1234

ExcelHome技术论坛

用户名  找回密码
 免费注册

QQ登录

只需一步,快速开始

快捷登录

帖子
EH技术汇-专业的职场技能充电站 妙哉!函数段子手趣味讲函数 Excel服务器-会Excel,做管理系统 效率神器,一键搞定繁琐工作
HR薪酬管理数字化实战 Excel 2021函数公式学习大典 Excel数据透视表实战秘技 打造核心竞争力的职场宝典
让更多数据处理,一键完成 数据工作者的案头书 免费直播课集锦 ExcelHome出品 - VBA代码宝免费下载
用ChatGPT与VBA一键搞定Excel WPS表格从入门到精通 Excel VBA经典代码实践指南
查看: 1488|回复: 0

[分享]发现和删除木马

[复制链接]

TA的精华主题

TA的得分主题

发表于 2004-11-26 00:40 | 显示全部楼层 |阅读模式

在删除木马之前,最最重要的一项工作是备份,需要备份注册表,防止系统崩溃,备份你认为是木马的文件,如果不是木马就可以恢复,如果是木马你就可以对木马进行分析。 最简单的删除木马方法是安装杀毒软件,现在很多杀毒软件能删除网络最猖狂的木马,比如BO木马。 当然手动删除是最重要的,因为我的木马库中大部分是不会被杀毒软件删除的,黑客完全可以给你装上这样的木马。 大部分木马会放在启动项中,最常见的是加载到注册表的启动组中,在这种情况下,木马会进入内存,打开端口,你只要使用TCPVIEW,看看自己有什么可疑的端口开放就行了。 如果有可疑的端口开放,你按照以下步骤进行:先记下这个端口号,然后打开ATM软件看看内存中正在运行那些软件,请把这些软件名称和硬盘位置用笔记到纸上,然后终止某个程序运行,如果端口还是开放着,那么被你终止运行的程序不是木马,然后继续终止下一个,直到端口不再开放,就也就找到了木马。 木马程序的运行都是隐蔽的,你在屏幕上不可能看到木马窗口,因为木马程序在运行时是“隐含”的。在ATM中可以看到“标志”带“S”的程序是后台运行的,带S标志的一般会是这两种,一种是系统文件,一种就是木马。终止系统文件的运行可能导致死机,你应该具备一定的WINDOWS知识。 当你找到木马以后,你需要做的第一件事情就是备份木马样本,很重要的。一来可以以后学习学习,二来你把系统弄崩溃了可以恢复。 当备份以后,需要验证一下是不是木马,新建一个目录,把木马移到这里,运行,看看端口打开吗?原目录中是不是又生成了这个文件?是的话可以确认为木马。 开始删除工作了,你先终止该程序在内存中的运行,保证端口没有打开,注意,先不要在硬盘上删除该文件! 首先到注册表中去查包含该文件名的键值,如果在启动组中找到就先用笔记下键值,然后删除。 注册表的其他很多位置也会启动木马,不是在电脑开机的时候,而是在某种特定的条件下。冰河木马为例,木马除了注册表启动组启动外,还在注册表的这个位置做了手脚:HKEY_CLASSES_ROOT\txtfile\shell\open\command,键值名:(默认) ,键值:C:\WINDOWS\SYSTEM\Sysexplr.exe %1 。我们打开文本文件有两种办法,一种是先打开记事本程序,然后打开文件文件,第二种是在硬盘上直接双击文本文件,如果是第二种的话,就惨了,电脑发现你点击的文件后缀是TXT,它就到注册表种去找对应的程序,原来应该找到的是C:\WINDOWS\NOTEPAD.EXE,现在变成了C:\WINDOWS\SYSTEM\Sysexplr.exe,你就中上木马了。 同样道理,你点击EXE也可能中木马,点HTM也可能中木马,这完全在于注册表。 这样的木马就麻烦多了,只有你先找到木马,然后再到注册表中去找了。所以,平时请你多注意看看TCPVIEW,看看有没有端口打开着。 注册表的的启动一般就这两种,启动组和非启动组。如果是修改其他的文件,那么也可以用同样的办法。 到硬盘上去找包含该木马文件名的INI和EXE或者DLL文件。 如果找到INI文件,先打开看看是在什么位置,比如是foxmail.ini的话,启动foxmail看看,木马是不是进入内存,端口有没有打开,如果是的话,那么是foxmail.ini被修改了,帮助木马启动。请修改INI文件,就可以了。 如果是其他的EXE文件启动,那么运行这个程序,木马是不是被装入内存,端口呢?是的话,说明要么是该文件启动木马程序的,要么是该文件捆绑了木马程序。 如果是WINDOWS自带的程序,你可以到安装光盘上去释放一个出来,覆盖一下就行了。 如果是你自己安装的程序,你看着办好了,可以到其他地方弄一个来,可以重新安装一下。 如果是DLL文件,可以比照EXE文件的办法。另外,请注意后缀名是DL的文件。 再来一点常识,现在的硬盘很大,C盘上有1000M的文件是不希奇的了,如果你找每个文件的话就累死了。你可以找小于4M或者3M的文件,理由是:我们的猫最快也不过是56K,如果黑客真的进入了我的电脑,把一个捆绑文件送到C盘上,其过程就等于我在下载文件,黑客不可能高速地往我的电脑中上传文件,因为会被我发现,黑客也不可能象网络蚂蚁一样多线程并且断点续传,所以要往我的电脑中上传3M的文件需要很长时间,而且这个黑客要有很大的耐心,至于10M左右的文件更是不可能了,所以,你只需要在硬盘上找3M或者4M一下的文件就可以了。 除了上面说的启动木马情况外,最常见的就是捆绑木马了。比如将木马捆绑到浏览器上,你开机检查没有可以端口开放就很放心了,上网以后一打开浏览器,木马被附带启动了,木马端口打开,黑客可以进入了。 捆绑有两种办法,一种是手动的,一种是木马自带捆绑配置工具,两种情况都一样,按照捆绑的先后次序,可以分为主程序和次程序,一般将原程序作为主程序,将木马程序做次程序,不过将木马做主程序也是可以的。举例说捆绑到了IRC上了,你只要启动捆绑后的IRC程序后,主程序不变,照样启动,同时会在系统的临时文件夹生成次程序并执行,默认的临时文件夹是c:\windows\temp。这样,办法就来了,你可以经常去看看临时文件夹,有什么程序没有?可能发现的是原程序,也可能是木马。删除的办法么,简单,重新安装一次。因为木马是捆绑的,木马样本很难备份,不利于以后学习。 大家也不要自己吓自己,经常不打扫TEMP目录的人,可能有上千个文件,也有可能有程序在,但不是木马,如果你运行WINZIP压缩包中的程序,就会在TEMP目录中生成文件的。 这仅仅是简单的查找方法,一来,如果你没有运行捆绑程序,你就不能发现,二来这种查找办法不是很彻底。要想完全删除未知的木马捆绑程序是一件很困难的事情,对于已知的木马捆绑程序,你可以用特征字符串查找一下,在前面,我已经列出了很多木马的特征字符串,你可以在硬盘上找小于3M的可执行文件有没有包含这些特征字符串。

您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

1234

手机版|关于我们|联系我们|ExcelHome

GMT+8, 2025-2-13 21:13 , Processed in 0.016910 second(s), 8 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 1999-2023 Wooffice Inc.

沪公网安备 31011702000001号 沪ICP备11019229号-2

本论坛言论纯属发表者个人意见,任何违反国家相关法律的言论,本站将协助国家相关部门追究发言者责任!     本站特聘法律顾问:李志群律师

快速回复 返回顶部 返回列表