微点交流论坛 - 主动防御 - 【再转帖一个强帖】截住无名黑手统杀未知木马

微点交流论坛 » 主动防御 » 【再转帖一个强帖】截住无名黑手统杀未知木马

擅解人衣
新手上路

积分 2
发帖 2
注册 2006-4-16

#1 【再转帖一个强帖】截住无名黑手统杀未知木马

http://www.netfriends.com.cn/nf- ... 516,39285074,00.htm

现在位置：网站首页>网络天空>网络新闻

截住无名黑手统杀未知木马
------------------------------------------------------------------------
2005期23期优秀文章 2006-01-05 11:10 AM

“黑”友们在黑人的同时，也得时刻防备着被人所黑，因此一款专业的安全软件必不可少。大部分的黑友们都安装了防火墙和杀毒软件，不过现在很多杀毒软件都有一个非常大的缺点，对于未知的木马病毒无法进行防范。其实作为黑客，我们都非常清楚，任何一款木马只要经过特殊的加壳后，就可以让一般的杀毒软件形同虚设！如何防范未知的木马和病毒呢？
一、“微点主动防御软件”简介
“微点主动防御软件”是一款极为强大的系统安全工具，最大的特点是采用了主动防御技术，真正的实现了防范未知的木马。所谓的“主动防御技术”，就是通过一款程序的行为判别其是否为木马或病毒，以防范未知木马破坏系统，真正的让系统安全无忧。
二、自动防御，拦截有害程序
安装了“微点主动防御软件”后要求重启系统，“微点主动防御软件”会随系统重启时自动运行，开始拦截系统中的有害程序。首先我们可以作一些小设置，打开软件主界面，展开左侧“安全防护与策略”，点击“程序行为实时监控策略”项，在右侧的设置界面中可勾选“自动处理”或“询问后处理”项（如图1）。为了防止软件误删正常程序，最好选择询问后处理项。设置完毕后，点击“保存设置”按钮，软件就开始自动拦截有害程序了。

通过此操作识别程序是否有害虽然有效，但也常出现误判的情况，这时可以点击设置页面中的“可信程序设置”按钮，将误判的程序添加到列表中。

笔者作了一个小实验，将灰鸽子木马用“幻影加壳”软件进行加壳后，并与系统中安装的下载工具“迷你迅雷”捆绑在一起，这样一般的杀毒软件都无法查出该木马了。然而在双击运行下载工具时，“微点主动防御软件”提示发现有害程序，并询问是否删除（如图2）。看来软件通过程序行进行木马识别判断，准确性比一般的杀毒软件要强得多呢！

三、主动出击，以攻为守
“攻击是最好的防御”，在对付有害程序时也是如此，在“微点”中提供了主动扫描有害程序、漏洞和网络、程序策略编辑等功能。
展开左侧的“安全防护与策略”，点击“可疑程序诊断”项，软件会自动扫描当前进程中的可疑程序，并给出扫描报告。点击“修改程序策略”和“网络访问策略”项，可以像普通防火墙软件一样，设置可信任的程序及程序访问网络的权限。
木马与病毒攻击系统，比较常见的情况是利用系统漏洞进行的，因此在“微点”中有一个比较重要的功能“漏洞扫描”。点击该功能项，经过快速扫描，在右侧界面中将会列出当前系统中还未安装的漏洞补丁（如图3），点击列表中的“下载补丁”按钮，即可下载安装补丁程序加固系统。

