图 3
我们在程序中执行的各项操作,将会被自动记录下来,大家在“柳叶日志”中可以查看(图4) 。
图 4
揭露进程伪装术
木马伪装技术的发展可谓日新月异,由进程隐藏到进程插入,使得在查杀方面越来越难以应付了 。一般具有进程插入功能的木马会把自身注入其它应用程序的地址空间,而这个应用程序对于系统来说,是一个绝对安全的程序 。
即使我们查找出了DLL插入进程,如果它是嵌入在系统基本进程中的,如“svchost.exe”等进程,我们是无法结束其运行的 。
下面,将以实例演示一下线程插入类后门是如何在机器上运行的 。我们以目前比较流行的“Devil4.exe”(魔鬼4号)程序为例 。
运行“EditDevil4.exe”配置程序后,在显示界面中设置“配置文件”(即需要在目标上激活的可执行文件)、端口(可自定义,本例中为9000)、密码及插入进程(一般设置为系统基本进程,本例中为Explorer.exe)(图5) 。配置完毕后,执行确认操作,使其生效 。
图 5
一旦目标机器激活了配置好的程序,“Devil4.exe”将立即插入至指定进程中 。我们可使用“fport v2.0”这款系统工具查看所有开放的TCP和UDP端口,并显示相应的应用程序(支持WinNT4/2000/XP) 。运行“命令提示符”后,进入fport程序的存储路径,运行它 。
大家注意查看其中的“Explorer.exe”进程,看到其TCP协议开放端口为适才笔者所定制9000端口,此时表明病毒进程插入成功(图6) 。“Devil4.exe”后门本身具有删除程序,运行“DelDevil4.exe”程序后,就可清除驻留系统中的后门 。
图 6
小提示:如果大家要封杀可疑端口,可以使用Active Ports及DBPort之类的第三方端口工具 。这两款软件均是图形化界面,操作方法非常类似 。不仅可自动刷新进程,还能够立即关闭指定端口 。对于线程插入类木马的查杀,并非一件轻而易举的事,由于在配置插入进程时使用者可随意指定,因此,大家一定要安装杀毒软件并定期升级病毒库 。
如果要手动查杀,则需要用户具有相当的知识水平与一定的经验积累 。在此给大家推荐一款比较优秀的软件——进程间谍 。利用它,可以查看窗口和子窗口句柄、ID、标题,以及父进程ID线程个数路径等,还可获知指定父进程的下属模块……我们要着重利用该程序的可查看DLL模块的功能,试图找出可疑的插入进程 。
软件名称:进程间谍
软件版本:V1.0.2.1
软件语言:简体中文
软件类型:共享软件
应用平台:Win9X/Me/2000/XP/2003
下载地址
运行《进程间谍》程序后,查看“进程树”标签页,点击“刷新进程”按钮,而后选择左侧列表的进程,当选定一个进程后,程序开始处理相关信息 。我们切换到当前右侧视图中的“模块”标签页(图7),在此显示了很多该进程中插入的DLL线程,包括“模块名”(需要着重查看)、“基地地址”、“大小”及“进入口” 。大家从中即可仔细排查可疑线程,例如广外女生的DLL插入线程是“%system32gwboydll.dll” 。
图 7
进程级别有高低
我们在使用MyIE 2浏览网页时,又同时运行了下载工具等 。这种情况下,我们就可以通过相应的设置,使系统优先处理MyIE 2,为它分配更多的CPU资源 。
按“Ctrl Alt Del”组合键,调出“Windows任务管理器”,查看“进程”标签页,选定其中希望优先处理的程序后,在其右键弹出菜单中选择“设置优先级→‘高’或‘高于标准’”(图8) 。而其它在后台处理的程序,则可将进程设置为“低”或“低于标准” 。
图 8
推荐阅读
- 驱除烦恼 Windows操作系统查疑解惑
- Windows XP共享经典问题详细拆解
- 用Windows PE找回丢失的管理员密码
- 四招巧妙 解决电脑不休眠的故障
- 更换主板也不必重装Windows XP系统
- 四招 教你全面用好Windows XP壁纸
- 教你轻松找回丢失的Windows XP还原点
- 2019最新windows10永久激活码 win10旗舰版密钥 win10通用序列号
- 跳过XP登录窗口 轻松实现自动登录
- Windows XP中隐藏的微软员工关机方法