為了防止木馬對真實的系統(tǒng)造成破壞,因此需要將其調(diào)入虛擬機(jī)中執(zhí)行,同時切斷虛擬機(jī)的網(wǎng)絡(luò)連接,防止其從網(wǎng)上下載更多的“幫手”。常用的虛擬機(jī)種類各異,例如VirtualBox、VMware Workstation、Virtual PC等。本例中使用的是簡單易用的Virtual PC這款虛擬機(jī)軟件。為了發(fā)現(xiàn)木馬的行蹤,需要使用 File Monitor、Regshot、IceSword等工具,分別對文件和注冊表的變動信息進(jìn)行監(jiān)控,同時對發(fā)現(xiàn)的木馬進(jìn)行清除。
當(dāng)然,您也可以使用Registry Monitor、SUNDY等監(jiān)控工具。
首先,在虛擬機(jī)中打開Windows XP系 統(tǒng),將捕獲的木馬服務(wù)器端程序放置到該虛擬機(jī)中,先執(zhí)行Regshot,在其主界面(如圖1所示)中點擊按鈕菜單“建立快照A”→“全部注冊表”項,對整個注冊表拍攝快照。之后啟動FileMon,在其主界面中點擊“Ctrl+E”鍵,執(zhí)行文件監(jiān)控動作。為了便于觀察,最好點擊菜單“選項”→“字體”項,將字體大小設(shè)置為8,這樣可以清晰地查看監(jiān)控內(nèi)容。布置好監(jiān)控環(huán)境后,執(zhí)行木馬服務(wù)器端程序“services.exe”,眨眼間木馬執(zhí)行完畢。在FileMon主界面中點擊工具欄上第三個按鈕,停止監(jiān)控動作。點擊菜單“文件”→“保存”項,將監(jiān)控信息保存為獨立的文件。
圖1 監(jiān)控文件活動信息
圖2 為注冊表拍攝快照
在 RegShot主 界 面(如圖2所示)中點擊按鈕菜單“建立快照B”→“全部注冊表”按鈕菜單,對注冊表再次拍攝快照。然后點擊“比較快照”按鈕,對木馬運(yùn)行前后的注冊表快照進(jìn)行檢測比較,過濾出注冊表的所有變動信息,默認(rèn)的報告文件存儲在“%SYSTEMDRIVE%Hive”文件夾中。
當(dāng)然,也可以在Regshot主界面中的“報告保存文件夾”欄中進(jìn)行修改。
進(jìn)入該文件夾,可以看到,Regshot生 成 了 HTML格式的報告文件,以及“Report.1.RedoReg.txt” 和“Report.1.UndoReg.txt”文件,前者包含注冊表中所有數(shù)據(jù)更改信息。
通過對Regshot報告文件的分析,可以發(fā)現(xiàn)木馬對注冊表進(jìn)行的所有操作信息,包括新增了15個子健、刪除了8個鍵值名、增加了30個鍵值名、修改了5個鍵值名等。在其中可以看到,木馬在注冊表中相關(guān)啟動項中添加了可疑程序,這樣可以在系統(tǒng)啟動時自動激活木馬。
在“HKEY_LOCAL_MACHINESOFTWAREM i c r o s o f tW i n d o w sCurrentVersionExplorerAdvancedFolderHiddenSHOWALL”分支下對和查看隱藏文件相關(guān)的項目進(jìn)行了修改,讓用戶無法開啟隱藏文件顯示功能等。打開FileMon提供的文件活動監(jiān)控信息,可以看到,其內(nèi)容比較復(fù)雜,為了簡便起見,可以使用記事本搜索“Create”、“Write”、“Delete”等關(guān)鍵信息,找出和木馬程序相關(guān)的新建、修改和刪除文件記錄。
經(jīng)過耐心細(xì)致的分析,發(fā)現(xiàn)該木馬文件的主要文件分別存放到了“C:WindowsIME”文件夾和各盤符根目錄下的“Cache.dt”文件夾中。同時,在各盤的根目錄下創(chuàng)建了“Autorun.inf”文件,當(dāng)用戶雙擊盤符時就會激活木馬。此外,木馬還在“C:Windowssystem”文件夾中新建了“ncscv32.exe”、“runouce.exe”、“tgnyget.dll”等文件。打開任務(wù)管理器,果然發(fā)現(xiàn)了“ncscv32.exe”、“runouce.exe”等可疑進(jìn)程信息。當(dāng)手工結(jié)束“runouce.exe”進(jìn)程后,發(fā)現(xiàn)其又自動運(yùn)行了??磥?,一定有宿主進(jìn)程在背后為其提供支持。啟動 FileMon,點 擊 菜 單“選項”→“過濾/高亮”項,在過濾窗口的“包含”欄中輸入“runouce.exe”,對其活動進(jìn)行監(jiān)視,發(fā)現(xiàn)當(dāng)該進(jìn)程被關(guān)閉后,Explorer.exe進(jìn)程將其重啟啟動??磥?,一定是該木馬在Explore.exe進(jìn)程中插入了DLL模塊,來自動激活木馬進(jìn)程。在CMD窗口中執(zhí)行“tasklist /m”命令,檢測各進(jìn)程模塊使用信息,果然,在Explorer.exe進(jìn)程中發(fā)現(xiàn)了“tgnyget.dll”模塊的身影。由此可見,該DLL模塊一定是插入到了Explorer.exe進(jìn)程中了。在磁盤根目錄下找到“Autorun.inf”文件,其內(nèi)容為:
可以看到,木馬在驅(qū)動器右鍵菜單中添加了名為“打開(O)”項目來迷惑大家,當(dāng)雙擊盤符后,其根目錄的“Cache.dt”文件夾中的“cache1.bat”文件就會被激活,該文件經(jīng)過加密處理,無法直接查閱其內(nèi)容。如果直接進(jìn)入“Cache.dt”文 件 夾,當(dāng) 雙 擊“1.{208D2C60-3AEA-1069-A2D7-08002B30309D }”文件夾時,會引導(dǎo)到網(wǎng)上鄰居窗口,從而達(dá)到隱蔽木馬文件的目的。了解了木馬的以上伎倆后,將以上“Report.1.UndoReg.txt”文件復(fù)制出來,并更名為“Report.1.Undo.Reg”文件。打開入侵的電腦,在開機(jī)時按下F8鍵,將系統(tǒng)引導(dǎo)到安全模式下,使用IceSword將木馬進(jìn)程“svchost.exe”清除,該程序位于“C:WindowsIME”文件夾中。并根據(jù)分析數(shù)據(jù),將“C:WindowsIME” 文件夾中的所木馬文件全部刪除。使用IceSword將插入到“explorer.exe” 進(jìn) 程 中的“tgnyget.dll”卸載。然后將“C:Windowssystem”文件夾中的“ncscv32.exe”、“runouce.exe”、“tgnyget.dll”等木馬文件刪除。之后刪除各盤根目錄下的“Cache.dt”文件夾中的所有內(nèi)容,刪除“Autorun.inf”文件。再運(yùn)行復(fù)制過來的“Report.1.Undo.Reg”文件,將木馬對注冊表進(jìn)行的所有改動信息全部清除,之后重啟系統(tǒng),木馬就徹底驅(qū)逐出去了。