• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      簡單通用木馬分析術(shù)

      2015-12-03 01:24:10
      網(wǎng)絡(luò)安全和信息化 2015年3期
      關(guān)鍵詞:快照注冊表木馬

      為了防止木馬對真實的系統(tǒng)造成破壞,因此需要將其調(diào)入虛擬機(jī)中執(zhí)行,同時切斷虛擬機(jī)的網(wǎng)絡(luò)連接,防止其從網(wǎng)上下載更多的“幫手”。常用的虛擬機(jī)種類各異,例如VirtualBox、VMware Workstation、Virtual PC等。本例中使用的是簡單易用的Virtual PC這款虛擬機(jī)軟件。為了發(fā)現(xiàn)木馬的行蹤,需要使用 File Monitor、Regshot、IceSword等工具,分別對文件和注冊表的變動信息進(jìn)行監(jiān)控,同時對發(fā)現(xiàn)的木馬進(jìn)行清除。

      當(dāng)然,您也可以使用Registry Monitor、SUNDY等監(jiān)控工具。

      首先,在虛擬機(jī)中打開Windows XP系 統(tǒng),將捕獲的木馬服務(wù)器端程序放置到該虛擬機(jī)中,先執(zhí)行Regshot,在其主界面(如圖1所示)中點擊按鈕菜單“建立快照A”→“全部注冊表”項,對整個注冊表拍攝快照。之后啟動FileMon,在其主界面中點擊“Ctrl+E”鍵,執(zhí)行文件監(jiān)控動作。為了便于觀察,最好點擊菜單“選項”→“字體”項,將字體大小設(shè)置為8,這樣可以清晰地查看監(jiān)控內(nèi)容。布置好監(jiān)控環(huán)境后,執(zhí)行木馬服務(wù)器端程序“services.exe”,眨眼間木馬執(zhí)行完畢。在FileMon主界面中點擊工具欄上第三個按鈕,停止監(jiān)控動作。點擊菜單“文件”→“保存”項,將監(jiān)控信息保存為獨立的文件。

      圖1 監(jiān)控文件活動信息

      圖2 為注冊表拍攝快照

      在 RegShot主 界 面(如圖2所示)中點擊按鈕菜單“建立快照B”→“全部注冊表”按鈕菜單,對注冊表再次拍攝快照。然后點擊“比較快照”按鈕,對木馬運(yùn)行前后的注冊表快照進(jìn)行檢測比較,過濾出注冊表的所有變動信息,默認(rèn)的報告文件存儲在“%SYSTEMDRIVE%Hive”文件夾中。

      當(dāng)然,也可以在Regshot主界面中的“報告保存文件夾”欄中進(jìn)行修改。

      進(jìn)入該文件夾,可以看到,Regshot生 成 了 HTML格式的報告文件,以及“Report.1.RedoReg.txt” 和“Report.1.UndoReg.txt”文件,前者包含注冊表中所有數(shù)據(jù)更改信息。

      通過對Regshot報告文件的分析,可以發(fā)現(xiàn)木馬對注冊表進(jìn)行的所有操作信息,包括新增了15個子健、刪除了8個鍵值名、增加了30個鍵值名、修改了5個鍵值名等。在其中可以看到,木馬在注冊表中相關(guān)啟動項中添加了可疑程序,這樣可以在系統(tǒng)啟動時自動激活木馬。

      在“HKEY_LOCAL_MACHINESOFTWAREM i c r o s o f tW i n d o w sCurrentVersionExplorerAdvancedFolderHiddenSHOWALL”分支下對和查看隱藏文件相關(guān)的項目進(jìn)行了修改,讓用戶無法開啟隱藏文件顯示功能等。打開FileMon提供的文件活動監(jiān)控信息,可以看到,其內(nèi)容比較復(fù)雜,為了簡便起見,可以使用記事本搜索“Create”、“Write”、“Delete”等關(guān)鍵信息,找出和木馬程序相關(guān)的新建、修改和刪除文件記錄。

