■河南 劉京義

明辨端口，追尋后門蹤跡

不法程序要開啟后門，必須打開對應(yīng)的網(wǎng)絡(luò)端口。因此在CMD窗口執(zhí)行“netstart-ano”命令，不僅可以查看端口使用情況，還可以在“PID”列中顯示使用該端口的進程標(biāo)識符。

在CMD窗口中執(zhí)行“wmic”命令，在隨后的“wmic:rootcli>”欄中輸入“Process”命令，就會顯示進程和實際程序之間的關(guān)系列表。據(jù)此不難找到目標(biāo)程序具體位置。

不過“netstat”命令應(yīng)對基于UDP協(xié)議的后門程序就有些力不從心了，因此，還必須借助于專業(yè)的端口查看工具（例如TCPEye、Antiyports、Fport等）。

對于來歷不明的網(wǎng)絡(luò)連接，在其右鍵菜單上點擊“Close Connection”項（或者按下“Ctrl+K”鍵），即可關(guān)閉該網(wǎng)絡(luò)連接。點擊“End Process”項，可以直接中止相關(guān)進程的運行。

擦亮眼睛，揪出后門服務(wù)

一些不法程序會偽裝成系統(tǒng)服務(wù)來隱蔽的開啟后門。運行“msconfig.exe”，在“服務(wù)”面板中勾選“隱藏所有Microsoft服務(wù)”項，找到和“狀態(tài)”列中顯示為“正在運行”對應(yīng)的服務(wù)，經(jīng)細(xì)致分析，可以很快找到后門服務(wù)。在服務(wù)列中取消選擇并重啟系統(tǒng)，即令其失去活力。

在CMD窗口執(zhí)行“wmic”“service”命令，在服務(wù)統(tǒng)計信息中的“Caption”列中找到后門服務(wù)名稱，在“Pathname”列中可以定位其服務(wù)程序，然后刪除即可。此外，還可使用Comodo Cleaning Essentials（CCE）安全軟件來偵測其真?zhèn)巍?/p>

一些狡猾的惡意程序會替換正常服務(wù)來明目張膽開啟后門?？墒褂贸壯簿ぞ呦洹nlocker等安全工具進行檢測和清除。還有些不法程序會使用RootKit等高級技術(shù)創(chuàng)建隱身型服務(wù)。使用Knlsc軟件即可輕松清除。如發(fā)現(xiàn)有隱藏服務(wù)（假設(shè)服務(wù)名是“Newsrv”），運行“knlsc13.exe-cd Newsrv”即可禁用。

全面清查可疑啟動項

將自身隱藏于注冊表眾多的啟動項目并跟隨系統(tǒng)自動運行，也是后門程序常用的招數(shù)。使用AutoRuns安全軟件就可以將啟動項一網(wǎng)打盡，包括系統(tǒng)登錄、網(wǎng)絡(luò)服務(wù)、打印監(jiān)控、安全認(rèn)證、網(wǎng)絡(luò)連接等十多個和啟動項緊密相關(guān)的類型。在每個類型中包含了相應(yīng)的啟動項目。

打開“所有項目”面板，不管后門程序在注冊表啟動項隱藏多深，都會在該軟件面前暴露，選擇和后門程序相關(guān)的啟動項，在其右鍵菜單中可以執(zhí)行刪除、定位注冊表具體路徑、打開目標(biāo)文件夾等操作。

當(dāng)然，狡猾后門程序絕不會藏身在顯眼的啟動項位置，在注冊表“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”的“ AppInit_DLLs”鍵值是其常用藏身地，該位置是很容易被大家忽視。“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun”分支也應(yīng)引起我們的關(guān)注。

后門程序還常會在注冊表“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”分支下的“userinit”和“shell”鍵值中添加惡意程序，悄無聲息的跟隨系統(tǒng)啟動自動激活。利用ActivcX技術(shù)自啟動的后門程序會在注冊表中的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components”分支下對應(yīng)子健的“StubPath”鍵值中藏身。

