廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1703 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 多管齊下,一步一步揪出隱藏的木馬!
多管齊下,一步一步揪出隱藏的木馬!
來源:中國IT實驗室收集整理 時間:2006-11-23 作者:佚名

許多駭客工具中,都被作者加得有後門,一不小心就很容易中招。怎麼判斷自己下載的軟體裏面到底有沒有後門呢?今天筆者就將自己平時檢測軟體安全性的方法告訴大家……
一、安裝程式驗身,木馬後門不得入內
  從網上下載各種軟體程式,本身就是一種很危險的行為,許多下載站點網頁被惡意者攻擊挂馬,或是在安裝程式中捆綁木馬。因此,首先對下載與安裝程式過程進行了檢測,看看是否包含木馬病毒。
  1.搭建測試環境
  在進行測試前,筆者往往會先對當前系統備份。筆者最常用系統備份工具是“雨過天晴電腦保護系統”(如圖1),這個軟體可為系統建立多個還原點,可恢復到任何狀態,還原速度不超過十秒鐘,最適合進行軟體安裝測試。使用方法很簡單,打開程式介面,點擊左側的“創建進度”按鈕,輸入進度名稱為描述資訊,確定後即可為當前系統創建一個備份。

圖1 裝個“雨過天晴”對電腦進行保護
  同時,筆者在系統中安裝了江民殺毒軟體KV2006,並升級了最新的病毒庫。然後點擊功能表“工具”→“選項”,選擇“實時監控”選項卡,開啟病毒實時監控的所有項目。
  2.檢測下載網頁及安裝程式
  因此在打開網頁進行下載前,確定開啟了殺毒軟體網頁實時監控項目(如圖2),然後從測試網站上下載了一個安全工具,在下載過程中殺毒軟體沒有提示報警。然後在資源管理器中,右鍵點擊下載來的工具壓縮包,選擇“江民殺毒”命令,進行徹底的病毒掃描,也未提示有病毒。

圖2 江民提示沒有病毒


二、監視安裝過程,後門別想混進
  確認開啟了KV2006實時監控中的“文件監控”與“註冊表監控”功能,開始安裝下載的安全工具,在安裝過程中KV2006未提示發現病毒,不過註冊表監控功能有了提示(如圖3)!

圖3 註冊表監有了提示
  剛才安裝程式對註冊表動了什麼手腳呢?點擊KV2006介面功能表“工具”→“木馬一掃光”,打開木馬一掃光工具窗口。點擊功能表“查看”→“攔截記錄”,在中間的列表窗口中顯示了被修改註冊表鍵值是“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects”,該註冊表項用於管理IE插件的載入(如圖4)。打開IE瀏覽器,看到工具欄中居然多出了一個“情色搜索”的按鈕。

圖4 IE工具欄多出了一個“情色搜索”
  沒辦法,只好在“運行”中輸入“regedit.exe”,執行後打開註冊表管理器,找到攔截的註冊表鍵,將其刪除掉。最後再次用KV2006掃描程式的安裝目錄及整個系統,確認系統中沒有感染木馬及病毒,繼續下面的檢測。
三、勘察程式留下的腳印
  有的程式雖然沒有為系統帶來木馬和病毒,但是卻無法完全徹底的卸載清除,會在系統中留下一些後門,悄悄記錄用戶私密數據。恢復乾淨的系統後,筆者進行了如下的卸載測試:
  1.生成快照
  在安裝程式前,首先運行了快照工具Regshot,設置“比較記錄另存為HTML文檔”;勾選“掃描”項,設置“快照目錄”為“C:\”;在“輸出路徑”中設置對比文件保存在“D:\”。然後點擊“攝取1”→“攝取並存檔”命令,程式開始對當前系統文件及註冊表情況生成快照(如圖5)。

圖5 生成系統快照
  然後安裝程式,運行一段時間後,將程式卸載掉,切換回Regshot程式。點擊介面中的“攝取2”→“攝取並存檔”命令,程式開始掃描程式卸載後的系統文件及註冊表情況並生成快照文件。

2.快照對比
  點擊“比較”按鈕,程式開始對比兩次快照文件的不同,對比完畢自動打開比較記錄文件。可以看到程式卸載後,未在硬盤中保留其他多餘的文件,但是那個註冊表鍵值還保留著的(如圖6)。

圖6 比較結果
四、檢測伴生木馬進程
  有一些程式在運行時會同時在記憶體中解壓並運行隱蔽的後門,因此檢測程式的伴生進程是很重要的一個步驟。
  1.生成進程記錄文件
  點擊“開始”→“運行”功能表,執行“cmd.exe”命令,打開命令提示符窗口。在命令提示符下執行命令:“tasklist >D:\1.txt”,成功後將會在D盤下生成一個名為“1.txt”的文件,其中記錄了當前系統中所有的進程名。
  運行程式後,再次執行命令:“tasklist >D:\2.txt”(PConline注:tasklist命令在WinXP Pro中自帶,WinXP Home中無。),將會生成新的進程記錄文件“2.txt”。
  2.對比進程列表
  在命令提示符窗口中執行命令:“FC D:\1.txt D:\2.txt >D:\3.txt”,成功後將會自動對比兩個進程記錄文件中的不同,並生成對比文件。打開對比文件“3.txt”,可以看到程式運行後只產生了一個名為“domain3.5.exe”的進程(如圖7)。

圖7 對比後發現多了一個“domain3.5.exe”的進程
  3.檢測隱藏進程
  不過Windows中自帶的進程管理命令,無法顯示一些內核級或帶有ROOTKIT隱藏性能的進程,因此還是需要檢測程式運行時是否產生了隱藏的間諜進程。可使用IceSword工具,使用方法很簡單,這裡就不多作介紹了。
五、查出程式後門
  有的程式本身就可能有後門組件,開啟後沒有執行功能即會在後臺收集用戶私密數據。要發送數據就必須打開端口,因此只要檢測系統中是否打開了多餘的端口。
  運行IceSword,點擊左側“查看”→“端口”,在右側觀察系統端口開放情況。然後運行程式後,在窗口中點擊右鍵,選擇“刷新列表”命令,可以看到程式連接了遠程主機的8080端口(如圖8)!在程式中很有可能包含著某些後門!那就跟蹤分析一下後門程式究竟幹了些什麼!

圖8 用IceSword查看程式連接狀況


六、嗅探後門程式
  首先,運行Winsock Expert,點擊工具欄“打開”,在對話方塊中點擊程式進程名,再點擊確定按鈕,開始嗅探。在嗅探過程中,筆者進行了正常的網路操作,瀏覽一些網頁撰寫了一個文檔。過了大約二十分鐘後,返回嗅探數據窗口。查看其中“Status”欄中有“send”標記的,點擊該列數據,下方窗口顯示程式向遠程伺服器發送了數據資訊(如圖9)。沒想到其中居然有“Username”之類的字符串!雖然發送的數據串看起來比較奇怪,但肯定是發送用戶名數據的,那密碼之類的資訊肯定也被記錄發送了!

圖9 用Winsock Expert嗅探發送狀況
  沒想到隨便下載的一個所謂“駭客工具”,裏面居然有這樣的貓膩,筆者趕快關閉了程式並將其徹底清除出系統。網上下載的軟體使用時真的要慎重啊!如果碰上一些可疑的程式,可以按筆者介紹的方法時行檢測,看看這個程式是不是真的乾淨!



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣 和信超媒體寬帶網 | Posted:2006-11-24 03:28 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.070968 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言