木馬在互聯網上肆虐,我們一不小心就會成為黑客手中的肉雞。到時自己的電腦成為被黑客控制的傀儡,而且自己的個人隱私也完全暴露。拒絕黑客控制,我的電腦我做主。在五一節後這一黑客大肆捕獲肉雞的時段開始了,我們針對木馬特點,用4招自檢避免成為黑客肉雞。
小知識:肉雞實際上就是中了黑客的木馬,或者被安裝了後門程序的電腦。黑客可以像計算機管理員一樣對肉雞進行所有操作。現在許多人把有WEBSHELL權限的遠程主機也叫做肉雞。
第一招:系統進程辨真偽
當前流行的木馬,為了更好地對自身加以隱藏,使用了很多方法進行自身隱蔽,其中最常見的就是進程隱藏。這種方法不僅讓人很難通過常見的檢查手法查找到,如果用戶操作不當的話還可能將系統進程刪除,造成系統不穩定甚至崩潰。常見的這類木馬程序包括灰鴿子、守望者、上興木馬等。
自檢方法
黑客為了對木馬進行更好的偽裝,常常將木馬名稱設置得和系統進程名稱十分相似。通常系統進程都是有System用戶加載的,如果我們發現某個“系統進程”是由當前用戶加載的,那麼這個“系統進程”一定有問題。
另外我們也可以從系統進程的路徑來進行分辨,比如正常的系統進程svchost.exe應該在“c:\Windows\system32”目錄下,如果用戶發現它的路徑在其他目錄下就表明該進程有問題。tW.winGwIT.Com
除此以外,現在的木馬很注意對自身服務端程序的保護,我們通過“任務管理器”很可能查看不到木馬的服務端進程,因為木馬程序通過線程插入等技術對服務端程序進行了隱藏。
在這裡樹樹建議大家使用IceSword(下載地址:http://download.cpcw.com)對進程進行管理。它除了可以查看各種隱藏的木馬後門進程,還可以非常方便地終止采用多線程保護技術的木馬進程。
進入IceSword點擊“文件→設置”命令,去掉對話框中的“不顯示狀態為Deleting的進程”選項。點擊程序主界面工具欄中的“進程”按鈕,在右邊進程列表中就可以查看到當前系統中所有的進程,隱藏的進程會以紅色醒目地標記出(圖1)。
另外,如果發現多個IE進程、Explore進程或者Lsass進程,那麼我們就要留意了。因為很多木馬都會偽裝成這幾個進程訪問網絡。
應對方法
在IceSword的進程列表中選擇隱藏的木馬程序,點擊鼠標右鍵中的“強行結束”命令即可結束這個進程。然後點擊IceSword的“文件”按鈕,通過程序模擬的資源管理器命令,找到並刪除木馬程序的文件即可。]
第二招:啟動項中細分析
一些木馬程序通過系統的相關啟動項目,使得相關木馬文件也可以隨機啟動,這類木馬程序包括TinyRAT、Evilotus、守望者等。
檢方法
運行安全工具SysCheck(下載地址:http://download.cpcw.com),點擊“服務管理”按鈕後即可顯示出當前系統中的服務信息,如果被標注為紅色的就是增加的非系統服務。通過“僅顯示非微軟”選項就可以屏蔽系統自帶的服務,這樣惡意程序添加的服務項就可以立刻現形。
點擊“修改時間”或“創建時間”選項,就可以讓用戶馬上查看到新建的系統服務(圖2)。從圖中我們可以看到一個被標注為紅色、名稱為Windows Media Player的系統服務,該服務所指向的是一個不明程序路徑。因此可以確定該服務就是木馬程序的啟動服務。
通過安全工具SysCheck的“活動文件”項目,可以顯示出包括啟動項等信息在內的、容易被惡意程序改寫的系統注冊表鍵值。比如現在某些惡意程序,通過修改系統的“load”項進行啟動,或者修改系統的BITS服務進行啟動。由於SysCheck程序只是關注改寫了的鍵值,所以在不同的系統上顯示的內容並不一樣。
應對方法
