多管齊下,一步一步揪出隱藏的木馬!
來源:中國IT實驗室收集整理 時間:2006-11-23 作者:佚名
許多駭客工具中,都被作者加得有後門,一不小心就很容易中招。怎麼判斷自己下載的軟體裏面到底有沒有後門呢?今天筆者就將自己平時檢測軟體安全性的方法告訴大家……
一、安裝程式驗身,木馬後門不得入內 從網上下載各種軟體程式,本身就是一種很危險的行為,許多下載站點網頁被惡意者攻擊挂馬,或是在安裝程式中捆綁木馬。因此,首先對下載與安裝程式過程進行了檢測,看看是否包含木馬病毒。
1.搭建測試環境 在進行測試前,筆者往往會先對當前系統備份。筆者最常用系統備份工具是“雨過天晴電腦保護系統”(如圖1),這個軟體可為系統建立多個還原點,可恢復到任何狀態,還原速度不超過十秒鐘,最適合進行軟體安裝測試。使用方法很簡單,打開程式介面,點擊左側的“創建進度”按鈕,輸入進度名稱為描述資訊,確定後即可為當前系統創建一個備份。
圖1 裝個“雨過天晴”對電腦進行保護
同時,筆者在系統中安裝了江民殺毒軟體KV2006,並升級了最新的病毒庫。然後點擊功能表“工具”→“選項”,選擇“實時監控”選項卡,開啟病毒實時監控的所有項目。
2.檢測下載網頁及安裝程式 因此在打開網頁進行下載前,確定開啟了殺毒軟體網頁實時監控項目(如圖2),然後從測試網站上下載了一個安全工具,在下載過程中殺毒軟體沒有提示報警。然後在資源管理器中,右鍵點擊下載來的工具壓縮包,選擇“江民殺毒”命令,進行徹底的病毒掃描,也未提示有病毒。
圖2 江民提示沒有病毒
二、監視安裝過程,後門別想混進 確認開啟了KV2006實時監控中的“文件監控”與“註冊表監控”功能,開始安裝下載的安全工具,在安裝過程中KV2006未提示發現病毒,不過註冊表監控功能有了提示(如圖3)!
圖3 註冊表監有了提示
剛才安裝程式對註冊表動了什麼手腳呢?點擊KV2006介面功能表“工具”→“木馬一掃光”,打開木馬一掃光工具窗口。點擊功能表“查看”→“攔截記錄”,在中間的列表窗口中顯示了被修改註冊表鍵值是“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects”,該註冊表項用於管理IE插件的載入(如圖4)。打開IE瀏覽器,看到工具欄中居然多出了一個“情色搜索”的按鈕。
圖4 IE工具欄多出了一個“情色搜索”
沒辦法,只好在“運行”中輸入“regedit.exe”,執行後打開註冊表管理器,找到攔截的註冊表鍵,將其刪除掉。最後再次用KV2006掃描程式的安裝目錄及整個系統,確認系統中沒有感染木馬及病毒,繼續下面的檢測。
三、勘察程式留下的腳印 有的程式雖然沒有為系統帶來木馬和病毒,但是卻無法完全徹底的卸載清除,會在系統中留下一些後門,悄悄記錄用戶私密數據。恢復乾淨的系統後,筆者進行了如下的卸載測試:
1.生成快照 在安裝程式前,首先運行了快照工具Regshot,設置“比較記錄另存為HTML文檔”;勾選“掃描”項,設置“快照目錄”為“C:\”;在“輸出路徑”中設置對比文件保存在“D:\”。然後點擊“攝取1”→“攝取並存檔”命令,程式開始對當前系統文件及註冊表情況生成快照(如圖5)。
圖5 生成系統快照
然後安裝程式,運行一段時間後,將程式卸載掉,切換回Regshot程式。點擊介面中的“攝取2”→“攝取並存檔”命令,程式開始掃描程式卸載後的系統文件及註冊表情況並生成快照文件。
2.快照對比 點擊“比較”按鈕,程式開始對比兩次快照文件的不同,對比完畢自動打開比較記錄文件。可以看到程式卸載後,未在硬盤中保留其他多餘的文件,但是那個註冊表鍵值還保留著的(如圖6)。
圖6 比較結果
四、檢測伴生木馬進程 有一些程式在運行時會同時在記憶體中解壓並運行隱蔽的後門,因此檢測程式的伴生進程是很重要的一個步驟。
1.生成進程記錄文件 點擊“開始”→“運行”功能表,執行“cmd.exe”命令,打開命令提示符窗口。在命令提示符下執行命令:“tasklist >D:\1.txt”,成功後將會在D盤下生成一個名為“1.txt”的文件,其中記錄了當前系統中所有的進程名。
運行程式後,再次執行命令:“tasklist >D:\2.txt”(PConline注:tasklist命令在WinXP Pro中自帶,WinXP Home中無。),將會生成新的進程記錄文件“2.txt”。
2.對比進程列表 在命令提示符窗口中執行命令:“FC D:\1.txt D:\2.txt >D:\3.txt”,成功後將會自動對比兩個進程記錄文件中的不同,並生成對比文件。打開對比文件“3.txt”,可以看到程式運行後只產生了一個名為“domain3.5.exe”的進程(如圖7)。
圖7 對比後發現多了一個“domain3.5.exe”的進程
3.檢測隱藏進程 不過Windows中自帶的進程管理命令,無法顯示一些內核級或帶有ROOTKIT隱藏性能的進程,因此還是需要檢測程式運行時是否產生了隱藏的間諜進程。可使用IceSword工具,使用方法很簡單,這裡就不多作介紹了。
五、查出程式後門 有的程式本身就可能有後門組件,開啟後沒有執行功能即會在後臺收集用戶私密數據。要發送數據就必須打開端口,因此只要檢測系統中是否打開了多餘的端口。
運行IceSword,點擊左側“查看”→“端口”,在右側觀察系統端口開放情況。然後運行程式後,在窗口中點擊右鍵,選擇“刷新列表”命令,可以看到程式連接了遠程主機的8080端口(如圖8)!在程式中很有可能包含著某些後門!那就跟蹤分析一下後門程式究竟幹了些什麼!
圖8 用IceSword查看程式連接狀況
六、嗅探後門程式 首先,運行Winsock Expert,點擊工具欄“打開”,在對話方塊中點擊程式進程名,再點擊確定按鈕,開始嗅探。在嗅探過程中,筆者進行了正常的網路操作,瀏覽一些網頁撰寫了一個文檔。過了大約二十分鐘後,返回嗅探數據窗口。查看其中“Status”欄中有“send”標記的,點擊該列數據,下方窗口顯示程式向遠程伺服器發送了數據資訊(如圖9)。沒想到其中居然有“Username”之類的字符串!雖然發送的數據串看起來比較奇怪,但肯定是發送用戶名數據的,那密碼之類的資訊肯定也被記錄發送了!
圖9 用Winsock Expert嗅探發送狀況
沒想到隨便下載的一個所謂“駭客工具”,裏面居然有這樣的貓膩,筆者趕快關閉了程式並將其徹底清除出系統。網上下載的軟體使用時真的要慎重啊!如果碰上一些可疑的程式,可以按筆者介紹的方法時行檢測,看看這個程式是不是真的乾淨!