多管齊下，搜捕后門進程

不管后門程序采用哪一種啟動方式，最終必然會成為活動進程。使用任務(wù)管理器、Process Explorer、TaskPatrol、AnVir Task Manager、PCHunter等工具，都可以幫助查看和定位可疑進程。

例如，使用TaskPatrol進程管理工具，可以徹底“看穿”進程的來龍去脈，并準(zhǔn)確分析安全等級，迅速清除有害進程。

有些后門程序會采取雙進程守護方式，當(dāng)您在任務(wù)管理器中關(guān)閉一個進程后，另外一個會自動將其激活。其實，使用記事本就可以輕松對付雙進程守護型后門程序。假設(shè)某種后門程序侵入本機，在系統(tǒng)中創(chuàng)建了名稱為“a.exe”和“b.exe”的守護型進程，在“開始→運行”中執(zhí)行“msinfo32.exe”程序，在系統(tǒng)信息窗口左側(cè)點擊“系統(tǒng)摘要→軟件環(huán)境→正在運行任務(wù)”項，在右側(cè)窗口中顯示詳細(xì)的進程信息。

在其中得知“a.exe”進程的主文件保存路徑為“c:windowssystem32”。接著打開“c:windowssystem32”文件夾，將“notepad.exe”文件復(fù)制到D盤根目錄下，并改名為“a.exe”。接著打開記事本程序，輸入“@echo off”“taskkill/f/im a.exe”“delete c:windowssystem32a.exe”“copy d:a.exe c:windowssystem32”行。之后保存為“qingchu.bat”文件。運行該批處理程序，其作用是先使用Taskkill命令結(jié)束a.exe病毒進程，之后將其刪除，接著將D盤中由記事本程序改名的“a.exe”來取代其位置。之后運行qingchu.bat”程序，系統(tǒng)即可中止真實的a.exe進程，同時將由記事本“冒充”的病毒程序復(fù)制到目標(biāo)路徑中，當(dāng)另一個病毒進程b.exe發(fā)現(xiàn)對方被關(guān)停后，即可自動將其激活，但是運行的卻是記事本程序。

接下來的工作就簡單了，直接使用命令“Taskkill/f/im a.exe”，將再生的a.exe中止，根據(jù)系統(tǒng)提示信息，可以看到激活a.exe進程的另一個進程的PID號碼，在任務(wù)管理器中根據(jù)得到的PID號碼，就可以查詢到另一個與之關(guān)聯(lián)的病毒進程，也就是b.exe進程。之后在上述系統(tǒng)信息窗口中可以查到其路徑信息，接下來在任務(wù)管理器中中止b.exe進程，同時進入對應(yīng)目錄將其刪除即可。這樣就很輕松的擊破了病毒的進程守護機制。

禁止后門進程渾水摸魚

要想從進程列表中分辨出某個進程，首先必須熟悉每一個常用進程及其作用。例如，“system”進程是可以強制結(jié)束的，之后系統(tǒng)會自動加載，該進程實際只加載“C:WindowsSystem32”下的“ntoskrnl.exe”文件?！皊ystem Idle Process”進程用來分派CPU處理時間等。

上述進程都位于“C:WindowsSystem32”路徑中，只要強制關(guān)閉，系統(tǒng)就會自動關(guān)機?！皊mss.exe”進程是一個會話管理子系統(tǒng)，負(fù)責(zé)啟動用戶會話。“alg.exe”進程用來管理系統(tǒng)網(wǎng)絡(luò)連接共享和防火墻，應(yīng)用程序網(wǎng)關(guān)服務(wù)，為Internet連接共享和Windows防火墻提供第三方協(xié)議插件支持。類似的進程還有很多，大家都應(yīng)熟悉其具體功能。

在任務(wù)管理器中，有的進程的數(shù)量可能不止一個。例如，對于“svchost.exe”進程來說，后門程序就可以通過該進程來加載非法服務(wù)實現(xiàn)自啟動。對于系統(tǒng)服務(wù)來說，一種是共享進程服務(wù)，另一種是非共享進程服務(wù)。共享進程服務(wù)一般都是利用“svchost.exe”進程啟動的。

