11432|52

73

帖子

0

TA的资源

一粒金砂(初级)

楼主
 

动态嵌入式DLL木马病毒的发现及清除 [复制链接]

随着MS的操作系统从Win98过渡到Winnt系统(包括2k/xp),MS的任务管理器也一下子脱胎换骨,变得火眼金睛起来(在WINNT下传统木马再也无法隐藏自己的进程),这使得以前在win98下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,所以才会有今天这篇讨论如何清除动态嵌入式DLL木马的文章。

  首先,我们来了解一下什么是动态嵌入式木马,为了在NT系统下能够继续隐藏进程,木马的开发者们开始利用DLL(Dynamic Link Library动态链接库)文件,起初他们只是将自己的木马写成DLL形式来替换系统中负责Win Socket1.x的函数调用wsock32.dll(Win Socket2中则由WS2_32.DLL负责),这样通过对约定函数的操作和对未知函数的转发(DLL木马替换wsock32.dll时会将之更名,以便实现日后的函数转发)来实现远程控制的功能。但是随着MS数字签名技术和文件恢复功能的出台,这种DLL马的生命力也日渐衰弱了,于是在开发者的努力下出现了时下的主流木马--动态嵌入式DLL木马,将DLL木马嵌入到正在运行的系统进程中.explorer.exe、svchost.exe、smss.exe等无法结束的系统关键进程是DLL马的最爱,这样这样在任务管理器里就不会出现我们的DLL文件,而是我们DLL的载体EXE文件.当然通过进一步的加工DLL木马还可以实现另外的一些如端口劫持/复用(也就是所谓的无端口)、注册为系统服务、开多线程保护、等功能。简而言之,就是DLL木马达到了前所未有的隐蔽程度。

  那么我们如何来发现并清除DLL木马呢?

  一,从DLL木马的DLL文件入手,我们知道system32是个捉迷藏的好地方,许多木马都削尖了脑袋往那里钻,DLL马也不例外,针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一个记录:运行CMD--转换目录到system32--dir *.exe>exeback.txt& dir *.dll>dllback.txt,这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中,日后如发现异常但用传统的方法查不出问题时,则要考虑是不是系统中已经潜入DLL木马了.这是我们用同样的命令将system32下的EXE和DLL文件记录到另外exeback1.txt和dllback1.txt中,然后运行CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.(用FC命令比较前后两次的DLL和EXE文件,并将结果输入到diff.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。没有是最好,如果有的话也不要直接DLL掉,我们可以先把它移到回收站里,若系统没有异常反应再将之彻底删除或者提交给杀毒软件公司。

  二、上文也曾提到一些系统关键进程是这类木马的最爱,所以一旦我们怀疑系统已经进驻了DLL木马,我们当然要对这些关键进程重点照顾了,怎么照顾?这里推荐一个强大的脱壳工具工具Procedump.exe他可以帮您看出进程到底调用了那些DLL文件,但是由于有的进程调用的DLL文件非常多,使得靠我们自己去一个核对变的不太现实,所以我们会用到一个shotgun写的NT进程/内存模块查看器ps.exe,用命令ps.exe/a /m >nowdlls.txt将系统目前调用地所有DLL文件地名称保存到nowdlls.txt,然后我们再用fc将之于事先备份dllback.txt比较一下,这样也能够缩小排查范围。

  三、还记得木马的特征之一端口么?所有的木马只要进行连接,只要它接受/发送数据则必然会打开端口,DLL木马也不例外,这也为我们发现他们提供了一条线索,我们可以使用foundstone的进程端口查看工具Fport.exe来查看与端口对应的进程,这样可以将范围缩小到具体的进程,然后结合Procedump来查找DLL木马就比较容易了.当然有如上文提到的有些木马会通过端口劫持或者端口重用的方法来进行通信,139、80、1443、等常见端口则是木马的最爱。因为即使即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026 ControllerIP:80

  ESTABLISHED 的情况,稍微疏忽一点,您就会以为是自己在浏览网页(防火墙也会这么认为的)。所以光看端口还不够,我们要对端口通信进行监控,这就是第四点要说的。

  四、我们可以利用嗅探器来了解打开的端口到底在传输些什么数据。通过将网卡设为混杂模式就可以接受所有的IP报文,嗅探程序可以从中选择值得关注的部分进行分析,剩下的无非是按照RFC文档对协议进行解码。这样就可以确定木马使用的端口,结合Fport和Procedump我们就能够查找到该DLL木马了。至于嗅探器个人推荐使用IRIS,图形界面比较容易上手。

