常見木馬技術(shù)和手動(dòng)檢測方法

1、常見木馬技術(shù)和手動(dòng)檢測方法常見木馬技術(shù)和手動(dòng)檢測方法所有病毒caseSymantec用戶抱怨的無非兩項(xiàng)，一是查不到病毒，二是不斷的查到相同的病毒（絕大多數(shù)是木馬downloaderbackdo.trojan）。木馬是什么？是一個(gè)有惡意行為程序。殺毒軟件怎么查殺它？特征碼和行為分析。如果一個(gè)木馬在技術(shù)上或者創(chuàng)意上做的稍微好些，我覺得殺毒軟件對于已經(jīng)中毒的電腦很難起到作用，經(jīng)常是查到了一部分，落掉一部分，而落掉的部分又會(huì)監(jiān)控、恢復(fù)被查殺的部

2、分，造成上面所說的第二種情況，而這又一定會(huì)包含第一種情況。木馬既然是程序，惡意程序，那它運(yùn)行也不免會(huì)露出蛛絲馬跡，程序運(yùn)行的兩個(gè)必要條件—進(jìn)程（模塊，線程）和加載（自啟動(dòng)和觸發(fā)）。那我們查找木馬也從這兩個(gè)大的方向入手，理論上可以找出所有木馬，但是這跟做數(shù)學(xué)題一樣，大方法是有的，但是操作過程千變?nèi)f化的。工欲善其事，必先利其器。首先要找?guī)讉€(gè)適合自己的工具：主工具我個(gè)人喜歡用冰刃，它能干大部分的檢查啟動(dòng)項(xiàng)和進(jìn)程監(jiān)控。兵刃功能上的不足，利用其他

3、的軟件補(bǔ)充。FileMon和RegMon可以查找針對特定文件和注冊表的進(jìn)程信息；ProceXP可以模塊反向查找進(jìn)程，也可以看出進(jìn)程之間的調(diào)用關(guān)系；SSDT—Hook修復(fù)，SSDT—Inline—Hook修復(fù)工具（兵刃可以看到SSDT但沒有修復(fù)功能），但是冰刃也可以看到絕大多數(shù)的使用隱藏技術(shù)的進(jìn)程和線程；SRENG可以顯示進(jìn)程、模塊、驅(qū)動(dòng)的簽名（可以提高我們的效率），以及強(qiáng)大的自啟動(dòng)項(xiàng)檢測；SymantecProcessViewer會(huì)ho

4、ok住ntcreateprocessntcreateprocessxpntopenkeyntterminateprocess四個(gè)SSDT服務(wù)函數(shù)，會(huì)監(jiān)控開機(jī)到當(dāng)前所有運(yùn)行過的進(jìn)程，能起到參考作用；TCPView可以實(shí)時(shí)查看創(chuàng)建連接和已經(jīng)連接的端口和相應(yīng)的進(jìn)程；MD5計(jì)算工具；Mr.Google和百度。具體方法：第一部分看進(jìn)程（模塊，線程）。最笨的木馬都有自己的進(jìn)程，還不隱藏，還起個(gè)大家都知道的名字。這個(gè)太簡單了，簡單google一下，用

5、任務(wù)管理器都能發(fā)現(xiàn)。有些木馬本身是修改了或替換了的原有的正常的exe文件，或者系統(tǒng)文件，因此不要完全依賴于進(jìn)程名字，MD5值還是有必要看下的；有些是隱藏進(jìn)程的（Rootkit技術(shù)，比如Hook在WIN32API或者SSDT的ntquerysysteminfomation），所幸冰刃可以看得到大部分隱藏進(jìn)程。除此之外，如果木馬沒有技術(shù)來修改文件修改時(shí)間，有的木馬唯恐別人不認(rèn)識(shí)它，占用內(nèi)存，CPU很高，向外發(fā)包，這些是更笨的木馬，任務(wù)管理器

6、以及TCPview(發(fā)包的)很容易確定進(jìn)程。高級(jí)的木馬首先是隱藏自己做的很好的，這些木馬只干該干的事情，并且最大程度上減少對系統(tǒng)的影響。我相信用戶如果真的中了這個(gè)級(jí)別的木馬，SAV又發(fā)現(xiàn)不了，用戶就不會(huì)找我們，因?yàn)樗约阂膊恢?。就怕SAV能發(fā)現(xiàn)它（畢竟SAV是自動(dòng)的，特征碼加行為檢測），但是又不徹底。因?yàn)榇祟惸抉R很多都會(huì)有個(gè)影子程序在監(jiān)控，并恢復(fù)被刪除的惡意程序。影子程序怎么做？無非是恢復(fù)文件，恢復(fù)注冊表，創(chuàng)建進(jìn)程，動(dòng)態(tài)注入dll或者

7、線程。如果影子程序本身是一個(gè)進(jìn)程，那我們的目的還是查出這個(gè)進(jìn)程。分別用FileMon；RegMon；冰刃的監(jiān)控進(jìn)程創(chuàng)建；動(dòng)態(tài)注入dll首先需要?jiǎng)?chuàng)建被刪除的惡意dll文件，用FileMon；線程動(dòng)態(tài)注入我還沒找到一個(gè)直接根據(jù)這個(gè)線索找到可疑進(jìn)程的方法（不清楚冰刃監(jiān)控進(jìn)程創(chuàng)建是否可行），不過也可以用稍微笨一點(diǎn)的方法比如枚舉所有進(jìn)程等方法；另外第二部分查看加載項(xiàng)也是可行的，因?yàn)橛白映绦虮旧硪彩切枰獑?dòng)的。由于影子程序本身基本上不做惡意行為，本

8、身不包含惡意代碼，而應(yīng)子程序釋放的木馬文件有很多的初級(jí)木馬都會(huì)在這里有體現(xiàn)，除此之外此前總結(jié)過以下的有可能的系統(tǒng)自啟動(dòng)項(xiàng)加載位置1.Run鍵Run鍵是最常見的病毒自啟動(dòng)之處，該鍵位置是[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]和[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]，其下的所有

9、程序在每次啟動(dòng)登錄時(shí)都會(huì)按順序自動(dòng)執(zhí)行。[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplerRun]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplerRun]，也會(huì)自動(dòng)執(zhí)行。2.RunOnce鍵[HKEY_CURRENT_USERSoftwareMicros

10、oftWindowsCurrentVersionRunOnce]和[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]，與Run不同的是，RunOnce下的程序僅會(huì)被自動(dòng)執(zhí)行一次。3.RunServicesOnce鍵[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]和

11、[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]，其中的程序會(huì)在系統(tǒng)加載時(shí)自動(dòng)啟動(dòng)執(zhí)行一次。4.RunServices鍵[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindow

12、sCurrentVersionRunServices]，RunServices繼RunServicesOnce之后啟動(dòng)。5.RunOnceEx鍵[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx]，該鍵是WindowsXP2

13、003特有的自啟動(dòng)注冊表項(xiàng)，6.windows鍵[HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows]，該鍵下有l(wèi)oad鍵值，一般情況下其值為空，如果這里有加載自啟動(dòng)程序，則有可能是可疑文件。7.Winlogon鍵[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon]和[HKEY_