mmzz2688
注册用户
新手上路
积分 63
发帖 53
注册 2006-3-14
|
#1 【转贴】【分享】关于动态嵌入式dll木马病毒的发现及清除
http://www.sina.com.cn
文/佚名
随着MS的操作系统从Win98过渡到Winnt系统(包括2k/xp),MS的任务管理器也一下子脱胎换骨,变得火眼金睛
起来(在WINNT下传统木马再也无法隐藏自己的进程),这使得以前在win98下靠将进程注册为系统服务就能够从任
务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,所以才会有今天这篇讨论
如何清除动态嵌入式DLL木马的文章。
首先,我们来了解一下什么是动态嵌入式木马,为了在NT系统下能够继续隐藏进程,木马的开发者们开始利
用DLL(Dynamic Link Library动态链接库)文件,起初他们只是将自己的木马写成DLL形式来替换系统中负责Win
Socket1.x的函数调用wsock32.dll(Win Socket2中则由WS2_32.DLL负责),这样通过对约定函数的操作和对未知函
数的转发(DLL木马替换wsock32.dll时会将之更名,以便实现日后的函数转发)来实现远程控制的功能。但是随着
MS数字签名技术和文件恢复功能的出台,这种DLL马的生命力也日渐衰弱了,于是在开发者的努力下出现了时下的
主流木马--动态嵌入式DLL木马,将DLL木马嵌入到正在运行的系统进程中.explorer.exe、svchost.exe、smss.exe
等无法结束的系统关键进程是DLL马的最爱,这样这样在任务管理器里就不会出现我们的DLL文件,而是我们DLL的
载体EXE文件.当然通过进一步的加工DLL木马还可以实现另外的一些如端口劫持/复用(也就是所谓的无端口)、注
册为系统服务、开多线程保护、等功能。简而言之,就是DLL木马达到了前所未有的隐蔽程度。
那么我们如何来发现并清除DLL木马呢?
一,从DLL木马的DLL文件入手,我们知道system32是个捉迷藏的好地方,许多木马都削尖了脑袋往那里钻,
DLL马也不例外,针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一个记录
:运行CMD--转换目录到system32--dir *.exe>exeback.txt& dir *.dll>dllback.txt,这样所有的EXE和DLL文件
的名称都被分别记录到exeback.txt和dllback.txt中,日后如发现异常但用传统的方法查不出问题时,则要考虑是
不是系统中已经潜入DLL木马了.这是我们用同样的命令将system32下的EXE和DLL文件记录到另外exeback1.txt和
dllback1.txt中,然后运行CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt
dllback1.txt>diff.txt.(用FC命令比较前后两次的DLL和EXE文件,并将结果输入到diff.txt中),这样我们就能发
现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已
经被DLL木马光顾了。没有是最好,如果有的话也不要直接DLL掉,我们可以先把它移到回收站里,若系统没有异
常反应再将之彻底删除或者提交给杀毒软件公司。
二、上文也曾提到一些系统关键进程是这类木马的最爱,所以一旦我们怀疑系统已经进驻了DLL木马,我们当
然要对这些关键进程重点照顾了,怎么照顾?这里推荐一个强大的脱壳工具工具Procedump.exe他可以帮您看出进
程到底调用了那些DLL文件,但是由于有的进程调用的DLL文件非常多,使得靠我们自己去一个核对变的不太现实,
所以我们会用到一个shotgun写的NT进程/内存模块查看器ps.exe,用命令ps.exe/a /m >nowdlls.txt将系统目前
调用地所有DLL文件地名称保存到nowdlls.txt,然后我们再用fc将之于事先备份dllback.txt比较一下,这样也能
够缩小排查范围。
三、还记得木马的特征之一端口么?所有的木马只要进行连接,只要它接受/发送数据则必然会打开端口,
DLL木马也不例外,这也为我们发现他们提供了一条线索,我们可以使用foundstone的进程端口查看工具
Fport.exe来查看与端口对应的进程,这样可以将范围缩小到具体的进程,然后结合Procedump来查找DLL木马就比较
容易了.当然有如上文提到的有些木马会通过端口劫持或者端口重用的方法来进行通信,139、80、1443、等常见端
口则是木马的最爱。因为即使即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026
ControllerIP:80
ESTABLISHED 的情况,稍微疏忽一点,您就会以为是自己在浏览网页(防火墙也会这么认为的)。所以光看端
口还不够,我们要对端口通信进行监控,这就是第四点要说的。
四、我们可以利用嗅探器来了解打开的端口到底在传输些什么数据。通过将网卡设为混杂模式就可以接受所
有的IP报文,嗅探程序可以从中选择值得关注的部分进行分析,剩下的无非是按照RFC文档对协议进行解码。这样