四、手工分析，智能弥补
世上没有包医百病的灵丹妙药，“微点”也不可能百分之百的拦截住所有的病毒，对于某些未知的程序，有时还需要我们手工的分析。
1.揪出隐形木马
许多木马是采用DLL注入正常进程，或者对木马进程进行了隐藏，通过“微点”的进程分析功能，可以方便的检查出此类木马。
以检测一款国外著名的反弹木马“CAIN”为例，笔者首先关闭了“微点”软件，然后在本机上对该木马的DLL文件进行了改名，并将其注入到系统进程“svchost.exe”中。打开“微点”使用“可疑程序诊断”功能扫描当前进程，扫描结果提示发现可疑进程“svchost.exe”，但是由于该进程是系统进程，因此无法删除只有手工的办法进行病毒分析。
展开“系统分析”项，点击其下的“进程综合信息”子项，在右侧窗口中显示当前所有进程及详细信息。在其中展开“当前进程”→“Windows系统”，在其中找到“svchost.exe”进程。可看到该进程打开了三个端口，并且反弹连出到IP地址“211.98.4.1”（如图4），很可能是木马在作祟。

那么木马到底是通过哪个DLL文件调用监听端口的呢？选择“svchost.exe”进程后，在下方的窗口显示了该进程中调用的所有DLL文件。其中大部分是正常的Windows调用的DLL文件，木马调用的DLL文件就隐藏在其中。要从中识别出木马DLL文件很简单，因为“微点”对DLL文件进行了分类标识。一般来说，非Windows系统DLL文件将会以蓝色高亮显示在列表中，并且在信息栏的“程序说明”列中标记“其他软件”。因此很容易的就从中找到了改过名的“CAIN”木马的DLL文件，文件名为“sock_4.dll”，并在“全路径”中显示了该DLL文件在硬盘中的位置。可进入安全模式或DOS状态，找到这几个文件后将其删除即可成功清除掉木马。

在“微点”界面右上侧中，有一个实时提示框，在其中显示了当前进程数目，网络连接数，并且以滚动条的方式显示了正与本机连接的远程IP地址，非常方便用户了解系统网络状态。

2.行为分析，精确无误
“微点”最强的功能就是行为分析，除了软件自动的分析功能外，我们还可以通过手工分析程序的行为，判断未知程序是否是木马。
以某个名为“COMMON”的EXE格式的Flash程序为例，网上的“朋友”将它发给我，并说明这绝对是一个精彩的Flash游戏。首先用杀毒软件扫描了一下，没有发现病毒，运行程序后确实是一个游戏，不过却发现我的系统变得慢了许多。于是打开微点，在左侧功能栏中展开“当前进程”→“媒体软件”，在其中找到了游戏进程。右键点击进程，选择“程序信息”命令，打开进程属性对话框。在对话框中可以看到该进程是何时启动的，并可看到游戏运行时在Windows系统目录下生成了几个DLL文件，游戏还修改了注册表内容，在自启动项目中添加了许多键值（如图5）。普通的Flash游戏哪里会修改注册表，并且悄悄地在系统目录中安放几个不知名的文件啊？现在基本上可以判定这个游戏绝对是一个木马了！

在刚才的进程列表中选择游戏进程，右键点击进程名，在弹出菜单中选择“结束进程”或“结束进程树”命令，即可强进关闭掉许多受系统保护的顽固进程。
除了上面介绍的这些功能外，“微点”还有着其它强大的行为分析功能，例如在“系统自启动信息”功能项中，可以查看到所有自动动程序，还包括DLL文件、VXD驱动、SYS服务信息等，可有效的防范各种服务型和驱动型启动的木马，远远比普通安全软件强大得多（如图6）。在“安全日志”和“系统日志”功能中，可以查看到各种网络溢出攻击行为记录，及时的把握系统安全状态。

“微点”的功能极其强大，利用它于系统中的防火墙和杀毒软件结合，相信任何木马病毒都难以再进入你的系统，系统从此安全无忧！！！

※ ※ ※ 本文纯属【擅解人衣】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-4-16 22:22

sxh_sxh
版主

灌水区版主

积分 818
发帖 810
注册 2005-12-10

#2

确实如此。

※ ※ ※ 本文纯属【sxh_sxh】个人意见，与【微点交流论坛】立场无关※ ※ ※

偶真想*

2006-4-17 10:32

twfy914
中级用户

初级会员

积分 245
发帖 238
注册 2006-2-8

#3

顶

※ ※ ※ 本文纯属【twfy914】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-4-17 12:34

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号