      經(jīng)過耐心細(xì)致的分析,發(fā)現(xiàn)該木馬文件的主要文件分別存放到了“C:WindowsIME”文件夾和各盤符根目錄下的“Cache.dt”文件夾中。同時,在各盤的根目錄下創(chuàng)建了“Autorun.inf”文件,當(dāng)用戶雙擊盤符時就會激活木馬。此外,木馬還在“C:Windowssystem”文件夾中新建了“ncscv32.exe”、“runouce.exe”、“tgnyget.dll”等文件。打開任務(wù)管理器,果然發(fā)現(xiàn)了“ncscv32.exe”、“runouce.exe”等可疑進(jìn)程信息。當(dāng)手工結(jié)束“runouce.exe”進(jìn)程后,發(fā)現(xiàn)其又自動運(yùn)行了??磥?,一定有宿主進(jìn)程在背后為其提供支持。啟動 FileMon,點 擊 菜 單“選項”→“過濾/高亮”項,在過濾窗口的“包含”欄中輸入“runouce.exe”,對其活動進(jìn)行監(jiān)視,發(fā)現(xiàn)當(dāng)該進(jìn)程被關(guān)閉后,Explorer.exe進(jìn)程將其重啟啟動??磥?,一定是該木馬在Explore.exe進(jìn)程中插入了DLL模塊,來自動激活木馬進(jìn)程。在CMD窗口中執(zhí)行“tasklist /m”命令,檢測各進(jìn)程模塊使用信息,果然,在Explorer.exe進(jìn)程中發(fā)現(xiàn)了“tgnyget.dll”模塊的身影。由此可見,該DLL模塊一定是插入到了Explorer.exe進(jìn)程中了。在磁盤根目錄下找到“Autorun.inf”文件,其內(nèi)容為:

      可以看到,木馬在驅(qū)動器右鍵菜單中添加了名為“打開(O)”項目來迷惑大家,當(dāng)雙擊盤符后,其根目錄的“Cache.dt”文件夾中的“cache1.bat”文件就會被激活,該文件經(jīng)過加密處理,無法直接查閱其內(nèi)容。如果直接進(jìn)入“Cache.dt”文 件 夾,當(dāng) 雙 擊“1.{208D2C60-3AEA-1069-A2D7-08002B30309D }”文件夾時,會引導(dǎo)到網(wǎng)上鄰居窗口,從而達(dá)到隱蔽木馬文件的目的。了解了木馬的以上伎倆后,將以上“Report.1.UndoReg.txt”文件復(fù)制出來,并更名為“Report.1.Undo.Reg”文件。打開入侵的電腦,在開機(jī)時按下F8鍵,將系統(tǒng)引導(dǎo)到安全模式下,使用IceSword將木馬進(jìn)程“svchost.exe”清除,該程序位于“C:WindowsIME”文件夾中。并根據(jù)分析數(shù)據(jù),將“C:WindowsIME” 文件夾中的所木馬文件全部刪除。使用IceSword將插入到“explorer.exe” 進(jìn) 程 中的“tgnyget.dll”卸載。然后將“C:Windowssystem”文件夾中的“ncscv32.exe”、“runouce.exe”、“tgnyget.dll”等木馬文件刪除。之后刪除各盤根目錄下的“Cache.dt”文件夾中的所有內(nèi)容,刪除“Autorun.inf”文件。再運(yùn)行復(fù)制過來的“Report.1.Undo.Reg”文件,將木馬對注冊表進(jìn)行的所有改動信息全部清除,之后重啟系統(tǒng),木馬就徹底驅(qū)逐出去了。

      猜你喜歡
      快照注冊表木馬
      EMC存儲快照功能分析
      天津科技(2022年5期)2022-05-31 02:18:08
      小木馬
      騎木馬
      小木馬
      旋轉(zhuǎn)木馬
      更上一層樓 用好注冊表編輯器
      創(chuàng)建磁盤組備份快照
      數(shù)據(jù)恢復(fù)的快照策略
      一張“快照”搞定人體安檢
      學(xué)習(xí)器揭開注冊表面紗
      移動一族(2009年3期)2009-05-12 03:14:30
      天峻县| 土默特右旗| 泰来县| 锡林浩特市| 平和县| 长海县| 武汉市| 汕头市| 江城| 长沙县| 重庆市| 桂平市| 铜川市| 巩留县| 延吉市| 思南县| 斗六市| 嫩江县| 逊克县| 抚州市| 瑞昌市| 金川县| 高平市| 新龙县| 扎囊县| 江西省| 宜城市| 建湖县| 胶州市| 高要市| 彭泽县| 康马县| 汉源县| 泸定县| 开原市| 益阳市| 清苑县| 平乐县| 恩施市| 赤峰市| 青龙|