追捕混跡 “流氓”

■

快速清除病毒驅動文件

筆者就曾經遇到過這樣的情況：當使用某款殺毒軟件掃描系統(tǒng)時，發(fā)現一個名為“wlsrmgr..sys”的病毒文件，看其名稱應該是驅動文件。筆者立即使用該殺毒軟件將其清除，看起來好像已經將其驅逐出去了。但是，當下次啟動電腦時，該殺毒軟件有提示發(fā)現該病毒文件，看來殺毒軟件實際上并沒有將其清除，說明該病毒是以驅動的形式加載的，該殺毒軟件只能發(fā)現而無法將其刪除。既然已經知道了該病毒文件的路徑，就只能手工清除了。

進 入“C:W i n d o w sSystem32Drivers”文件夾，果然找到了“wlsrmgr.sys”文件，當試圖手工刪除時，遭到了系統(tǒng)的攔截，于是使用優(yōu)盤引導系統(tǒng)進入WinPE環(huán)境，進入上述文件夾，將該病毒文件清除，僅僅刪除了病毒文件是不夠的，還必須將其在系統(tǒng)中遺留的相關配置信息清除，才可以徹底消除其影響。

運行“regedit.exe”程序，在其中點擊“Ctrl+F”鍵，輸入“wlsrmgr..sys”執(zhí)行搜索操作，果然在“HKEY_LOCAL_MACHINESYSTEMControlSet001Services”分支中發(fā)現了與之相關的鍵值，說明該病毒是以系統(tǒng)服務的方式啟動運行的，將其刪除后，才讓該病毒徹底從系統(tǒng)中銷聲匿跡了。如果在刪除相關鍵值時，出現權限不足的提示，可以在其右鍵菜單上點擊“權限”項，在彈出窗口中選擇“Everyone”賬戶（如果沒有的話，可以添加該賬戶），在“允許”列中選擇“完全控制”項，就可以將其順利刪除了。

識破病毒驅動的隱身術

某次當筆者在上網沖浪時，安裝的殺毒軟件突然自動關閉了，這讓筆者感到有些奇怪，估計可能是有病毒入侵了。運行IceSword這款安全利器，在其主界面對進程、端口、內核模塊、啟動項、服務等內容進行仔細檢查，當打開SSDT列表時，果然在其中發(fā)現了可疑之處，IceSword以紅色標記顯示“certload.dli” 和“fsvtub.sys”存在安全問題。經過檢測，前者位于系統(tǒng)臨時路徑中，后者位于“C:Windowssystem32Drviers”文件夾中。在刪除“certload.dli”文件時，系統(tǒng)提示無法刪除。

在IceSword的進程列表中點擊右鍵，在彈出菜單中選擇“查找模塊”項，輸入該文件名稱，發(fā)現其插入到了“iexplorer.exe”進程中，將IE關閉后，在IceSword文件管理界面中將上述兩個文件順利刪除，之后重啟系統(tǒng)，發(fā)現殺毒軟件恢復了功能，于是對全盤進行掃描，在“c:windowssystem32”目錄中發(fā)現名為“l(fā)asse.exe”的病毒文件，初看起來還以為是系統(tǒng)核心進程，將其刪除后以為問題已經解決了。但是，打開安裝的某防火墻管理界面，在網絡連接檢測列表中發(fā)現“iexplorer.exe”進程持續(xù)不斷地連接外地的某個IP，看來還有隱藏的病毒文件沒有被清除。

因為Knlsc這款小工具可以輕松發(fā)現隱藏的服務或者驅動，于是在CMD窗口中 執(zhí) 行“knlsc13.exe-f” 命令，果然在檢測報告中發(fā)現名為“kmsrvhk.sys”的驅動文件加載了一個隱藏的系統(tǒng)服務。 執(zhí) 行“knlsc13.exe-cd kmsrvhk”命令，禁止運行該服務，同時在防火墻中添加一條規(guī)則，禁止“iexplorer.exe”進程訪問外網。當重啟電腦后，發(fā)現雖然沒有打開IE，但是“iexplorer.exe”進程卻自動出現了。于是在IceSword中打開進程列表，對關鍵的進程進行分析，在對應的模塊信息中查找可疑分子，經過一番搜索，發(fā)現“mrxvdmsp.dl1”和“hidsrbss.d1l”很可疑，其全部位 于“C:Windowssystem”目錄中。為了徹底刪除以上可疑文件，使用優(yōu)盤引導系統(tǒng)進入WinPE環(huán)境，將“certload.dli”，“mrxvdmsp.dl1”和“hidsrbss.d1l”文 件刪除。重新進入系統(tǒng)后，執(zhí)行“knlsc13.exe law”命令，發(fā)現名為“watserver”的服務試圖調用“hidsrbss.d1l”的可疑文件，運行“knlsc13.exe cd watserver”命令禁用該服務，之后發(fā)現“iexplorer.exe”進程消失了，不再連接外網了。至此，將病毒文件徹底清除，恢復了系統(tǒng)的平靜。

