常见木马技术和手动检测方法VIP专享

下载后可任意编辑常见木马技术和手动检测方法12024 年 4 月 19 日下载后可任意编辑常见木马技术和手动检测方法 所有病毒 case, Symantec 用户抱怨的无非两项，一是查不到病毒，二是不断的查到相同的病毒（绝大多数是木马 downloader, backdoor.trojan）。木马是什么？是一个有恶意行为程序。杀毒软件怎么查杀它？特征码和行为分析。假如一个木马在技术上或者创意上做的略微好些，我觉得杀毒软件对于已经中毒的电脑很难起到作用，常常是查到了一部分，落掉一部分，而落掉的部分又会监控、恢复被查杀的部分，造成上面所说的第二种情况，而这又一定会包含第一种情况。 木马既然是程序，恶意程序，那它运行也不免会露出蛛丝马迹，程序运行的两个必要条件—进程（模块，线程）和加载（自启动和触发）。那我们查找木马也从这两个大的方向入手，理论上能够找出所有木马，可是这跟做数学题一样，大方法是有的，可是操作过程千变万化的。 工欲善其事，必先利其器。首先要找几个适合自己的工具：主工具我个人喜爱用冰刃，它能干大部分的检查启动项和进程监控。兵刃功能上的不足，利用其它的软件补充。FileMon 和 RegMon 能够查找针对特定文件和注册表的进程信息；ProceXP 能够模块反向查找进程，也能够看出进程之间的调用关系；22024 年 4 月 19 日下载后可任意编辑SSDT—Hook 修复，SSDT—Inline—Hook 修复工具（兵刃能够看到SSDT,但没有修复功能），可是冰刃也能够看到绝大多数的使用隐藏技术的进程和线程；SRENG 能够显示进程、模块、驱动的签名（能够提高我们的效率），以及强大的自启动项检测；Symantec Process Viewer 会 hook 住 ntcreateprocess, ntcreateprocessxp, ntopenkey, ntterminateprocess 四个 SSDT 服务函数，会监控开机到当前所有运行过的进程，能起到参考作用；TCPView 能够实时查看创立连接和已经连接的端口和相应的进程；MD5 计算工具；Mr.Google 和百度。 具体方法：第一部分看进程（模块，线程）。 最笨的木马都有自己的进程，还不隐藏，还起个大家都知道的名字。这个太简单了，简单 google 一下，用任务管理器都能发现。 有些木马本身是修改了或替换了的原有的正常的 exe 文件，或者系统文件，因此不要完全依赖于进程名字，MD5 值还是有必要看下的；有些是隐藏进程的（Rootkit 技术，比如 Hook 在 WIN32API或者 SSDT 的 ntquerysysteminfomation），所幸冰刃能够看得到大...