別具一格木馬監(jiān)控術(shù)

木馬雖然對(duì)系統(tǒng)安全危害很大，不過(guò)從本質(zhì)上說(shuō)，木馬其實(shí)就是一種特殊的程序而已。木馬運(yùn)行后，會(huì)執(zhí)行釋放文件、修改注冊(cè)表等操作。從某種意義上說(shuō)，這和安裝程序（例如常見(jiàn)的“setup.exe”、“Install.exe”等）的特點(diǎn)有些相似?，F(xiàn)在有很多針對(duì)安裝程序的監(jiān)控工具，可以將安裝程序的活動(dòng)全部記錄下來(lái)，包括其創(chuàng)建的文件、對(duì)系統(tǒng)的所有修改操作等等。其本意是以后當(dāng)卸載該軟件時(shí)，可以根據(jù)這些記錄信息，讓其從系統(tǒng)中干凈徹底地消失。其實(shí)，將這些監(jiān)控工具用在對(duì)木馬行為的分析上，同樣可以發(fā)揮很大的作用，讓木馬的所有舉動(dòng)徹底暴露在您的面前。這樣的監(jiān)控工具有很多，例如Total Uninstall、Install Watch等。這里就以Install Watch為例，來(lái)說(shuō)明具體的操作方法。

圖5 配置監(jiān)控環(huán)境

圖6 查看木馬活動(dòng)監(jiān)控信息

圖7 查看注冊(cè)表變動(dòng)信息

我們將木馬程序和Install Watch全部放入虛擬機(jī)中，先安裝并運(yùn)行Install Watch，在其主界面工具欄上點(diǎn)擊“安裝”按鈕，在彈出窗口中點(diǎn)擊“配置”按鈕，在配置窗口（如圖5所示）中勾選“掃描所有的硬盤驅(qū)動(dòng)器”項(xiàng)，可以掃描所有的磁盤。不過(guò)為了加快掃描的速度，可以只保留系統(tǒng)盤。在“要跟蹤其內(nèi)容更改情況的問(wèn)價(jià)擴(kuò)展名”欄右側(cè)點(diǎn)擊“添加”按鈕，添加需要監(jiān)控的文件類型，您可以根據(jù)實(shí)際需要添加任意文件類型。在下一步窗口中可以添加忽略的文件類型，這些類型的文件不在掃描檢測(cè)行列，依次點(diǎn)擊下一步按鈕，執(zhí)行第一次磁盤掃描操作。當(dāng)掃描完畢后，彈出程序運(yùn)行窗口，選擇木馬程序“winserver.exe”，點(diǎn)擊下一步按鈕，執(zhí)行該木馬程序。之后點(diǎn)擊下一步按鈕，Install Watch對(duì)預(yù)設(shè)磁盤執(zhí)行第二次掃描操作，完畢后輸入本次檢測(cè)的項(xiàng)目名稱，至此對(duì)該木馬程序的監(jiān)控結(jié)束。此外，當(dāng)木馬運(yùn)行后，自身就消失了，由此可見(jiàn)，該木馬具有自毀功能。

在Watch Install主界面左側(cè)選擇本檢測(cè)項(xiàng)目的名稱，在窗口右側(cè)顯示在監(jiān)控期間，系統(tǒng)所有的變動(dòng)信息（如圖6所示）。例如，在本例中新建了4個(gè)文件、刪除了2個(gè)文件、更改了18個(gè)文件、在注冊(cè)表新建了105個(gè)條目、刪除了4個(gè)條目、更新了49個(gè)條目等。選中該檢測(cè)項(xiàng)目名稱，其下包括“所有文件”、“INI文 件”、“注 冊(cè)表”等項(xiàng)目。選擇“所有文件”項(xiàng)，在窗口右側(cè)顯示所有的文件變動(dòng)情況。為了便于分析，其中還分為“添加的文件”、“刪除的文件”、“修改的文件”等項(xiàng)目。在“注冊(cè)表”節(jié)點(diǎn)下包括“添加的注冊(cè)表”、“刪除的注冊(cè)表”以及“刪除的注冊(cè)表?xiàng)l目”等項(xiàng)。在其中仔細(xì)檢測(cè)，很快就發(fā)現(xiàn)了木馬的行蹤。選擇“添加的文件”項(xiàng)，在右側(cè)的統(tǒng)計(jì)信息中可以看到，該木馬在“C:Program FilesCommon FilesMicrosoft SharedMSInfo”文件夾下創(chuàng)建了名為“rundll_32.exe”的文件。

注意：其處于隱藏狀態(tài)，無(wú)法直接觀察到。在“C:WindowsSystem32”文件夾中生成了名為“_rundll_32.exe”的文件。

在監(jiān)控項(xiàng)目下面選中“注冊(cè)表”→“添加的注冊(cè)表” →“HKEY_LOCAL_MACHINE”分支，在窗口右側(cè)可以看到，該木馬創(chuàng)建了名為“Network Manger Agent”的系統(tǒng)服務(wù)，在其描述信息中顯示“網(wǎng)絡(luò)管理實(shí)用工具”字樣，起到迷惑用戶的目的（如圖7所示）。根據(jù)以上分析數(shù)據(jù)，我們可以很清楚地了解了該木馬的活動(dòng)特點(diǎn)，這樣清除起來(lái)就容易多了。啟動(dòng)感染了該木馬的主機(jī)，進(jìn)入安全模式后先終止“Network Manager Agent”服務(wù)的運(yùn)行，然后使用IceSword、Wsyscheck等工具將木馬主文件“rundll_32.exe”、“_rundll_32.exe”刪 除，最后刪除木馬創(chuàng)建的假冒服務(wù)，重啟系統(tǒng)后，該木馬就徹底消失了。