讓病毒驅動“現形”

同事從網上下載了某個小工具，使用殺毒軟件檢測并沒有發(fā)現問題，但是運行后安裝的某殺毒軟件的主動防御功能被破壞，殺毒軟件提示有病毒侵入，但是無法順利刪除。想找到該可疑程序進行分析時，發(fā)現該程序已經奇怪地消失了。毫無疑問，該病毒文件具有自毀功能，運行完畢后會自動刪除自身文件。為了將其徹底清除，必須了解其行為特點。于是筆者從相同的網站下載了該文件，為了安全起見，將其放到虛擬機中。使用PeID對其進行檢測，發(fā)現其經過了加殼處理，具有免殺功能可以避開殺毒軟件的檢測。運行該可疑程序，同時使用FileMon、RegMon、System Safety Monitor、Total Uninstall、Online Armor等監(jiān)控工具對其進行監(jiān)控。

經過跟蹤分析，發(fā)現該文件確實是病毒程序，當其運行 后，會 在“C:WindowsSystem32”文件中釋放名為“mclkbd2f.dll”，“mclkbd2f.cgf”等文件，在“C:WindowsSystem32Drivers”目錄中創(chuàng)建名為“wansepid.sys”的驅動文件。使用IceSword對系統(tǒng)進行分析，該病毒會在系統(tǒng)中創(chuàng)建Hook項目，主要用來盜取用戶輸入的密碼等敏感信息。修改SSDT項目，讓殺毒軟件的主動防御功能失效，同時以驅動加載的形式創(chuàng)建病毒服務，獲得自動運行的權利。該病毒對注冊表進行了一些修改，同時還會對內網中的其它主機進行探測工具，通過溢出攻擊操作來獲得SYSTEM賬戶權限。當病毒激活后，該可疑程序會通過自動刪除來逃避用戶的追捕。

了解其運行原理后，清除起來就有的放矢了。在同事的主機上進入安全模式，在注冊表編輯器中打 開“HKEY_LOCAL_MACHINESOFTWAREM i c r o s o f tW i n d o w sCurrentVersionExplorerShellExecuteHooks”分支，將其中病毒創(chuàng)建的項目全部刪除。 打 開“HKEY_LOCAL_MACHINESYSTEMControlSet001Services”分支，將病毒創(chuàng)建的名為“wansepid”的服務項目徹底刪除。打開“HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{3ffa9bef--6 5 7 1-d 1 6 b-b c a 7-a d 2 1 7 0 e 6 1 4 0 9 c}InprocServer32”，將 其 中 的所有鍵值清空。之后進入WinPE環(huán) 境，將“mclkbd2f.dll”、“mclkbd2f.cgf”、“wansepid.sys” 等 病 毒 文件刪除，之后進入系統(tǒng)使用IceSword恢復被篡改的SSDT項目，讓該機上的殺毒軟件的主動防御功能獲得恢復。為了提高系統(tǒng)安全性，使用360安全衛(wèi)士等工具為系統(tǒng)和常用軟件打上了各種補丁，讓系統(tǒng)變得更加強壯。

清除病毒驅動文件的常用技巧

有些病毒會將自身偽裝成硬件驅動程序，可以利用設備管理器來發(fā)現其行蹤并徒手將其清除。例如對于某木馬的變種程序來說，就會以硬件驅動的形式將自身隱藏起來。運行“devmgmt.msc”程序，在設備管理器窗口點擊菜單“查看”→“顯示隱藏的設備”項，在設備列表中打開“非即插即用驅動程序”項，在其中看到所有驅動型軟件的服務程序，經過一番搜索后，發(fā)現名為“audserver”的硬件驅動非?？梢?，雙擊該驅動項目，在其屬性窗口中的“驅動程序”面板中雙擊“驅動程序詳細信息”按鈕，在彈出窗口中發(fā)現其實際路徑為“C:WindowsSystemDriversaudserver.sys”，在“驅動程序”面板中的“類型”列表中選擇“已禁用”項。之后重啟電腦，就可以讓該虛假的驅動程序失去活力，之后進入上述路徑，手工將病毒文件清除即可。

此外，隨著人們對于Internet依賴程度的增加，瀏覽器（特使是IE）成了最常用的上網工具。為了實現劫持綁架瀏覽器的目的，很多惡意程序會以驅動文件的方式，將自身注冊為瀏覽器插件來實現更改主頁、強制進入惡意站點、盜竊用戶隱私信息等。用戶可以使用上述方法，對驅動文件夾和注冊表進行檢查，來發(fā)現和清除可疑的驅動文件，同時將其在注冊表中的痕跡信息全部清除，也可以使用AntiSpy這款強悍的安全工具來清除這類惡意插件。在其主界面中的“網絡”面板中打開“IE插件”標簽，在其中顯示所有的插件信息，包括類型、名稱、模塊路徑、文件廠商等內容。AntiSpy使用黑色來標識和微軟相關的正常插件，以藍色標識第三方的插件項目，對于可疑的插件，可以在其右鍵菜單上點擊“在線搜索插件名”項，尋找與之相關的更多信息來鑒別其真實身份。