因此，如果有多個服務(wù)都通過該進程啟動，在進程列表中就會出現(xiàn)多個“svchost.exe”進程。如果該進程數(shù)量較多，就要警惕了?？稍谧员碇写蜷_“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，點擊“F3”鍵，在搜索窗口中輸入“%SystemRoot%system32svchost.exe”，可以查找到和該進程關(guān)聯(lián)的服務(wù)項目，在具體服務(wù)的子鍵下選擇“Parameters”項，在右側(cè)的“ServiceDll”鍵值中可以發(fā)現(xiàn)具體的動態(tài)庫路徑，定位到具體的DLL動態(tài)庫，就可以判斷其是否是后門程序，進而對其查殺。

針鋒相對，清除后門程序

目前流行的后門程序由于采用了進程插入技術(shù)，普通的查找技術(shù)很難發(fā)現(xiàn)其蹤跡。使用PowerTool工具就可看穿進程內(nèi)部秘密。在主界面的“進程管理”中顯示所有的進程信息，選擇后門程序常用進程（如“explorer.exe”等），在窗口底部顯示其調(diào)用所有DLL模塊信息，包括模塊路徑、廠商名稱、校驗標(biāo)志等。細(xì)致分析后就可讓后門程序露出原形。

對于確定的后門程序DLL模塊，可以右擊“普通卸載模塊”“強行卸載模塊”等項從系統(tǒng)中清除。因為后門通常會很好的隱蔽自己（例如使用HOOK技術(shù)等），想找到其文件不是件容易的事。其實，使用WinRAR這款常用的壓縮軟件就可讓隱藏的后門程序徹底現(xiàn)形。WinRAR雖然是一款壓縮軟件，不過其自帶了文件瀏覽功能，而且WinRAR調(diào)用的是非標(biāo)準(zhǔn)的API函數(shù)來顯示文件信息，這樣即使后門程序使用了HOOK技術(shù)，可以騙過資源管理器，卻逃不過WinRAR。當(dāng)在WinRAR中發(fā)現(xiàn)后門程序文件后，如果直接點擊Delete鍵無法刪除，可以點擊工具欄上的添加按鈕，在創(chuàng)建壓縮包界面中勾選“壓縮后刪除原文件”項，就可以刪除了。

巧用系統(tǒng)工具，讓后門徹底消失

其實，利用系統(tǒng)自帶的安全工具同樣可以搞定后門程序。例如，在“C:Windowssystem32”文件夾中發(fā)現(xiàn)后門程序“Windll32.exe”，刪除后，為防止其繼續(xù)侵襲本機，可在該路徑下創(chuàng)建名稱 為“windll32.exe”的文件夾，之后在CMD窗口中進入該文件夾，執(zhí)行“mkdir baohuwin..”命令，創(chuàng)建名稱為“baohuwin”的防刪文件夾。這樣，該后門程序就無法在系統(tǒng)路徑下容身了。

利用映像劫持技術(shù)，以毒攻毒，針對后門程序創(chuàng)建專用的映像劫持項目，來阻止其運行。如果您不想費力的修改注冊表來實現(xiàn)上述操作，可以利用映像劫持編輯器工具來快速創(chuàng)建特定的映像劫持項目。在其主窗口中點擊“新建”按鈕，在彈出窗口的“進程名稱”欄中輸入后門程序程序名稱，在“映像路徑”欄中輸入其他程序（例如記事本）或根本不存在的程序名稱，點擊“確定”，就成功的將后門程序“劫持”了。當(dāng)該后門程序試圖啟動時，要么啟動無關(guān)程序要么根本無法啟動。