  五、通常说道查杀木马我们会习惯性地到注册表碰碰运气,以前可能还蛮有效的,但如果碰到注册为系统服务的木马(原理:在NT/2K/XP这些系统中,系统启动时会加载指定的服务程序)这时候检查:启动组/注册表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等文件 就发现不了丝毫的异样,这时候我们就应该查看一下系统服务了:右击我的电脑--管理--服务和应用程序--服务,这时您会看到100多个服务,(MS也真是的,其中75%对个人用户无用,可以禁止。),慢慢找吧,看谁不顺眼就把它拎出来:),当然如果您以前曾经用导出列表功能对服务备份过,则用文件比较的方法会很容易发现哪些是外来客,这时您可以记录下服务加载的是那个文件,然后用Resource Kits里提供的srvinstw.exe来移除该服务并清除被加载的文件。

  通过以上五步,基本能发现并清除狡猾的动态嵌入式DLL木马了,也许您也发现如果适当地做一些备份,会对我们的查找木马的过程有很大的帮助,当然也会减轻不少工作的压力哦。

http://help.csai.cn/netadmin/200609071008581494.htm

最新回复

这个简单啊,网上搜一下就得到答案了.  详情 回复 发表于 2008-5-1 05:20
点赞 关注

回复
举报

82

帖子

0

TA的资源

一粒金砂(初级)

沙发
 
搂主原创文章么?
厉害
 
 

回复

85

帖子

0

TA的资源

一粒金砂(中级)

板凳
 
NB,楼主太厉害!标记一下,以免日后用的上!^_^
 
 
 

回复

66

帖子

0

TA的资源

一粒金砂(初级)

4
 
mark
 
 
 

回复

78

帖子

0

TA的资源

一粒金砂(初级)

5
 
受用
 
 
 

回复

79

帖子

0

TA的资源

一粒金砂(初级)

6
 
mark
 
 
 

回复

56

帖子

0

TA的资源

一粒金砂(初级)

7
 
mark
 
 
 

回复

69

帖子

0

TA的资源

一粒金砂(初级)

8
 
留个名。。。
 
 
 

回复

76

帖子

0

TA的资源

一粒金砂(初级)

9
 
牛个.................
 
 
 

回复

53

帖子

0

TA的资源

一粒金砂(初级)

10
 
这只有发现没有清除啊?
希望大家用深山红叶PE启动盘启动然后删除,或者结束载体程序例如explore,就只能用CMD进行删除了,如果不结束宿主程序就无法删除!还有一些流氓软件得DLL成为系统内核进程,在开机删除文件的注册表键设置完了都不是那么好用~~所以第一种方法是万能的,记得备份哦
 
 
 

回复

60

帖子

0

TA的资源

一粒金砂(初级)

11
 
现在的木马越来越厉害了

真是要小心了
 
 
 

回复

228

帖子

0

TA的资源

一粒金砂(中级)

12
 
一篇烂文章,只能糊弄外行,
 
 
 

回复

74

帖子

0

TA的资源

一粒金砂(初级)

13
 
哪里是原创的,看过好多次了.
 
 
 

回复

75

帖子

0

TA的资源

一粒金砂(初级)

14
 
既然能被分析出来,木马制造者肯定也知道,windows 会 update ,难道 木马就不会么?
 
 
 

回复

80

帖子

0

TA的资源

一粒金砂(初级)

15
 
先頂起來!  學習!
 
 
 

回复

78

帖子

0

TA的资源

一粒金砂(初级)

16
 
??mark
 
 
 

回复

77

帖子

0

TA的资源

一粒金砂(初级)

17
 
bj
 
 
 

回复

63

帖子

0

TA的资源

一粒金砂(初级)

18
 
hh
 
 
 

回复

79

帖子

0

TA的资源

一粒金砂(初级)

19
 
mark
 
 
 

回复

66

帖子

0

TA的资源

一粒金砂(初级)

20
 
太一般了.
 
 
 

回复
您需要登录后才可以回帖 登录 | 注册

随便看看
查找数据手册?

EEWorld Datasheet 技术支持

相关文章 更多>>
关闭
站长推荐上一条 1/10 下一条

 
EEWorld订阅号

 
EEWorld服务号

 
汽车开发圈

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 国产芯 安防电子 汽车电子 手机便携 工业控制 家用电子 医疗电子 测试测量 网络通信 物联网

北京市海淀区中关村大街18号B座15层1530室 电话:(010)82350740 邮编:100190

电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved
快速回复 返回顶部 返回列表