黑客入侵后要做的事就是上传木马后门, 为了能够让上传的木马不被发现, 他们会想尽种种方法对其进行伪装。 而作为被害者, 我们又该如何识破伪装, 将系统中的木马统统清除掉呢!
一、文件捆绑检测
将木马捆绑在正常程序中, 一直是木马伪装攻击的一种常用手段。 下面我们就看看如何才能检测出文件中捆绑的木马。
1.MT捆绑克星
文件中只要捆绑了木马, 那么其文件头特征码一定会表现出一定的规律, 而MT捆绑克星正是通过分析程序的文件头特征码来判断的。 程序运行后, 我们只要单击“浏览”按钮, 选择需要进行检测的文件, 然后单击主界面上的“分析”按钮, 这样程序就会自动对添加进来的文件进行分析。 此时, 我们只要查看分析结果中可执行的头部数, 如果有两个或更多的可执行文件头部, 那么说明此文件一定是被捆绑过的!
2.揪出捆绑在程序中的木马
光检测出了文件中捆绑了木马是远远不够的, 还必须请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。
程序运行后会首先要求选择需要检测的程序或文件, 然后单击主界面中的“Process”按钮, 分析完毕再单击“Clean File”按钮, 在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。
二、清除DLL类后门
相对文件捆绑运行, DLL插入类的木马显的更加高级, 具有无进程, 不开端口等特点, 一般人很难发觉。 因此清除的步骤也相对复杂一点。
1.结束木马进程
由于该类型的木马是嵌入在其它进程之中的, 本身在进程查看器中并不会生成具体的项目, 对此我们如果发现自己系统出现异常时, 则需要判断是否中了DLL木马。
在这里我们借助的是IceSword工具, 运行该程序后会自动检测系统正在运行的进程, 右击可疑的进程, 在弹出的菜单中选择“模块信息”, 在弹出的窗口中即可查看所有DLL模块, 这时如果发现有来历不明的项目就可以将其选中, 然后单击“卸载”按钮将其从进程中删除。 对于一些比较顽固的进程, 我们还将其中, 单击“强行解除”按钮, 然后再通过“模块文件名”栏中的地址, 直接到其文件夹中将其删除。
2.查找可疑DLL模块
由于一般用户对DLL文件的调用情况并不熟悉, 因此很难判断出哪个DLL模块是不是可疑的。 这样ECQ-PS(超级进程王)即可派上用场。
运行软件后即可在中间的列表中可以看到当前系统中的所有进程, 双击其中的某个进程后, 可以在下面窗口的“全部模块”标签中, 即可显示详细的信息, 包括模块名称、版本和厂商, 以及创建的时间等。 其中的厂商和创建时间信息比较重要, 如果是一个系统关键进程如“svchost.exe”, 结果调用的却是一个不知名的厂商的模块, 那该模块必定是有问题的。 另外如果厂商虽然是微软的, 但创建时间却与其它的DLL模块时间不同, 那么也可能是DLL木马。
另外我们也可以直接切换到“可疑模块”选项, 软件会自动扫描模块中的可疑文件, 并在列表中显示出来。 双击扫描结果列表中的可疑DLL模块, 可看到调用此模块的进程。 一般每一个DLL文件都有多个进程会调用, 如果调用此DLL文件的仅仅是此一个进程, 也可能是DLL木马。 相关 www.arpun.com 点击“强进删除”按钮, 即可将DLL木马从进程中删除掉。
三、彻底的Rootkit检测
谁都不可能每时每刻对系统中的端口、注册表、文件、服务进行挨个的检查, 看是否隐藏木马。 这时候我可以使用一些特殊的工具进行检测。
1.Rootkit Detector清除Rootkit
Rootkit Detector是一个Rootkit检测和清除工具, 可以检测出多个Windows下的Rootkit 其中包括大名鼎鼎的hxdef.100。 使用方法很简单, 在命令行下直接运行程序名“rkdetector.exe”即可。 程序运行后将会自动完成一系统列隐藏项目检测, 查找出系统中正在运行的Rootkit程序及服务, 以红色作出标记提醒, 并尝试将它清除掉。
2.强大的Knlps
相比之下, Knlps的功能更为强大一些, 它可以指定结束正在运行的Rootkit程序。 使用时在命令行下输入“knlps.exe -l”命令, 将显示系统中所有隐藏的Rootkit进程及相应的进程PID号。 找到Rootkit进程后, 可以使用“-k”参数进行删除。 例如已找到了“svch0st.exe”的进程, 及PID号为“3908”, 可以输入命令“knlps.exe -k 3908”将进程中止掉。
四、克隆帐号的检测
严格意义上来说, 它已经不是后门木马了。 但是他同样是在系统中建立了管理员权限的账号, 但是我们查看的却是Guest组的成员, 非常容易麻痹管理员。
在这里为大家介绍一款帐号克隆检测工具LP_Check, 它可以明查秋毫的检查出系统中的克隆用户!
LP_Check的使用极其简单, 程序运行后会对注册表及“帐号管理器”中的用户帐号和权限进行对比检测, 可以看到程序检测出了刚才Guest帐号有问题, 并在列表中以红色三角符号重点标记出来, 这时我们就可以打开用户管理窗口将其删除了。