利用權(quán)限設(shè)置，可以巧妙的讓后門程序失去活力。例如，在系統(tǒng)路徑中發(fā)現(xiàn)無法刪除的可疑文件“svch0st.dll”后，可在“屬性→安全→組或用戶名”中選擇當(dāng)前使用的賬戶名，在該賬戶權(quán)限列表中的“拒絕”列選擇所有項目，徹底禁止該后門程序的活力。利用系統(tǒng)內(nèi)置的Taskkill工具，可以快速清理后門進程。在CMD中執(zhí)行“tasklist/svc”，可以查看當(dāng)前所有進程的信息。

這樣，可清楚地看到后門進程的PID號。之后執(zhí)行“taskkill/PID xxxx”命令，就可以關(guān)閉PID為“xxxx”的進程。如果執(zhí)行“taskkill/PID 進程ID/f/t”命令，可以強制關(guān)閉指定的進程，同時終止其啟用的所有子進程。Taskkill命令有一項絕活就是可以同時關(guān)閉多個進程，例如，當(dāng)需要清除ID號分別為3690、6900、7890等多個進程時，可以執(zhí)行“Taskkill/f/PID 3690/PID 6900/PID 7890”命令，將其一并清除。

當(dāng)然，也可以按照進程名稱來執(zhí)行關(guān)閉操作。執(zhí)行“tasklist/im winserver32.exe/f”命令，就可以關(guān)閉名為“winserver32.exe”的進程。利用Taskkill命令，可以順藤摸瓜發(fā)現(xiàn)多進程守護型后門程序。例如執(zhí)行“taskkill/im daemon.exe/t”命令，根據(jù)返回信息顯示該進程是屬于PID為736的子進程，該進程的名稱為“syswd.exe”，執(zhí)行“taskkill/im syswd.exe/t”命令，發(fā)現(xiàn)是PID為1560進程的子進程，經(jīng)查PID為1560的進程名為“sersec.exe”。這些進程相互守護，無法逐個關(guān)閉。

執(zhí)行“taskkill/im daemon.exe/im syswd.exe/im sersec.exe/f”命令，就可以將其一網(wǎng)打盡。使用Taskkill命令，還可以快速清除所有失去相應(yīng)的進程，執(zhí)行“taskkill/fi " status eq not responding"”即可。有時，當(dāng)發(fā)現(xiàn)了某個后門程序后，卻無法將其對應(yīng)的DLL文件刪除，究其原因，在于該DLL文件插入到了某個合法進程中。對此，可以執(zhí)行“taskkill/fi "modules eq xxx.dll"”命令，來關(guān)閉所有調(diào)用“xxx.dll”的進程即可。

對于頑固的后門進程，可以利用系統(tǒng)內(nèi)置的SYSTEM帳戶將其清除。例如在命令提示符窗口中執(zhí)行“sc Create SuperCMD binPath="cmd/K start" type=own type=interact”命令，建立一個名為“SuperCMD”的交互服務(wù)。執(zhí)行“sc start SuperCMD”命令，來啟動該交互進程。之后系統(tǒng)會彈出交互式服務(wù)檢測窗口。點擊其中的“查看消息”按鈕，可以以SYTEM賬戶身份打開命令提示符窗口。在其中執(zhí)行“taskmgr.exe”程序，就會以SYSTEM賬戶身份啟動任務(wù)管理器，這樣，就可以有效關(guān)停頑固進程了。操作完畢后，在交互式服務(wù)檢測窗口中點擊“立即返回”按鈕，回到正常操作界面。

對于一些很狡猾的后門進程，使用上述方法未必有效。使用ntsd命令可以將其輕松清除。首先確定需要清除的后門進程ID號，假設(shè)為“xxxx”，在命令行窗口中執(zhí)行“ntsd-c q-p xxx”，就可以將其終結(jié)掉。其中的“-c”參數(shù)表示執(zhí)行Debug級別的命令，“q”參數(shù)表示執(zhí)行結(jié)束后退出，“-p”參數(shù)后面跟隨具體的進程ID。當(dāng)然，也可以針對進程名稱進行操作，例如想關(guān)閉名為“windll.exe”的進程，可以執(zhí)行“ntsd-c q-pn windll.exe”，就可以將其關(guān)停。