如何對付未知病毒木馬?
標簽:無毒空間,白名單,,未知木馬克星,手工殺毒
摘要:手工查殺毒本來是件非常困難的工作,,但有無毒空間的幫助,,普通人都能勝任了,。
由于工作的關系,我們每天都要跟未知病毒木馬打交道,,所以,,積累了一些經(jīng)驗,今天拿出來跟朋友們共享一下,,如果有描述不當?shù)牡胤?,歡迎指正。
實際上目前很難見到高質(zhì)量的病毒木馬了,,大量的惡意程序都是一些三急(急于發(fā)財,、急于求成、急功近利)的童鞋們做出來的,,這些病毒木馬都比較糙,,經(jīng)常對用戶的電腦殺雞取卵,害人不淺,,讓人覺得跟街頭打架一樣,,沒有什么可欣賞性(打架顯然跟切磋武功不在一個檔次)。
對于非常高級的木馬,,我們捕捉到了,,心頭也會升起一些“敬意”的,這當然不是贊同他們制作惡意程序的行為,,而是佩服他們鉆研技術的極客精神(如果用技術來幫助別人就更好了,,偶的一個愿望啊,!不少高手因為買房養(yǎng)車困難,,利用業(yè)余時間撈點外快,ZF也是有一部分責任的,,要是杜甫在世,,一定不會發(fā)生這樣的事情的。)
今天拿來演示的樣本是個特制木馬,,09年10月拿到的,,當時全球的殺軟都不認識,免殺技術很出色,,現(xiàn)在一年的時間過去了,,已經(jīng)有一些殺軟認識它了。
不過這不是問題的關鍵,,我們向大家介紹的是一種通用的辦法,,一種可以拿來對付各種未知病毒木馬的具體方法和步驟。
先假設未知木馬已經(jīng)進入電腦了,既然是未知病毒木馬,,當然是殺軟們不認識的東東,,他們在電腦里呆著也算是“正常”了。
任務管理器:
使用任務管理器查看電腦里的程序是最常用的辦法了,,雖然微軟提供的任務管理器是對付未知病毒木馬最菜的工具了,,但順手一用,有時也能發(fā)現(xiàn)一兩個更菜的木馬,。
這個截圖就是使用任務管理器看見菜馬的情形:
下載 (25.3 KB)
2010-12-4 09:26
當然我們虛擬機里的特制木馬沒有這么菜,,任務管理器是看不到任何蹤跡的。
下載 (25.13 KB)
2010-12-4 09:26
加大手工查殺力度,,這回上Sreng2,,小青蛙的大作。
直接查看啟動項目,。
第一屏,,沒有發(fā)現(xiàn)可疑的東西;
下載 (44.95 KB)
2010-12-4 09:27
第二屏,,還是沒有發(fā)現(xiàn)異常,;
下載 (18.9 KB)
2010-12-4 09:27
第三屏,看見了一個可疑程序,;
下載 (20.89 KB)
2010-12-4 09:27
還是繼續(xù)看完吧,,第四屏顯示如下。
下載 (24.11 KB)
2010-12-4 09:27
Sreng2是一款非常好用的手工查殺毒軟件,,但朋友們不要以為這么簡單都能找到未知病毒木馬,,使用這款工具必須有一些計算機程序知識的積累。
這款工具還有檢查服務及驅(qū)動的功能,,也有使用插件診斷文件簽名,、網(wǎng)絡流量、NTFS的流文件,、Windows shell擴展等高級功能可以選用,如果用戶有意提高自己的計算機水平,,認真學會使用Sreng2還是非常必要的,。
再試試Icesword(冰刃),這個大名鼎鼎的手工查殺毒軟件,,一定得看看他的能耐,。
進程里沒有發(fā)現(xiàn)可疑程序的蹤影,看來這個木馬是能防冰刃的??!
下載 (53.43 KB)
2010-12-4 09:27
查看啟動組,結果Sreng2發(fā)現(xiàn)的可疑啟動程序,冰刃居然沒有發(fā)現(xiàn),。
下載 (44.21 KB)
2010-12-4 09:27
冰刃還有很多項診斷,,在此就不一一列舉了,不過最后一直沒有找到任何可疑的東西,。
結論:由于冰刃太有名,,導致惡意程序在發(fā)布之前,自己就先用冰刃做過測試,,所以,,如果使用冰刃找不到惡意程序,也不要奇怪,,畢竟研究冰刃的人太多了,。
Wsyscheck,冰刃的繼任者,,比冰刃容易使用一些,,而且還有一些擴充的功能。
啟動Wsyscheck后,,順便校驗一下微軟數(shù)字簽名,,結果就發(fā)現(xiàn)了不少粉紅色的條目,這些條目都是有可疑之處的,。
到底誰的進程里藏有罪魁禍首呢,?我也不知道,慢慢找吧,。
下載 (51.53 KB)
2010-12-4 09:27
我們重點查看了explorer.exe的進程,,里面沒有發(fā)現(xiàn)可疑的項目,很多惡意程序都是綁定這個explorer.exe的,,但是,,那個馬確實藏在這個電腦里,怎么就無影無蹤了呢,?,!
