多管齊下,一步一步揪出隱藏的木馬!
來源：中國IT實驗室收集整理 時間：2006-11-23 作者：佚名

許多駭客工具中，都被作者加得有後門，一不小心就很容易中招。怎麼判斷自己下載的軟體裏面到底有沒有後門呢？今天筆者就將自己平時檢測軟體安全性的方法告訴大家……
一、安裝程式驗身，木馬後門不得入內
　　從網上下載各種軟體程式，本身就是一種很危險的行為，許多下載站點網頁被惡意者攻擊挂馬，或是在安裝程式中捆綁木馬。因此，首先對下載與安裝程式過程進行了檢測，看看是否包含木馬病毒。
　　1.搭建測試環境
　　在進行測試前，筆者往往會先對當前系統備份。筆者最常用系統備份工具是“雨過天晴電腦保護系統”（如圖1），這個軟體可為系統建立多個還原點，可恢復到任何狀態，還原速度不超過十秒鐘，最適合進行軟體安裝測試。使用方法很簡單，打開程式介面，點擊左側的“創建進度”按鈕，輸入進度名稱為描述資訊，確定後即可為當前系統創建一個備份。

圖1 裝個“雨過天晴”對電腦進行保護
　　同時，筆者在系統中安裝了江民殺毒軟體KV2006，並升級了最新的病毒庫。然後點擊功能表“工具”→“選項”，選擇“實時監控”選項卡，開啟病毒實時監控的所有項目。
　　2.檢測下載網頁及安裝程式
　　因此在打開網頁進行下載前，確定開啟了殺毒軟體網頁實時監控項目（如圖2），然後從測試網站上下載了一個安全工具，在下載過程中殺毒軟體沒有提示報警。然後在資源管理器中，右鍵點擊下載來的工具壓縮包，選擇“江民殺毒”命令，進行徹底的病毒掃描，也未提示有病毒。

圖2 江民提示沒有病毒


二、監視安裝過程，後門別想混進
　　確認開啟了KV2006實時監控中的“文件監控”與“註冊表監控”功能，開始安裝下載的安全工具，在安裝過程中KV2006未提示發現病毒，不過註冊表監控功能有了提示（如圖3）！

圖3 註冊表監有了提示
　　剛才安裝程式對註冊表動了什麼手腳呢？點擊KV2006介面功能表“工具”→“木馬一掃光”，打開木馬一掃光工具窗口。點擊功能表“查看”→“攔截記錄”，在中間的列表窗口中顯示了被修改註冊表鍵值是“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects”，該註冊表項用於管理IE插件的載入（如圖4）。打開IE瀏覽器，看到工具欄中居然多出了一個“情色搜索”的按鈕。

圖4 IE工具欄多出了一個“情色搜索”
　　沒辦法，只好在“運行”中輸入“regedit.exe”，執行後打開註冊表管理器，找到攔截的註冊表鍵，將其刪除掉。最後再次用KV2006掃描程式的安裝目錄及整個系統，確認系統中沒有感染木馬及病毒，繼續下面的檢測。
三、勘察程式留下的腳印
　　有的程式雖然沒有為系統帶來木馬和病毒，但是卻無法完全徹底的卸載清除，會在系統中留下一些後門，悄悄記錄用戶私密數據。恢復乾淨的系統後，筆者進行了如下的卸載測試：
　　1.生成快照
　　在安裝程式前，首先運行了快照工具Regshot，設置“比較記錄另存為HTML文檔”；勾選“掃描”項，設置“快照目錄”為“C:\”；在“輸出路徑”中設置對比文件保存在“D:\”。然後點擊“攝取1”→“攝取並存檔”命令，程式開始對當前系統文件及註冊表情況生成快照（如圖5）。

圖5 生成系統快照
　　然後安裝程式，運行一段時間後，將程式卸載掉，切換回Regshot程式。點擊介面中的“攝取2”→“攝取並存檔”命令，程式開始掃描程式卸載後的系統文件及註冊表情況並生成快照文件。

2.快照對比
　　點擊“比較”按鈕，程式開始對比兩次快照文件的不同，對比完畢自動打開比較記錄文件。可以看到程式卸載後，未在硬盤中保留其他多餘的文件，但是那個註冊表鍵值還保留著的（如圖6）。

圖6 比較結果
四、檢測伴生木馬進程
　　有一些程式在運行時會同時在記憶體中解壓並運行隱蔽的後門，因此檢測程式的伴生進程是很重要的一個步驟。
　　1.生成進程記錄文件
　　點擊“開始”→“運行”功能表，執行“cmd.exe”命令，打開命令提示符窗口。在命令提示符下執行命令：“tasklist >D:\1.txt”，成功後將會在D盤下生成一個名為“1.txt”的文件，其中記錄了當前系統中所有的進程名。
　　運行程式後，再次執行命令：“tasklist >D:\2.txt”（PConline注：tasklist命令在WinXP Pro中自帶，WinXP Home中無。），將會生成新的進程記錄文件“2.txt”。
　　2.對比進程列表
　　在命令提示符窗口中執行命令：“FC D:\1.txt D:\2.txt >D:\3.txt”，成功後將會自動對比兩個進程記錄文件中的不同，並生成對比文件。打開對比文件“3.txt”，可以看到程式運行後只產生了一個名為“domain3.5.exe”的進程（如圖7）。

圖7 對比後發現多了一個“domain3.5.exe”的進程
　　3.檢測隱藏進程
　　不過Windows中自帶的進程管理命令，無法顯示一些內核級或帶有ROOTKIT隱藏性能的進程，因此還是需要檢測程式運行時是否產生了隱藏的間諜進程。可使用IceSword工具，使用方法很簡單，這裡就不多作介紹了。
五、查出程式後門
　　有的程式本身就可能有後門組件，開啟後沒有執行功能即會在後臺收集用戶私密數據。要發送數據就必須打開端口，因此只要檢測系統中是否打開了多餘的端口。
　　運行IceSword，點擊左側“查看”→“端口”，在右側觀察系統端口開放情況。然後運行程式後，在窗口中點擊右鍵，選擇“刷新列表”命令，可以看到程式連接了遠程主機的8080端口（如圖8）！在程式中很有可能包含著某些後門！那就跟蹤分析一下後門程式究竟幹了些什麼！

圖8 用IceSword查看程式連接狀況


六、嗅探後門程式
　　首先，運行Winsock Expert，點擊工具欄“打開”，在對話方塊中點擊程式進程名，再點擊確定按鈕，開始嗅探。在嗅探過程中，筆者進行了正常的網路操作，瀏覽一些網頁撰寫了一個文檔。過了大約二十分鐘後，返回嗅探數據窗口。查看其中“Status”欄中有“send”標記的，點擊該列數據，下方窗口顯示程式向遠程伺服器發送了數據資訊（如圖9）。沒想到其中居然有“Username”之類的字符串！雖然發送的數據串看起來比較奇怪，但肯定是發送用戶名數據的，那密碼之類的資訊肯定也被記錄發送了！

圖9 用Winsock Expert嗅探發送狀況
　　沒想到隨便下載的一個所謂“駭客工具”，裏面居然有這樣的貓膩，筆者趕快關閉了程式並將其徹底清除出系統。網上下載的軟體使用時真的要慎重啊！如果碰上一些可疑的程式，可以按筆者介紹的方法時行檢測，看看這個程式是不是真的乾淨！