernl32.exe和sysexlpr.exe。” “太狠毒了,一个跟系统内核文档相同,一个又像终极解霸。那么前辈我们把这两个文档删除掉,这冰河岂不就消失了。” “的确,您要是在DOS模式下删除了他们,冰河就被破坏掉了,但是您的电脑随之会无法打开文本文档,因为您删除的sysexplr.exe文档是和文本文档关联的,您还必须把文本文档跟notepad关联上。修改注册表太危险,您能够在Windows资源管理器中选择查看菜单的文档夹选项,再选择文档类型进行编辑。但是最简单的方法是按住键盘上的SHIFT键的同时鼠标右击任何一个TXT为后缀的文本文档,再选择打开方式,选中〖始终用该程式打开〗,然后找到notepad一项,选择打开就能够了。” “哈哈,按照前辈这么说来,我们只要抓住了这特征,天下的木马也奈何不了我们了。” 五 “哈哈,您可知道除了冰河这样的木马经常使用的隐身技术外,更新、更隐蔽的方法已出现,这就是―驱动程式及动态链接库技术。驱动程式及动态链接库技术和一般的木马不同,他基本上摆脱了原有的木马模式―监听端口,而采用替代系统功能的方法改写驱动程式或动态链接库。这样做的结果是:系统中没有增加新的文档所以不能用扫描的方法查杀、无需打开新的端口所以不能用端口监控的方法进行查杀、没有新的进程所以使用进程查看的方法发现不了他,也不能用kill进程的方法终止他的运行。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程式就立即开始运作。此类木马通过改写vxd文档建立隐藏共享的木马,甚是隐蔽,我们上面的那些方法根本不会对这类木马起作用。 “可是前辈说的这种木马晚生并没有见到啊。”
[NextPage]
“笨蛋!您没有见过,您怎么知道我老人家也没有见过?告诉您我已看到了一个更加巧妙的木马,他就是Share。运行Share木马之前,我先把注册表连同任何硬盘上的文档数量、结构用一个监控软件DiskState记录了起来,这个监控软件使用128bit MD5的技术来捕获任何文档的状态,系统中的任何文档的变动都逃但是他的监控,这个软件均会将他们一一指出。” “前辈我这里第一次运行Share后,系统似乎没有动静,使用Dllshow(内存进程察看软件)观看内存进程,似乎也没有太大的变化。一般木马都会马上在内存驻留的,或许此木马修改了硬盘上的文档。” “好,那么您就接着用DiskState比较运行share.exe前后的记录。” “程式显示windows/applog里面的目录的一些文档和system.dat、user.dat文档起了变化,并没有其他文档的增加和修改。” “系统中的applog目录里面存放了任何应用程式函数和程式调用的情况,而system.dat和user.dat则是组册表的组成文档。您把applog目录里面的share.lgc打开来观看,他的调用过程是什么?” “调用过程如下: c15625a0 92110 "C:/WINDOWS/SYSTEM/OLEAUT32.DLL"
c1561d40 c1000 "C:/WINDOWS/SYSTEM/OLE32.DLL"
c1553520 6000 "C:/WINDOWS/SYSTEM/INDICDLL.DLL"
c15d4fd0 2623 "C:/WINDOWS/WIN.INI"
c15645b0 8000 "C:/WINDOWS/SYSTEM/SVRAPI.DLL"
c1554190 f000 "C:/WINDOWS/SYSTEM/MPR.DLL"
c154d180 a1207 "C:/WINDOWS/SYSTEM/USER.EXE"
c1555ef0 13000 "C:/WINDOWS/SYSTEM/MSNET32.DLL" 但是为什么前辈我们看不到MSWINSCK.OCX或WSOCK2.VXD的调用呢?假如木马想要进行网络通讯,是会使用一些socket调用的。” “那么接着您再观察注册表的变化。”
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
