多管齐下,一步一步揪出隐藏的木马!
来源：中国IT实验室收集整理 时间：2006-11-23 作者：佚名

许多骇客工具中，都被作者加得有后门，一不小心就很容易中招。怎么判断自己下载的软体里面到底有没有后门呢？今天笔者就将自己平时检测软体安全性的方法告诉大家……
一、安装程式验身，木马后门不得入内
　　从网上下载各种软体程式，本身就是一种很危险的行为，许多下载站点网页被恶意者攻击挂马，或是在安装程式中捆绑木马。因此，首先对下载与安装程式过程进行了检测，看看是否包含木马病毒。
　　1.搭建测试环境
　　在进行测试前，笔者往往会先对当前系统备份。笔者最常用系统备份工具是“雨过天晴电脑保护系统”（如图1），这个软体可为系统建立多个还原点，可恢复到任何状态，还原速度不超过十秒钟，最适合进行软体安装测试。使用方法很简单，打开程式介面，点击左侧的“创建进度”按钮，输入进度名称为描述资讯，确定后即可为当前系统创建一个备份。

图1 装个“雨过天晴”对电脑进行保护
　　同时，笔者在系统中安装了江民杀毒软体KV2006，并升级了最新的病毒库。然后点击功能表“工具”→“选项”，选择“实时监控”选项卡，开启病毒实时监控的所有项目。
　　2.检测下载网页及安装程式
　　因此在打开网页进行下载前，确定开启了杀毒软体网页实时监控项目（如图2），然后从测试网站上下载了一个安全工具，在下载过程中杀毒软体没有提示报警。然后在资源管理器中，右键点击下载来的工具压缩包，选择“江民杀毒”命令，进行彻底的病毒扫描，也未提示有病毒。

图2 江民提示没有病毒


二、监视安装过程，后门别想混进
　　确认开启了KV2006实时监控中的“文件监控”与“注册表监控”功能，开始安装下载的安全工具，在安装过程中KV2006未提示发现病毒，不过注册表监控功能有了提示（如图3）！

图3 注册表监有了提示
　　刚才安装程式对注册表动了什么手脚呢？点击KV2006介面功能表“工具”→“木马一扫光”，打开木马一扫光工具窗口。点击功能表“查看”→“拦截记录”，在中间的列表窗口中显示了被修改注册表键值是“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects”，该注册表项用于管理IE插件的载入（如图4）。打开IE浏览器，看到工具栏中居然多出了一个“情色搜索”的按钮。

图4 IE工具栏多出了一个“情色搜索”
　　没办法，只好在“运行”中输入“regedit.exe”，执行后打开注册表管理器，找到拦截的注册表键，将其删除掉。最后再次用KV2006扫描程式的安装目录及整个系统，确认系统中没有感染木马及病毒，继续下面的检测。
三、勘察程式留下的脚印
　　有的程式虽然没有为系统带来木马和病毒，但是却无法完全彻底的卸载清除，会在系统中留下一些后门，悄悄记录用户私密数据。恢复干净的系统后，笔者进行了如下的卸载测试：
　　1.生成快照
　　在安装程式前，首先运行了快照工具Regshot，设置“比较记录另存为HTML文档”；勾选“扫描”项，设置“快照目录”为“C:\”；在“输出路径”中设置对比文件保存在“D:\”。然后点击“摄取1”→“摄取并存档”命令，程式开始对当前系统文件及注册表情况生成快照（如图5）。

图5 生成系统快照
　　然后安装程式，运行一段时间后，将程式卸载掉，切换回Regshot程式。点击介面中的“摄取2”→“摄取并存档”命令，程式开始扫描程式卸载后的系统文件及注册表情况并生成快照文件。

2.快照对比
　　点击“比较”按钮，程式开始对比两次快照文件的不同，对比完毕自动打开比较记录文件。可以看到程式卸载后，未在硬盘中保留其他多余的文件，但是那个注册表键值还保留着的（如图6）。

图6 比较结果
四、检测伴生木马进程
　　有一些程式在运行时会同时在记忆体中解压并运行隐蔽的后门，因此检测程式的伴生进程是很重要的一个步骤。
　　1.生成进程记录文件
　　点击“开始”→“运行”功能表，执行“cmd.exe”命令，打开命令提示符窗口。在命令提示符下执行命令：“tasklist >D:\1.txt”，成功后将会在D盘下生成一个名为“1.txt”的文件，其中记录了当前系统中所有的进程名。
　　运行程式后，再次执行命令：“tasklist >D:\2.txt”（PConline注：tasklist命令在WinXP Pro中自带，WinXP Home中无。），将会生成新的进程记录文件“2.txt”。
　　2.对比进程列表
　　在命令提示符窗口中执行命令：“FC D:\1.txt D:\2.txt >D:\3.txt”，成功后将会自动对比两个进程记录文件中的不同，并生成对比文件。打开对比文件“3.txt”，可以看到程式运行后只产生了一个名为“domain3.5.exe”的进程（如图7）。

图7 对比后发现多了一个“domain3.5.exe”的进程
　　3.检测隐藏进程
　　不过Windows中自带的进程管理命令，无法显示一些内核级或带有ROOTKIT隐藏性能的进程，因此还是需要检测程式运行时是否产生了隐藏的间谍进程。可使用IceSword工具，使用方法很简单，这里就不多作介绍了。
五、查出程式后门
　　有的程式本身就可能有后门组件，开启后没有执行功能即会在后台收集用户私密数据。要发送数据就必须打开端口，因此只要检测系统中是否打开了多余的端口。
　　运行IceSword，点击左侧“查看”→“端口”，在右侧观察系统端口开放情况。然后运行程式后，在窗口中点击右键，选择“刷新列表”命令，可以看到程式连接了远程主机的8080端口（如图8）！在程式中很有可能包含着某些后门！那就跟踪分析一下后门程式究竟干了些什么！

图8 用IceSword查看程式连接状况


六、嗅探后门程式
　　首先，运行Winsock Expert，点击工具栏“打开”，在对话方块中点击程式进程名，再点击确定按钮，开始嗅探。在嗅探过程中，笔者进行了正常的网路操作，浏览一些网页撰写了一个文档。过了大约二十分钟后，返回嗅探数据窗口。查看其中“Status”栏中有“send”标记的，点击该列数据，下方窗口显示程式向远程伺服器发送了数据资讯（如图9）。没想到其中居然有“Username”之类的字符串！虽然发送的数据串看起来比较奇怪，但肯定是发送用户名数据的，那密码之类的资讯肯定也被记录发送了！

图9 用Winsock Expert嗅探发送状况
　　没想到随便下载的一个所谓“骇客工具”，里面居然有这样的猫腻，笔者赶快关闭了程式并将其彻底清除出系统。网上下载的软体使用时真的要慎重啊！如果碰上一些可疑的程式，可以按笔者介绍的方法时行检测，看看这个程式是不是真的干净！