下载后可任意编辑常见木马技术和手动检测方法12024 年 4 月 19 日下载后可任意编辑常见木马技术和手动检测方法 所有病毒 case, Symantec 用户抱怨的无非两项,一是查不到病毒,二是不断的查到相同的病毒(绝大多数是木马 downloader, backdoor.trojan)。木马是什么?是一个有恶意行为程序。杀毒软件怎么查杀它?特征码和行为分析。假如一个木马在技术上或者创意上做的略微好些,我觉得杀毒软件对于已经中毒的电脑很难起到作用,常常是查到了一部分,落掉一部分,而落掉的部分又会监控、恢复被查杀的部分,造成上面所说的第二种情况,而这又一定会包含第一种情况。 木马既然是程序,恶意程序,那它运行也不免会露出蛛丝马迹,程序运行的两个必要条件—进程(模块,线程)和加载(自启动和触发)。那我们查找木马也从这两个大的方向入手,理论上能够找出所有木马,可是这跟做数学题一样,大方法是有的,可是操作过程千变万化的。 工欲善其事,必先利其器。首先要找几个适合自己的工具:主工具我个人喜爱用冰刃,它能干大部分的检查启动项和进程监控。兵刃功能上的不足,利用其它的软件补充。FileMon 和 RegMon 能够查找针对特定文件和注册表的进程信息;ProceXP 能够模块反向查找进程,也能够看出进程之间的调用关系;22024 年 4 月 19 日下载后可任意编辑SSDT—Hook 修复,SSDT—Inline—Hook 修复工具(兵刃能够看到SSDT,但没有修复功能),可是冰刃也能够看到绝大多数的使用隐藏技术的进程和线程;SRENG 能够显示进程、模块、驱动的签名(能够提高我们的效率),以及强大的自启动项检测;Symantec Process Viewer 会 hook 住 ntcreateprocess, ntcreateprocessxp, ntopenkey, ntterminateprocess 四个 SSDT 服务函数,会监控开机到当前所有运行过的进程,能起到参考作用;TCPView 能够实时查看创立连接和已经连接的端口和相应的进程;MD5 计算工具;Mr.Google 和百度。 具体方法:第一部分看进程(模块,线程)。 最笨的木马都有自己的进程,还不隐藏,还起个大家都知道的名字。这个太简单了,简单 google 一下,用任务管理器都能发现。 有些木马本身是修改了或替换了的原有的正常的 exe 文件,或者系统文件,因此不要完全依赖于进程名字,MD5 值还是有必要看下的;有些是隐藏进程的(Rootkit 技术,比如 Hook 在 WIN32API或者 SSDT 的 ntquerysysteminfomation),所幸冰刃能够看得到大...