五
“哈哈,你可知道除了冰河这样的木马经常使用的隐身技术外,更新、更隐蔽的方法已经出现,这就是―驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式―监听端口,而采用替代系统功能的方法改写驱动程序或动态链接库。这样做的结果是:系统中没有增加新的文件所以不能用扫描的方法查杀、不需要打开新的端口所以不能用端口监视的方法进行查杀、没有新的进程所以使用进程查看的方法发现不了它,也不能用kill进程的方法终止它的运行。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作。此类木马通过改写vxd文件建立隐藏共享的木马,甚是隐蔽,我们上面的那些方法根本不会对这类木马起作用。
“可是前辈说的这种木马晚生并没有见到啊。”
笨蛋!你没有见过,你怎么知道我老人家也没有见过?告诉你我已经看到了一个更加巧妙的木马,它就是Share。运行Share木马之前,我先把注册表以及所有硬盘上的文件数量、结构用一个监控软件DiskState记录了起来,这个监控软件使用128bit MD5的技术来捕获所有文件的状态,系统中的任何文件的变动都逃不过他的监视,这个软件均会将它们一一指出。”
“前辈我这里第一次运行Share后,系统好像没有动静,使用Dllshow(内存进程察看软件)观看内存进程,似乎也没有太大的变化。一般木马都会马上在内存驻留的,或许此木马修改了硬盘上的文件。”
“好,那么你就接着用DiskState比较运行share.exe前后的记录。”
“程序显示windows\applog里面的目录的一些文件和system.dat、user.dat文件起了变化,并没有其他文件的增加和修改。”
“系统中的applog目录里面存放了所有应用程序函数和程序调用的情况,而system.dat和user.dat则是组册表的组成文件。你把applog目录里面的share.lgc打开来观看,它的调用过程是什么?”
“调用过程如下:
c15625a0 92110 C:\WINDOWS\SYSTEM\OLEAUT32.DLL
c1561d40 c1000 C:\WINDOWS\SYSTEM\OLE32.DLL
c1553520 6000 C:\WINDOWS\SYSTEM\INDICDLL.DLL
c15d4fd0 2623 C:\WINDOWS\WIN.INI
c15645b0 8000 C:\WINDOWS\SYSTEM\SVRAPI.DLL
c1554190 f000 C:\WINDOWS\SYSTEM\MPR.DLL
c154d180 a1207 C:\WINDOWS\SYSTEM\USER.EXE
c1555ef0 13000 C:\WINDOWS\SYSTEM\MSNET32.DLL
但是为什么前辈我们看不到MSWINSCK.OCX或WSOCK2.VXD的调用呢?如果木马想要进行网络通讯,是会使用一些socket调用的。”
“那么接着你再观察注册表的变化。”
“好像在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面,多了几个键值,分别是CJT_A、CJT_C、CJT_D、CJT_E、CJT_F,其内部键值如下:
Flags=dword:00000302
Type=dword:00000000
Path=A:\\ 《-----路径是A到F
Parm2enc=hex:
Parm1enc=hex:
Remark=黑客帝国
”
“这就对了,然后你在浏览器的地址栏输入\\111.111.111.1\CJT_C。”
“啊!居然把我的C盘目录文件显示出来了。”
“现在你把CJT_C改成matrix然后重启计算机,接着在浏览器的地址栏输入\\111.111.111.1\matrix。”
“前辈也显示C盘目录文件了,很奇怪的是,在我的电脑里面硬盘看上去并没有共享啊?”
“哈哈,那你再把Flags=dword:00000302的302改成402,reboot计算机。”
“嘻嘻,硬盘共享已显示出来了。那么如何防止这种木马那?”
“哈哈哈哈,这种木马只不过用了一个巧妙的方法隐藏起来而已。你现在把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的CJT_A、CJT_C、CJT_D、CJT_E、CJT_F全部删掉。如果你还放心不下,也可以把windows\system\下面的Vserver.vxd(Microsoft 网络上的文件与打印机共享,虚拟设备驱动程序)删掉,再把[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的VSERVER键值删掉。这样就可以了。另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的〖系统文件检查器〗,通过〖开始菜单〗-〖程序〗-〖附件〗-〖系统工具〗-〖系统信息〗-〖工具〗可以运行〖系统文件检查器〗,用〖系统文件检查器〗可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马,提取改动过的文件可以保证你的系统安全和稳定。”
六
“此外很多人中木马都会采用如下手段:
1.先跟你套近乎,冒充成漂亮的美眉或者其他的能让你轻信的人,然后想方设法的骗你点他发给你的木马。
2.把木马用工具和其它的软件捆绑在一起,然后在对文件名字进行修改,然后修改图标,利用这些虚假的伪装欺骗麻痹大意的人。
3.另外一种方法就是把木马伪装好后,放在软件下载站中,着收渔翁之利。
所以我这里提醒你一些常见的问题,首先是不要随便从小的个人网站上下载软件,要下也要到比较有名、比较有信誉的站点,通常这些网站的软件比较安全。其次不要过于相信别人,不能随便运行别人给的软件。而且要经常检查自己的系统文件、注册表、端口等,而且多注意些安全方面的信息。再者就是改掉windows关于隐藏文件后缀名的默认设置,这样可以让我们看清楚文件真正的后缀名字。最后要提醒你的是,如果有一天你突然发现自己的计算机硬盘莫名其妙的工作,或者在没有打开任何连接的情况下,猫还在眨眼睛,就立刻断线,进行木马的搜索。”