下載 (54.19 KB)
2010-12-4 09:27
不過最后還是在啟動項里發(fā)現(xiàn)了該馬的尾巴,這就算抓住了,。Wsyscheck是目前尋找木馬非常不錯的工具,,但學會并熟練使用它也是要花些工夫的,而且用戶還必須有足夠的經(jīng)驗,。
下載 (54.57 KB)
2010-12-4 09:27
最后一招,,用目前最新的Xuetr看看。
如今尋找未知木馬,,不使用Xuetr,,似乎有點落伍,,我們繼續(xù)使用這款高級工具看看。
看進程,,里面沒有發(fā)現(xiàn)可疑的東東,。
下載 (47.03 KB)
2010-12-4 09:27
內(nèi)核模塊里也沒有,這個我們事先就知道,。
但是不知道的朋友是不是要認真一項一項地逐個看一遍呢,?!
下載 (55.76 KB)
2010-12-4 09:27
內(nèi)核也要看看的,,還是沒有收獲,。
下載 (52.35 KB)
2010-12-4 09:27
還要看很多,在此一一略過… …
直接看看我們最想看的啟動項吧,,還是有兩屏多的內(nèi)容,。
下載 (47.96 KB)
2010-12-4 09:27
在這里終于找到了那個可恨的“階級敵人”,你咋這么不起眼呢,,害得我們費多少事?。?/span>
下載 (51.27 KB)
2010-12-4 09:27
我們絲毫沒有詆毀上述高級工具的意思,,我們要告訴朋友們的是,,這些專業(yè)的工具,說實在的,,只是專業(yè)人士的輔助工具,,普通人想要用,起碼得先去找本Windows內(nèi)核的書看看,,不然就不要談找未知病毒木馬,,單就幾千個Windows的程序,就能把你徹底搞暈,。
那還有沒有簡單有效的辦法呢,?當然有。
用無毒空間找未知病毒木馬,,就簡單得讓人難以置信,!
安裝好無毒空間后,如果要分析惡意程序的話,,起碼得重新啟動電腦一次,,然后點擊分析按鈕。
下載 (38.23 KB)
2010-12-4 09:27
結果那高級馬,,就直接顯示出來了。是的,,真的就直接顯示出來了,!
PS:演示的是虛擬機環(huán)境,,安裝的程序不多;真機的程序會多一些,,文章結尾有個真機的樣本,,用戶就是逐個查驗,也是不復雜的,。
下載 (8.39 KB)
2010-12-4 09:27
刪一下看看,,刪不掉?,!
下載 (13.23 KB)
2010-12-4 09:27
下載 (14.71 KB)
2010-12-4 09:27
拷貝一份研究研究,,還不讓拷貝。
下載 (14.19 KB)
2010-12-4 09:27
也不讓上傳掃描,。
下載 (68.96 KB)
2010-12-4 09:27
木馬日志文件里,,記錄了我們操作電腦的一些動作。
下載 (23.07 KB)
2010-12-4 09:27
使用無毒空間,,處理各種木馬,,都是以下標準流程:
操作動作 解釋含義
選中禁止它à標記動作;
關閉主界面à指令入庫,;
重啟計算機à禁止生效,。
這時木馬就被無毒空間廢掉了!
下載 (69.33 KB)
2010-12-4 09:27
看看下面的截屏,,木馬加載失敗,,雖然我們沒有刪除任何程序,但這時電腦已經(jīng)運行在干凈的狀態(tài)了,,所謂木馬,,在無毒空間的眼里,也是程序,,只是一些不想經(jīng)過用戶的許可,,悄悄控制用戶電腦的特殊程序。
無毒空間解決這個問題的辦法是:
1,、讓它隱藏不?。?/span>
2,、讓它執(zhí)行不了,。
木馬得不到系統(tǒng)的控制權,自然就失靈了,。(死馬有什么可怕的,?!)
下載 (56.22 KB)
2010-12-4 09:27
下載 (62.68 KB)
2010-12-4 09:27
上面演示的是計算機已經(jīng)中馬后才安裝無毒空間的情況,。
如果用戶的電腦一直在無毒空間的管理下,,就沒有這么復雜了,。安裝了無毒空間的電腦,有未知程序在電腦里執(zhí)行時,,只要用戶不直接點擊“知道了”,,不在主界面里人為許可程序,計算機一重啟,,就能自動發(fā)現(xiàn)可疑程序,,這恰恰是無毒空間的專長。
下圖就是無毒空間自動發(fā)現(xiàn)可疑程序的樣子,。
下載 (70.29 KB)
2010-12-4 09:27
附一個真機的分析樣本:
虛擬機安裝的程序少一點,,分析結果會一目了然。
如果是真機,,分析窗口的程序也不會太多,,稍加過濾,20多個可疑程序,,逐一驗證的過程也不太復雜,。
有些簡單經(jīng)驗是需要用戶掌握的,在無毒空間顯示的可疑程序里,,有些是用戶的顯卡,、無線網(wǎng)卡、網(wǎng)卡,、打印驅(qū)動,、聲卡驅(qū)動、攝像頭程序,,用戶單憑文件名,、路徑和文件完整屬性,就能知道大概程序有沒有問題,,所以,,發(fā)現(xiàn)可疑程序還是比較迅速的。
Virusfree Team ( 備案序號:京ICP備05051251號)|