就可以确定木马使用的端口,结合Fport和Procedump我们就能够查找到该DLL木马了。至于嗅探器个人推荐使用
IRIS,图形界面比较容易上手。
五、通常说道查杀木马我们会习惯性地到注册表碰碰运气,以前可能还蛮有效的,但如果碰到注册为系统服
务的木马(原理:在NT/2K/XP这些系统中,系统启动时会加载指定的服务程序)这时候检查:启动组/注册
表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等文件 就发现不了
丝毫的异样,这时候我们就应该查看一下系统服务了:右击我的电脑--管理--服务和应用程序--服务,这时您会
看到100多个服务,(MS也真是的,其中75%对个人用户无用,可以禁止。),慢慢找吧,看谁不顺眼就把它拎出来
:),当然如果您以前曾经用导出列表功能对服务备份过,则用文件比较的方法会很容易发现哪些是外来客,这时
您可以记录下服务加载的是那个文件,然后用Resource Kits里提供的srvinstw.exe来移除该服务并清除被加载的
文件。
通过以上五步,基本能发现并清除狡猾的动态嵌入式DLL木马了,也许您也发现如果适当地做一些备份,会对
我们的查找木马的过程有很大的帮助,当然也会减轻不少工作的压力哦。
|
※ ※ ※ 本文纯属【mmzz2688】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-3-15 11:32 |
|
0000
新手上路
初级会员
积分 27
发帖 7
注册 2005-10-30
|
#2 回复: 【转贴】【分享】关于动态嵌入式dll木马病毒的发现及清除
文章不错,不过,还有更简单的方法——从微点中得到:
1。系统加载的所有dll都可以在“模块/进程”中得到,而且微点已经把它认识的标出来了,我们只要关心不认识的就可以了,这个减少了不少工作量
2。每个正在运行的进程所加载的Dll,可以在“进程综合信息”中得到,而且也标出了微点是否认识
3。每个进程的打开的端口在“进程综合信息”和“进程网络信息”中可以得到,而且还能知道各个端口的状态
4。每个端口传输的数据微点好象没有显示出来,是不是因为数据太多?建议使用Sniffer Pro,这个软件很好用
5。系统启动时运行的所有程序,包括Dll,都可以在“系统自启动信息”中得到,而且已经分类了,同时还告诉我们相对应的注册表项什么的,双击就可以打开对应的注册表项,方便修改,这个功能不错的说
|
※ ※ ※ 本文纯属【0000】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-3-15 12:14 |
|
囚中城
版主
微点茶室甜点师
积分 3808
发帖 3688
注册 2006-1-3 来自 拿灵魂换生命的地方
|
#3 回复: 【转贴】【分享】关于动态嵌入式dll木马病毒的发现及清除
太专业的东东了
|
※ ※ ※ 本文纯属【囚中城】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-3-15 15:51 |
|
sxh_sxh
版主
灌水区版主
积分 818
发帖 810
注册 2005-12-10
|
#4 回复: 【转贴】【分享】关于动态嵌入式dll木马病毒的发现及清除
欢迎灌水,二楼的朋友介绍的不错。
|
※ ※ ※ 本文纯属【sxh_sxh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-3-15 23:19 |
|
微笑箭客
新手上路
积分 33
发帖 33
注册 2006-4-10
|
#5
闲来无事,发现好帖!
|
※ ※ ※ 本文纯属【微笑箭客】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-4-11 17:56 |
|
segourigh
中级用户
新手上路
积分 251
发帖 237
注册 2006-2-19
|
#6
拜托,帖子好好整理下,看起费力
|
※ ※ ※ 本文纯属【segourigh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-4-13 16:47 |
|
危星用户
新手上路
新手上路
积分 6
发帖 6
注册 2006-1-14
|
#7
LZ真辛苦的说.长见识了哈。....
|
※ ※ ※ 本文纯属【危星用户】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-4-17 12:30 |
|
fy_wdm
新手上路
初级会员
积分 24
发帖 24
注册 2006-1-5
|
#8
好帖!
|
※ ※ ※ 本文纯属【fy_wdm】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2006-4-17 12:45 |
|
jaber
版主
使用与技巧区版主
积分 2861
发帖 2835
注册 2006-6-6
|
#9
抽个时间看看!
|
※ ※ ※ 本文纯属【jaber】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
XP2(原版未打补丁)
单独微点预升级
|
|
|
2007-8-9 14:23 |
|