對于存在問題的插件，可以取消其選擇狀態(tài)，將其設置為禁用狀態(tài)，對于確認是病毒的插件，在其右鍵菜單中點擊“刪除注冊表和文件”項，將其從系統(tǒng)中徹底清除。如果病毒文件難以刪除，可以在該插件的右鍵菜單上點擊“在AntiSpy文件管理器中定位文件”項，在AntiSpy文件管理器自動選中病毒文件，在其右鍵菜單中點擊“添加到重啟刪除列表”項，之后重啟系統(tǒng)就可以將其清除。為了防止用戶清除惡意插件，病毒會利用非法驅動文件為其撐起“保護傘”，為此可以在“啟動項”面板左側點擊“驅動程序”項，在右側列表中找到和病毒插件相關的驅動文件項目，在其右鍵菜單中點擊“刪除啟動信息和文件”項，將其從系統(tǒng)中清除。

當然，有時僅僅依靠安全軟件，是無法完全保證系統(tǒng)安全的。為了及時發(fā)現病毒驅動的蹤跡，可以在系統(tǒng)處于正常狀態(tài)時，在CDM窗口中執(zhí)行“dir c:windows*.sys/s>sys1.txt”命令，將系統(tǒng)文件夾中的所有驅動文件記錄下來。當發(fā)現系統(tǒng)運行出現異常時，在CMD窗口中執(zhí)行“dir c:windows*.sys/s>sys2.txt”命令，將當前系統(tǒng)文件夾中所有的驅動文件記錄下來，之后執(zhí)行“fc sys1.txt sys2.txt”命令來對兩者進行比對。對于多出來的一些SYS文件，通過對其創(chuàng)建時間、存儲路徑、版本、是否壓縮、數字簽名等特征進行分析后，很容易發(fā)現來歷不明的可疑驅動文件。例如，發(fā)現了名為“kerbdrv.sys”的驅動文件很可疑，因為其沒有任何開發(fā)者和版本信息，利用搜索引擎查找該文件相關信息，確信其不是任何驅動文件，于是進入WinPE環(huán)境將其清除，之后在注冊表中搜索和清除和其相關的所有項目，將其從系統(tǒng)中徹底驅逐出去。

使用手工備份驅動文件信息畢竟有些繁瑣，而且備份的信息也不完整，相比之下，使用AntiSpy可以更加完美地備份驅動信息文件。在其主界面中的“驅動模塊”面板（如圖1所示）中顯示所有的驅動文件信息，包括驅動名、驅動對象、驅動路徑、服務名、啟動類型、加載順序、文件廠商等內容。點擊“驅動名”列，使其按照名稱進行排序，之后在驅動列表的右鍵菜單中點擊“導出到”→“文本文件”項，可以將驅動文件信息全部導出到指定的文本文件中，或者點擊“導出到”→“Excel表格”項，將其導出為獨立的表格文件。當系統(tǒng)運行異常時，再次執(zhí)行以上操作，獲得當前的驅動信息備份文件，之后使用“fc”命令或者運行Beyonf Compare3等專業(yè)的比對工具，就可以很容易地發(fā)現潛在的驅動文件中的惡意文件了。在AntiSpy中選擇病毒驅動文件，在其右鍵菜單中點擊“卸載驅動”項，可以讓其失去活力，點擊“刪除驅動文件和注冊表”項，可以將其徹底刪除。

圖1 查看驅動文件信息

圖2 使用Pserv管理驅動文件

除了使用上述方法備份和查看驅動文件信息外，還可以使用Pserv這款小工具來全面記錄驅動文件信息。在系統(tǒng)處于正常狀態(tài)時，在Pserv主界面中點擊菜單“查看”→“設備列表”項，顯示所有的設備文件信息（如圖2所示），將其窗口最大化，同時調整各列的顯示寬度，將設備的全稱、名稱、狀態(tài)、啟動、類型、路徑等重要信息全部顯示出來，之后運行HyperSnap這款抓圖軟件，點擊菜單“捕捉”→“區(qū)域（帶卷動）”項，將Pserv主界面設置為抓取區(qū)域，這樣，就可以將驅動文件信息完整抓出來，并保存為獨立的圖片文件。

當系統(tǒng)出現異常時，按照上述方法抓取此時的驅動文件信息，之后將兩張圖片進行比對，可以很容易發(fā)現混跡在驅動文件中的不法之徒，因為Pserv默認按照名稱排序，所以查找對比起來極為簡單，當發(fā)現病毒驅動后，在Pserv主界面中選擇該驅動文件，在其右鍵菜單上點擊“禁用”項可以禁用該驅動文件，點擊“刪除”項可以將其刪除。如果不能刪除，知道了其名稱和路徑，可以在WinPE環(huán)境中進行刪除操作。此外，在Pserv中點擊菜單“查看”→“服務列表”項，可以管理服務信息，按照上述方法，可以備份和檢測服務信息，將偽裝成服務的病毒找出來并清除。