進入SysCheck點擊鼠標右鍵中的“中止服務”選項,中止該木馬程序的啟動服務,接著點擊“刪除服務”命令刪除指定的服務鍵值。然後點擊“文件浏覽”按鈕,由於SysCheck采用了反HOOK手段,所以內置的資源管理器可以看到隱藏的文件或文件夾,這樣就方便了我們進行隱藏文件的刪除工作。按照木馬服務所指的文件路徑,找到文件後點擊鼠標右鍵中的“刪除”按鈕即可。
第三招:系統鉤子有善惡
木馬程序之所以能成功地獲取用戶賬號信息,就是通過鉤子函數對鍵盤以及鼠標的所有操作進行監控,在辨別程序類型後盜取相應的賬號信息。也就是說,只要擁有鍵盤記錄功能的木馬程序,就肯定會有系統鉤子存在。
自檢方法
通過游戲木馬檢測大師(下載地址:http://download.cpcw.com)的“鉤子列表”功能,可以顯示系統已經安裝的各種鉤子,這樣可以顯示出當前網絡中流行的主流木馬。
點擊“鉤子列表”標簽進行鉤子信息的查看,並且不時點擊鼠標右鍵中的“刷新”命令對系統鉤子進行刷新。因為木馬程序只有在鍵盤記錄的時候才會啟用鉤子,如果大家中了木馬,那麼很快就會在列表中有所發現了。在本例中一個名為WH_JOURNALRECORD可疑的鉤子被程序以顯著顏色標記出來(圖3)。
這個鉤子是用來監視和記錄輸入事件的,黑客可以使用這個鉤子記錄連續的鼠標和鍵盤事件。在此時,我們就應該引起重視,不要再使用QQ等需要輸入密碼的程序。
應對方法
清除方法比較簡單,只要記錄下動用系統鉤子的進程PID,通過PID值找到該木馬程序的進程後結束該進程,再輸入“Regedit”打開注冊表編輯器,並點擊“編輯”菜單中的“查找”命令,在此窗口搜索該木馬程序進程的相關消息,將找到的所有信息全部刪除。
重新啟動計算機,只要在安全模式下刪除系統目錄中的木馬文件信息即可。當然也可以通過前面幾種方式進行相互檢測,這樣可以更加有效地清除系統中的木馬程序。
第四招:數據包裡藏乾坤
現在,越來越多的木馬程序利用了Rootkit技術。Rootkit是一種集合了系統間諜程序、病毒以及木馬等特性的一種惡意程序,它利用操作系統的模塊化技術,作為系統內核的一部分進行運行,有些Rootkits可以通過替換DLL文件或更改系統來攻擊Windows平台。
自檢方法
同樣我們還是使用游戲木馬檢測大師這款程序,利用它的“發信檢測”功能來判斷自己的系統中是否被安裝了木馬程序。在使用該功能以前,首先需要判斷系統的網卡是否工作正常。
我們關閉其他一切會擾亂網絡數據捕捉的程序,然後去除“只捕獲smtp發信端口(25)和Web發信端口(80)”選項,點擊“開始”按鈕就可以進行數據包的捕捉。如果這時捕捉到有數據包發出,就證明自己的系統中存在木馬程序。
根據木馬程序連接方式的不同,捕捉到的數據信息也不盡相同,但是捕捉到客戶端程序的IP地址還是沒有問題的(圖4)。用過嗅探器的朋友都知道,我們可以通過設置過濾病毒特征數據包來發現蠕蟲病毒,當然這種方法需要一定的相關知識,這裡就不再敘述了。
應對方法
對於這種利用Rootkit技術的木馬程序,可以直接通過一些Rootkit檢測工具進行查看。比如檢測工具Rootkit Detector(下載地址:http://download.cpcw.com),它通過程序內置的MD5數據庫,來比較所檢測到的Windows 2000/XP/2003 系統全部服務和進程的MD5校驗值,這樣就可以檢測出系統下的Rootkit程序。
在命令提示符窗口運行命令:rd.exe,程序會自動對當前系統進行檢測。程序首先會統計出系統中服務的數目、當前的進程,以及被隱藏的進程,並且將系統當前的進程用列表顯示出來,然後進入安全模式進行刪除即可。
常見木馬以及病毒專殺工具
在這裡,我們向大家提供能速殺流行木馬以及病毒的專殺工具。我們可以根據需要,搭配使用這些專殺工具,讓自己的電腦更加安全。
From:http://tw.wingwit.com/Article/Network/201309/443.html